--- /srv/rebuilderd/tmp/rebuilderd4SAdlF/inputs/ssg-debian_0.1.76-1_all.deb
+++ /srv/rebuilderd/tmp/rebuilderd4SAdlF/out/ssg-debian_0.1.76-1_all.deb
├── file list
│ @@ -1,3 +1,3 @@
│  -rw-r--r--   0        0        0        4 2025-03-01 08:08:00.000000 debian-binary
│  -rw-r--r--   0        0        0     1976 2025-03-01 08:08:00.000000 control.tar.xz
│ --rw-r--r--   0        0        0  1230284 2025-03-01 08:08:00.000000 data.tar.xz
│ +-rw-r--r--   0        0        0  1230224 2025-03-01 08:08:00.000000 data.tar.xz
├── control.tar.xz
│ ├── control.tar
│ │ ├── ./md5sums
│ │ │ ├── ./md5sums
│ │ │ │┄ Files differ
├── data.tar.xz
│ ├── data.tar
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian11-guide-anssi_np_nt28_average.html
│ │ │ @@ -20653,128 +20653,128 @@
│ │ │  00050ac0: 6765 743d 2223 6964 6d35 3337 3622 2074  get="#idm5376" t
│ │ │  00050ad0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  00050ae0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  00050af0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  00050b00: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  00050b10: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  00050b20: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00050b30: 204f 5342 7569 6c64 2042 6c75 6570 7269   OSBuild Bluepri
│ │ │ -00050b40: 6e74 2073 6e69 7070 6574 20e2 87b2 3c2f  nt snippet ...</
│ │ │ -00050b50: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -00050b60: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -00050b70: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -00050b80: 646d 3533 3736 223e 3c70 7265 3e3c 636f  dm5376"><pre><co
│ │ │ -00050b90: 6465 3e0a 5b5b 7061 636b 6167 6573 5d5d  de>.[[packages]]
│ │ │ -00050ba0: 0a6e 616d 6520 3d20 2273 7973 6c6f 672d  .name = "syslog-
│ │ │ -00050bb0: 6e67 220a 7665 7273 696f 6e20 3d20 222a  ng".version = "*
│ │ │ -00050bc0: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │ -00050bd0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -00050be0: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -00050bf0: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -00050c00: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -00050c10: 6574 3d22 2369 646d 3533 3737 2220 7461  et="#idm5377" ta
│ │ │ -00050c20: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -00050c30: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -00050c40: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -00050c50: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -00050c60: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -00050c70: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00050c80: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ -00050c90: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00050ca0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00050cb0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00050cc0: 643d 2269 646d 3533 3737 223e 3c74 6162  d="idm5377"><tab
│ │ │ -00050cd0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00050ce0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00050cf0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00050d00: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00050d10: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00050d20: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00050d30: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00050d40: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -00050d50: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00050d60: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -00050d70: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -00050d80: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -00050d90: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00050da0: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -00050db0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00050dc0: 6f64 653e 696e 636c 7564 6520 696e 7374  ode>include inst
│ │ │ -00050dd0: 616c 6c5f 7379 736c 6f67 2d6e 670a 0a63  all_syslog-ng..c
│ │ │ -00050de0: 6c61 7373 2069 6e73 7461 6c6c 5f73 7973  lass install_sys
│ │ │ -00050df0: 6c6f 672d 6e67 207b 0a20 2070 6163 6b61  log-ng {.  packa
│ │ │ -00050e00: 6765 207b 2027 7379 736c 6f67 2d6e 6727  ge { 'syslog-ng'
│ │ │ -00050e10: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ -00050e20: 743b 2027 696e 7374 616c 6c65 6427 2c0a  t; 'installed',.
│ │ │ -00050e30: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -00050e40: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -00050e50: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00050e60: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00050e70: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -00050e80: 7461 7267 6574 3d22 2369 646d 3533 3738  target="#idm5378
│ │ │ -00050e90: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00050ea0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00050eb0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -00050ec0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -00050ed0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -00050ee0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00050ef0: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -00050f00: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00050f10: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00050f20: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00050f30: 7365 2220 6964 3d22 6964 6d35 3337 3822  se" id="idm5378"
│ │ │ -00050f40: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00050f50: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00050f60: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00050f70: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00050f80: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00050f90: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -00050fa0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00050fb0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -00050fc0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00050fd0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -00050fe0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -00050ff0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -00051000: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00051010: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -00051020: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00051030: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -00051040: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -00051050: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ -00051060: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ -00051070: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ -00051080: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ -00051090: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ -000510a0: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -000510b0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -000510c0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -000510d0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ -000510e0: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ -000510f0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -00051100: 2020 2d20 7061 636b 6167 655f 7379 736c    - package_sysl
│ │ │ -00051110: 6f67 6e67 5f69 6e73 7461 6c6c 6564 0a0a  ogng_installed..
│ │ │ -00051120: 2d20 6e61 6d65 3a20 456e 7375 7265 2073  - name: Ensure s
│ │ │ -00051130: 7973 6c6f 672d 6e67 2069 7320 696e 7374  yslog-ng is inst
│ │ │ -00051140: 616c 6c65 640a 2020 7061 636b 6167 653a  alled.  package:
│ │ │ -00051150: 0a20 2020 206e 616d 653a 2073 7973 6c6f  .    name: syslo
│ │ │ -00051160: 672d 6e67 0a20 2020 2073 7461 7465 3a20  g-ng.    state: 
│ │ │ -00051170: 7072 6573 656e 740a 2020 7768 656e 3a20  present.  when: 
│ │ │ -00051180: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ -00051190: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -000511a0: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ -000511b0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -000511c0: 2d43 4d2d 3628 6129 0a20 202d 2065 6e61  -CM-6(a).  - ena
│ │ │ -000511d0: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -000511e0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -000511f0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00051200: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ -00051210: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ -00051220: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -00051230: 7061 636b 6167 655f 7379 736c 6f67 6e67  package_syslogng
│ │ │ -00051240: 5f69 6e73 7461 6c6c 6564 0a3c 2f63 6f64  _installed.</cod
│ │ │ +00050b30: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +00050b40: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00050b50: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00050b60: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00050b70: 2069 643d 2269 646d 3533 3736 223e 3c74   id="idm5376"><t
│ │ │ +00050b80: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +00050b90: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00050ba0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +00050bb0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00050bc0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00050bd0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00050be0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00050bf0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +00050c00: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00050c10: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +00050c20: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +00050c30: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00050c40: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00050c50: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +00050c60: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +00050c70: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ +00050c80: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ +00050c90: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ +00050ca0: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ +00050cb0: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ +00050cc0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +00050cd0: 332d 434d 2d36 2861 290a 2020 2d20 656e  3-CM-6(a).  - en
│ │ │ +00050ce0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +00050cf0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +00050d00: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +00050d10: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +00050d20: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +00050d30: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +00050d40: 2070 6163 6b61 6765 5f73 7973 6c6f 676e   package_syslogn
│ │ │ +00050d50: 675f 696e 7374 616c 6c65 640a 0a2d 206e  g_installed..- n
│ │ │ +00050d60: 616d 653a 2045 6e73 7572 6520 7379 736c  ame: Ensure sysl
│ │ │ +00050d70: 6f67 2d6e 6720 6973 2069 6e73 7461 6c6c  og-ng is install
│ │ │ +00050d80: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +00050d90: 2020 6e61 6d65 3a20 7379 736c 6f67 2d6e    name: syslog-n
│ │ │ +00050da0: 670a 2020 2020 7374 6174 653a 2070 7265  g.    state: pre
│ │ │ +00050db0: 7365 6e74 0a20 2077 6865 6e3a 2027 226c  sent.  when: '"l
│ │ │ +00050dc0: 696e 7578 2d62 6173 6522 2069 6e20 616e  inux-base" in an
│ │ │ +00050dd0: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ +00050de0: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ +00050df0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +00050e00: 2d36 2861 290a 2020 2d20 656e 6162 6c65  -6(a).  - enable
│ │ │ +00050e10: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +00050e20: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +00050e30: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +00050e40: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ +00050e50: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ +00050e60: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ +00050e70: 6b61 6765 5f73 7973 6c6f 676e 675f 696e  kage_syslogng_in
│ │ │ +00050e80: 7374 616c 6c65 640a 3c2f 636f 6465 3e3c  stalled.</code><
│ │ │ +00050e90: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +00050ea0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +00050eb0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +00050ec0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +00050ed0: 612d 7461 7267 6574 3d22 2369 646d 3533  a-target="#idm53
│ │ │ +00050ee0: 3737 2220 7461 6269 6e64 6578 3d22 3022  77" tabindex="0"
│ │ │ +00050ef0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +00050f00: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +00050f10: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +00050f20: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +00050f30: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +00050f40: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ +00050f50: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00050f60: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00050f70: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00050f80: 7073 6522 2069 643d 2269 646d 3533 3737  pse" id="idm5377
│ │ │ +00050f90: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +00050fa0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +00050fb0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +00050fc0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +00050fd0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +00050fe0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +00050ff0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00051000: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +00051010: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00051020: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +00051030: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +00051040: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +00051050: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +00051060: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +00051070: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00051080: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +00051090: 6520 696e 7374 616c 6c5f 7379 736c 6f67  e install_syslog
│ │ │ +000510a0: 2d6e 670a 0a63 6c61 7373 2069 6e73 7461  -ng..class insta
│ │ │ +000510b0: 6c6c 5f73 7973 6c6f 672d 6e67 207b 0a20  ll_syslog-ng {. 
│ │ │ +000510c0: 2070 6163 6b61 6765 207b 2027 7379 736c   package { 'sysl
│ │ │ +000510d0: 6f67 2d6e 6727 3a0a 2020 2020 656e 7375  og-ng':.    ensu
│ │ │ +000510e0: 7265 203d 2667 743b 2027 696e 7374 616c  re =&gt; 'instal
│ │ │ +000510f0: 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  led',.  }.}.</co
│ │ │ +00051100: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +00051110: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +00051120: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +00051130: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +00051140: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +00051150: 646d 3533 3738 2220 7461 6269 6e64 6578  dm5378" tabindex
│ │ │ +00051160: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +00051170: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +00051180: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00051190: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +000511a0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +000511b0: 6d65 6469 6174 696f 6e20 4f53 4275 696c  mediation OSBuil
│ │ │ +000511c0: 6420 426c 7565 7072 696e 7420 736e 6970  d Blueprint snip
│ │ │ +000511d0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +000511e0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +000511f0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00051200: 7365 2220 6964 3d22 6964 6d35 3337 3822  se" id="idm5378"
│ │ │ +00051210: 3e3c 7072 653e 3c63 6f64 653e 0a5b 5b70  ><pre><code>.[[p
│ │ │ +00051220: 6163 6b61 6765 735d 5d0a 6e61 6d65 203d  ackages]].name =
│ │ │ +00051230: 2022 7379 736c 6f67 2d6e 6722 0a76 6572   "syslog-ng".ver
│ │ │ +00051240: 7369 6f6e 203d 2022 2a22 0a3c 2f63 6f64  sion = "*".</cod
│ │ │  00051250: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │  00051260: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │  00051270: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │  00051280: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │  00051290: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  000512a0: 6d35 3337 3922 2074 6162 696e 6465 783d  m5379" tabindex=
│ │ │  000512b0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ @@ -21040,151 +21040,151 @@
│ │ │  000522f0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  00052300: 6964 6d35 3436 3322 2074 6162 696e 6465  idm5463" tabinde
│ │ │  00052310: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  00052320: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  00052330: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  00052340: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  00052350: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00052360: 656d 6564 6961 7469 6f6e 204f 5342 7569  emediation OSBui
│ │ │ -00052370: 6c64 2042 6c75 6570 7269 6e74 2073 6e69  ld Blueprint sni
│ │ │ -00052380: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00052390: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -000523a0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -000523b0: 7073 6522 2069 643d 2269 646d 3534 3633  pse" id="idm5463
│ │ │ -000523c0: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b63  "><pre><code>.[c
│ │ │ -000523d0: 7573 746f 6d69 7a61 7469 6f6e 732e 7365  ustomizations.se
│ │ │ -000523e0: 7276 6963 6573 5d0a 656e 6162 6c65 6420  rvices].enabled 
│ │ │ -000523f0: 3d20 5b22 7379 736c 6f67 2d6e 6722 5d0a  = ["syslog-ng"].
│ │ │ -00052400: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00052410: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00052420: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00052430: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00052440: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00052450: 3d22 2369 646d 3534 3634 2220 7461 6269  ="#idm5464" tabi
│ │ │ -00052460: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -00052470: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -00052480: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -00052490: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -000524a0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -000524b0: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ -000524c0: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ -000524d0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -000524e0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -000524f0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00052500: 2269 646d 3534 3634 223e 3c74 6162 6c65  "idm5464"><table
│ │ │ -00052510: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -00052520: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -00052530: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -00052540: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -00052550: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -00052560: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00052570: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -00052580: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -00052590: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -000525a0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -000525b0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -000525c0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -000525d0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ -000525e0: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ -000525f0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -00052600: 653e 696e 636c 7564 6520 656e 6162 6c65  e>include enable
│ │ │ -00052610: 5f73 7973 6c6f 672d 6e67 0a0a 636c 6173  _syslog-ng..clas
│ │ │ -00052620: 7320 656e 6162 6c65 5f73 7973 6c6f 672d  s enable_syslog-
│ │ │ -00052630: 6e67 207b 0a20 2073 6572 7669 6365 207b  ng {.  service {
│ │ │ -00052640: 2773 7973 6c6f 672d 6e67 273a 0a20 2020  'syslog-ng':.   
│ │ │ -00052650: 2065 6e61 626c 6520 3d26 6774 3b20 7472   enable =&gt; tr
│ │ │ -00052660: 7565 2c0a 2020 2020 656e 7375 7265 203d  ue,.    ensure =
│ │ │ -00052670: 2667 743b 2027 7275 6e6e 696e 6727 2c0a  &gt; 'running',.
│ │ │ -00052680: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -00052690: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -000526a0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -000526b0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -000526c0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -000526d0: 7461 7267 6574 3d22 2369 646d 3534 3635  target="#idm5465
│ │ │ -000526e0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -000526f0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00052700: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -00052710: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -00052720: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -00052730: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00052740: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -00052750: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00052760: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00052770: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00052780: 7365 2220 6964 3d22 6964 6d35 3436 3522  se" id="idm5465"
│ │ │ -00052790: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -000527a0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -000527b0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -000527c0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -000527d0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -000527e0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -000527f0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00052800: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -00052810: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00052820: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -00052830: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -00052840: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -00052850: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00052860: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -00052870: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00052880: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -00052890: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -000528a0: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ -000528b0: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ -000528c0: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ -000528d0: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ -000528e0: 302d 3533 2d41 552d 3428 3129 0a20 202d  0-53-AU-4(1).  -
│ │ │ -000528f0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -00052900: 3628 6129 0a20 202d 2065 6e61 626c 655f  6(a).  - enable_
│ │ │ -00052910: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -00052920: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -00052930: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -00052940: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ -00052950: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -00052960: 5f6e 6565 6465 640a 2020 2d20 7365 7276  _needed.  - serv
│ │ │ -00052970: 6963 655f 7379 736c 6f67 6e67 5f65 6e61  ice_syslogng_ena
│ │ │ -00052980: 626c 6564 0a0a 2d20 6e61 6d65 3a20 456e  bled..- name: En
│ │ │ -00052990: 6162 6c65 2073 7973 6c6f 672d 6e67 2053  able syslog-ng S
│ │ │ -000529a0: 6572 7669 6365 202d 2045 6e61 626c 6520  ervice - Enable 
│ │ │ -000529b0: 7365 7276 6963 6520 7379 736c 6f67 2d6e  service syslog-n
│ │ │ -000529c0: 670a 2020 626c 6f63 6b3a 0a0a 2020 2d20  g.  block:..  - 
│ │ │ -000529d0: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ -000529e0: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ -000529f0: 2020 2070 6163 6b61 6765 5f66 6163 7473     package_facts
│ │ │ -00052a00: 3a0a 2020 2020 2020 6d61 6e61 6765 723a  :.      manager:
│ │ │ -00052a10: 2061 7574 6f0a 0a20 202d 206e 616d 653a   auto..  - name:
│ │ │ -00052a20: 2045 6e61 626c 6520 7379 736c 6f67 2d6e   Enable syslog-n
│ │ │ -00052a30: 6720 5365 7276 6963 6520 2d20 456e 6162  g Service - Enab
│ │ │ -00052a40: 6c65 2053 6572 7669 6365 2073 7973 6c6f  le Service syslo
│ │ │ -00052a50: 672d 6e67 0a20 2020 2061 6e73 6962 6c65  g-ng.    ansible
│ │ │ -00052a60: 2e62 7569 6c74 696e 2e73 7973 7465 6d64  .builtin.systemd
│ │ │ -00052a70: 3a0a 2020 2020 2020 6e61 6d65 3a20 7379  :.      name: sy
│ │ │ -00052a80: 736c 6f67 2d6e 670a 2020 2020 2020 656e  slog-ng.      en
│ │ │ -00052a90: 6162 6c65 643a 2074 7275 650a 2020 2020  abled: true.    
│ │ │ -00052aa0: 2020 7374 6174 653a 2073 7461 7274 6564    state: started
│ │ │ -00052ab0: 0a20 2020 2020 206d 6173 6b65 643a 2066  .      masked: f
│ │ │ -00052ac0: 616c 7365 0a20 2020 2077 6865 6e3a 0a20  alse.    when:. 
│ │ │ -00052ad0: 2020 202d 2027 2273 7973 6c6f 672d 6e67     - '"syslog-ng
│ │ │ -00052ae0: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ -00052af0: 7473 2e70 6163 6b61 6765 7327 0a20 2077  ts.packages'.  w
│ │ │ -00052b00: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ -00052b10: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ -00052b20: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -00052b30: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -00052b40: 3030 2d35 332d 4155 2d34 2831 290a 2020  00-53-AU-4(1).  
│ │ │ -00052b50: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00052b60: 2d36 2861 290a 2020 2d20 656e 6162 6c65  -6(a).  - enable
│ │ │ -00052b70: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -00052b80: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -00052b90: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -00052ba0: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -00052bb0: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -00052bc0: 745f 6e65 6564 6564 0a20 202d 2073 6572  t_needed.  - ser
│ │ │ -00052bd0: 7669 6365 5f73 7973 6c6f 676e 675f 656e  vice_syslogng_en
│ │ │ -00052be0: 6162 6c65 640a 3c2f 636f 6465 3e3c 2f70  abled.</code></p
│ │ │ +00052360: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +00052370: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +00052380: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00052390: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +000523a0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +000523b0: 646d 3534 3633 223e 3c74 6162 6c65 2063  dm5463"><table c
│ │ │ +000523c0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +000523d0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +000523e0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +000523f0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00052400: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00052410: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00052420: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00052430: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00052440: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00052450: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00052460: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00052470: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00052480: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +00052490: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +000524a0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +000524b0: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ +000524c0: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ +000524d0: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ +000524e0: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ +000524f0: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ +00052500: 4e49 5354 2d38 3030 2d35 332d 4155 2d34  NIST-800-53-AU-4
│ │ │ +00052510: 2831 290a 2020 2d20 4e49 5354 2d38 3030  (1).  - NIST-800
│ │ │ +00052520: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +00052530: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +00052540: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +00052550: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +00052560: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +00052570: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +00052580: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +00052590: 202d 2073 6572 7669 6365 5f73 7973 6c6f   - service_syslo
│ │ │ +000525a0: 676e 675f 656e 6162 6c65 640a 0a2d 206e  gng_enabled..- n
│ │ │ +000525b0: 616d 653a 2045 6e61 626c 6520 7379 736c  ame: Enable sysl
│ │ │ +000525c0: 6f67 2d6e 6720 5365 7276 6963 6520 2d20  og-ng Service - 
│ │ │ +000525d0: 456e 6162 6c65 2073 6572 7669 6365 2073  Enable service s
│ │ │ +000525e0: 7973 6c6f 672d 6e67 0a20 2062 6c6f 636b  yslog-ng.  block
│ │ │ +000525f0: 3a0a 0a20 202d 206e 616d 653a 2047 6174  :..  - name: Gat
│ │ │ +00052600: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ +00052610: 6661 6374 730a 2020 2020 7061 636b 6167  facts.    packag
│ │ │ +00052620: 655f 6661 6374 733a 0a20 2020 2020 206d  e_facts:.      m
│ │ │ +00052630: 616e 6167 6572 3a20 6175 746f 0a0a 2020  anager: auto..  
│ │ │ +00052640: 2d20 6e61 6d65 3a20 456e 6162 6c65 2073  - name: Enable s
│ │ │ +00052650: 7973 6c6f 672d 6e67 2053 6572 7669 6365  yslog-ng Service
│ │ │ +00052660: 202d 2045 6e61 626c 6520 5365 7276 6963   - Enable Servic
│ │ │ +00052670: 6520 7379 736c 6f67 2d6e 670a 2020 2020  e syslog-ng.    
│ │ │ +00052680: 616e 7369 626c 652e 6275 696c 7469 6e2e  ansible.builtin.
│ │ │ +00052690: 7379 7374 656d 643a 0a20 2020 2020 206e  systemd:.      n
│ │ │ +000526a0: 616d 653a 2073 7973 6c6f 672d 6e67 0a20  ame: syslog-ng. 
│ │ │ +000526b0: 2020 2020 2065 6e61 626c 6564 3a20 7472       enabled: tr
│ │ │ +000526c0: 7565 0a20 2020 2020 2073 7461 7465 3a20  ue.      state: 
│ │ │ +000526d0: 7374 6172 7465 640a 2020 2020 2020 6d61  started.      ma
│ │ │ +000526e0: 736b 6564 3a20 6661 6c73 650a 2020 2020  sked: false.    
│ │ │ +000526f0: 7768 656e 3a0a 2020 2020 2d20 2722 7379  when:.    - '"sy
│ │ │ +00052700: 736c 6f67 2d6e 6722 2069 6e20 616e 7369  slog-ng" in ansi
│ │ │ +00052710: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ +00052720: 6573 270a 2020 7768 656e 3a20 2722 6c69  es'.  when: '"li
│ │ │ +00052730: 6e75 782d 6261 7365 2220 696e 2061 6e73  nux-base" in ans
│ │ │ +00052740: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ +00052750: 6765 7327 0a20 2074 6167 733a 0a20 202d  ges'.  tags:.  -
│ │ │ +00052760: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +00052770: 3428 3129 0a20 202d 204e 4953 542d 3830  4(1).  - NIST-80
│ │ │ +00052780: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +00052790: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ +000527a0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +000527b0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +000527c0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ +000527d0: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ +000527e0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +000527f0: 2020 2d20 7365 7276 6963 655f 7379 736c    - service_sysl
│ │ │ +00052800: 6f67 6e67 5f65 6e61 626c 6564 0a3c 2f63  ogng_enabled.</c
│ │ │ +00052810: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +00052820: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +00052830: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +00052840: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +00052850: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +00052860: 6964 6d35 3436 3422 2074 6162 696e 6465  idm5464" tabinde
│ │ │ +00052870: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +00052880: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +00052890: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +000528a0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +000528b0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +000528c0: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ +000528d0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +000528e0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +000528f0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00052900: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00052910: 6d35 3436 3422 3e3c 7461 626c 6520 636c  m5464"><table cl
│ │ │ +00052920: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +00052930: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +00052940: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +00052950: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +00052960: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +00052970: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00052980: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +00052990: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +000529a0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +000529b0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +000529c0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +000529d0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +000529e0: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ +000529f0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +00052a00: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ +00052a10: 6e63 6c75 6465 2065 6e61 626c 655f 7379  nclude enable_sy
│ │ │ +00052a20: 736c 6f67 2d6e 670a 0a63 6c61 7373 2065  slog-ng..class e
│ │ │ +00052a30: 6e61 626c 655f 7379 736c 6f67 2d6e 6720  nable_syslog-ng 
│ │ │ +00052a40: 7b0a 2020 7365 7276 6963 6520 7b27 7379  {.  service {'sy
│ │ │ +00052a50: 736c 6f67 2d6e 6727 3a0a 2020 2020 656e  slog-ng':.    en
│ │ │ +00052a60: 6162 6c65 203d 2667 743b 2074 7275 652c  able =&gt; true,
│ │ │ +00052a70: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +00052a80: 3b20 2772 756e 6e69 6e67 272c 0a20 207d  ; 'running',.  }
│ │ │ +00052a90: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ +00052aa0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00052ab0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00052ac0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00052ad0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00052ae0: 6765 743d 2223 6964 6d35 3436 3522 2074  get="#idm5465" t
│ │ │ +00052af0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +00052b00: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +00052b10: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +00052b20: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +00052b30: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +00052b40: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +00052b50: 204f 5342 7569 6c64 2042 6c75 6570 7269   OSBuild Bluepri
│ │ │ +00052b60: 6e74 2073 6e69 7070 6574 20e2 87b2 3c2f  nt snippet ...</
│ │ │ +00052b70: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00052b80: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00052b90: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00052ba0: 646d 3534 3635 223e 3c70 7265 3e3c 636f  dm5465"><pre><co
│ │ │ +00052bb0: 6465 3e0a 5b63 7573 746f 6d69 7a61 7469  de>.[customizati
│ │ │ +00052bc0: 6f6e 732e 7365 7276 6963 6573 5d0a 656e  ons.services].en
│ │ │ +00052bd0: 6162 6c65 6420 3d20 5b22 7379 736c 6f67  abled = ["syslog
│ │ │ +00052be0: 2d6e 6722 5d0a 3c2f 636f 6465 3e3c 2f70  -ng"].</code></p
│ │ │  00052bf0: 7265 3e3c 2f64 6976 3e3c 2f64 6976 3e3c  re></div></div><
│ │ │  00052c00: 2f74 643e 3c2f 7472 3e3c 2f74 626f 6479  /td></tr></tbody
│ │ │  00052c10: 3e3c 2f74 6162 6c65 3e3c 2f74 643e 3c2f  ></table></td></
│ │ │  00052c20: 7472 3e3c 7472 2064 6174 612d 7474 2d69  tr><tr data-tt-i
│ │ │  00052c30: 643d 2278 6363 6466 5f6f 7267 2e73 7367  d="xccdf_org.ssg
│ │ │  00052c40: 7072 6f6a 6563 742e 636f 6e74 656e 745f  project.content_
│ │ │  00052c50: 7275 6c65 5f70 6163 6b61 6765 5f72 7379  rule_package_rsy
│ │ │ @@ -21392,127 +21392,127 @@
│ │ │  000538f0: 7267 6574 3d22 2369 646d 3438 3337 2220  rget="#idm4837" 
│ │ │  00053900: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  00053910: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  00053920: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  00053930: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  00053940: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  00053950: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00053960: 6e20 4f53 4275 696c 6420 426c 7565 7072  n OSBuild Bluepr
│ │ │ -00053970: 696e 7420 736e 6970 7065 7420 e287 b23c  int snippet ...<
│ │ │ -00053980: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00053990: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -000539a0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -000539b0: 6964 6d34 3833 3722 3e3c 7072 653e 3c63  idm4837"><pre><c
│ │ │ -000539c0: 6f64 653e 0a5b 5b70 6163 6b61 6765 735d  ode>.[[packages]
│ │ │ -000539d0: 5d0a 6e61 6d65 203d 2022 7273 7973 6c6f  ].name = "rsyslo
│ │ │ -000539e0: 6722 0a76 6572 7369 6f6e 203d 2022 2a22  g".version = "*"
│ │ │ -000539f0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -00053a00: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -00053a10: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -00053a20: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -00053a30: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -00053a40: 743d 2223 6964 6d34 3833 3822 2074 6162  t="#idm4838" tab
│ │ │ -00053a50: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -00053a60: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -00053a70: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -00053a80: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -00053a90: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -00053aa0: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -00053ab0: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -00053ac0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00053ad0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00053ae0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00053af0: 3d22 6964 6d34 3833 3822 3e3c 7461 626c  ="idm4838"><tabl
│ │ │ -00053b00: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00053b10: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00053b20: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00053b30: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00053b40: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00053b50: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00053b60: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00053b70: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00053b80: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00053b90: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00053ba0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00053bb0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00053bc0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00053bd0: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -00053be0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00053bf0: 6465 3e69 6e63 6c75 6465 2069 6e73 7461  de>include insta
│ │ │ -00053c00: 6c6c 5f72 7379 736c 6f67 0a0a 636c 6173  ll_rsyslog..clas
│ │ │ -00053c10: 7320 696e 7374 616c 6c5f 7273 7973 6c6f  s install_rsyslo
│ │ │ -00053c20: 6720 7b0a 2020 7061 636b 6167 6520 7b20  g {.  package { 
│ │ │ -00053c30: 2772 7379 736c 6f67 273a 0a20 2020 2065  'rsyslog':.    e
│ │ │ -00053c40: 6e73 7572 6520 3d26 6774 3b20 2769 6e73  nsure =&gt; 'ins
│ │ │ -00053c50: 7461 6c6c 6564 272c 0a20 207d 0a7d 0a3c  talled',.  }.}.<
│ │ │ -00053c60: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -00053c70: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -00053c80: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -00053c90: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -00053ca0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -00053cb0: 2223 6964 6d34 3833 3922 2074 6162 696e  "#idm4839" tabin
│ │ │ -00053cc0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -00053cd0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -00053ce0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -00053cf0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00053d00: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00053d10: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -00053d20: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -00053d30: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00053d40: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00053d50: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00053d60: 2269 646d 3438 3339 223e 3c74 6162 6c65  "idm4839"><table
│ │ │ -00053d70: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -00053d80: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -00053d90: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -00053da0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -00053db0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -00053dc0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00053dd0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -00053de0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -00053df0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00053e00: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -00053e10: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -00053e20: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -00053e30: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ -00053e40: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ -00053e50: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -00053e60: 653e 2d20 6e61 6d65 3a20 4761 7468 6572  e>- name: Gather
│ │ │ -00053e70: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ -00053e80: 7473 0a20 2070 6163 6b61 6765 5f66 6163  ts.  package_fac
│ │ │ -00053e90: 7473 3a0a 2020 2020 6d61 6e61 6765 723a  ts:.    manager:
│ │ │ -00053ea0: 2061 7574 6f0a 2020 7461 6773 3a0a 2020   auto.  tags:.  
│ │ │ -00053eb0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00053ec0: 2d36 2861 290a 2020 2d20 656e 6162 6c65  -6(a).  - enable
│ │ │ -00053ed0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -00053ee0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -00053ef0: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -00053f00: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -00053f10: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -00053f20: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -00053f30: 6b61 6765 5f72 7379 736c 6f67 5f69 6e73  kage_rsyslog_ins
│ │ │ -00053f40: 7461 6c6c 6564 0a0a 2d20 6e61 6d65 3a20  talled..- name: 
│ │ │ -00053f50: 456e 7375 7265 2072 7379 736c 6f67 2069  Ensure rsyslog i
│ │ │ -00053f60: 7320 696e 7374 616c 6c65 640a 2020 7061  s installed.  pa
│ │ │ -00053f70: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -00053f80: 2072 7379 736c 6f67 0a20 2020 2073 7461   rsyslog.    sta
│ │ │ -00053f90: 7465 3a20 7072 6573 656e 740a 2020 7768  te: present.  wh
│ │ │ -00053fa0: 656e 3a20 2722 6c69 6e75 782d 6261 7365  en: '"linux-base
│ │ │ -00053fb0: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ -00053fc0: 7473 2e70 6163 6b61 6765 7327 0a20 2074  ts.packages'.  t
│ │ │ -00053fd0: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ -00053fe0: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ -00053ff0: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -00054000: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -00054010: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -00054020: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ -00054030: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ -00054040: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -00054050: 2020 2d20 7061 636b 6167 655f 7273 7973    - package_rsys
│ │ │ -00054060: 6c6f 675f 696e 7374 616c 6c65 640a 3c2f  log_installed.</
│ │ │ +00053960: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +00053970: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00053980: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00053990: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +000539a0: 2220 6964 3d22 6964 6d34 3833 3722 3e3c  " id="idm4837"><
│ │ │ +000539b0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +000539c0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +000539d0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +000539e0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +000539f0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00053a00: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00053a10: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00053a20: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00053a30: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00053a40: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00053a50: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00053a60: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00053a70: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00053a80: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +00053a90: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00053aa0: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ +00053ab0: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ +00053ac0: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ +00053ad0: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ +00053ae0: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ +00053af0: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +00053b00: 3533 2d43 4d2d 3628 6129 0a20 202d 2065  53-CM-6(a).  - e
│ │ │ +00053b10: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ +00053b20: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +00053b30: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +00053b40: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ +00053b50: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ +00053b60: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +00053b70: 2d20 7061 636b 6167 655f 7273 7973 6c6f  - package_rsyslo
│ │ │ +00053b80: 675f 696e 7374 616c 6c65 640a 0a2d 206e  g_installed..- n
│ │ │ +00053b90: 616d 653a 2045 6e73 7572 6520 7273 7973  ame: Ensure rsys
│ │ │ +00053ba0: 6c6f 6720 6973 2069 6e73 7461 6c6c 6564  log is installed
│ │ │ +00053bb0: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ +00053bc0: 6e61 6d65 3a20 7273 7973 6c6f 670a 2020  name: rsyslog.  
│ │ │ +00053bd0: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ +00053be0: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ +00053bf0: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ +00053c00: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ +00053c10: 270a 2020 7461 6773 3a0a 2020 2d20 4e49  '.  tags:.  - NI
│ │ │ +00053c20: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +00053c30: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ +00053c40: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +00053c50: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +00053c60: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +00053c70: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +00053c80: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +00053c90: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +00053ca0: 5f72 7379 736c 6f67 5f69 6e73 7461 6c6c  _rsyslog_install
│ │ │ +00053cb0: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +00053cc0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00053cd0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00053ce0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00053cf0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00053d00: 6765 743d 2223 6964 6d34 3833 3822 2074  get="#idm4838" t
│ │ │ +00053d10: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +00053d20: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +00053d30: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +00053d40: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +00053d50: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +00053d60: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +00053d70: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ +00053d80: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00053d90: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00053da0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00053db0: 6964 3d22 6964 6d34 3833 3822 3e3c 7461  id="idm4838"><ta
│ │ │ +00053dc0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +00053dd0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +00053de0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +00053df0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00053e00: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +00053e10: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +00053e20: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00053e30: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +00053e40: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00053e50: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +00053e60: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +00053e70: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00053e80: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +00053e90: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ +00053ea0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +00053eb0: 636f 6465 3e69 6e63 6c75 6465 2069 6e73  code>include ins
│ │ │ +00053ec0: 7461 6c6c 5f72 7379 736c 6f67 0a0a 636c  tall_rsyslog..cl
│ │ │ +00053ed0: 6173 7320 696e 7374 616c 6c5f 7273 7973  ass install_rsys
│ │ │ +00053ee0: 6c6f 6720 7b0a 2020 7061 636b 6167 6520  log {.  package 
│ │ │ +00053ef0: 7b20 2772 7379 736c 6f67 273a 0a20 2020  { 'rsyslog':.   
│ │ │ +00053f00: 2065 6e73 7572 6520 3d26 6774 3b20 2769   ensure =&gt; 'i
│ │ │ +00053f10: 6e73 7461 6c6c 6564 272c 0a20 207d 0a7d  nstalled',.  }.}
│ │ │ +00053f20: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +00053f30: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +00053f40: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +00053f50: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +00053f60: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +00053f70: 743d 2223 6964 6d34 3833 3922 2074 6162  t="#idm4839" tab
│ │ │ +00053f80: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +00053f90: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +00053fa0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +00053fb0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +00053fc0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +00053fd0: 2122 3e52 656d 6564 6961 7469 6f6e 204f  !">Remediation O
│ │ │ +00053fe0: 5342 7569 6c64 2042 6c75 6570 7269 6e74  SBuild Blueprint
│ │ │ +00053ff0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +00054000: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +00054010: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00054020: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00054030: 3438 3339 223e 3c70 7265 3e3c 636f 6465  4839"><pre><code
│ │ │ +00054040: 3e0a 5b5b 7061 636b 6167 6573 5d5d 0a6e  >.[[packages]].n
│ │ │ +00054050: 616d 6520 3d20 2272 7379 736c 6f67 220a  ame = "rsyslog".
│ │ │ +00054060: 7665 7273 696f 6e20 3d20 222a 220a 3c2f  version = "*".</
│ │ │  00054070: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │  00054080: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │  00054090: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │  000540a0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │  000540b0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  000540c0: 2369 646d 3438 3430 2220 7461 6269 6e64  #idm4840" tabind
│ │ │  000540d0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ @@ -21792,150 +21792,150 @@
│ │ │  000551f0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  00055200: 2223 6964 6d34 3932 3322 2074 6162 696e  "#idm4923" tabin
│ │ │  00055210: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  00055220: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  00055230: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  00055240: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  00055250: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00055260: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ -00055270: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ -00055280: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00055290: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -000552a0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -000552b0: 6c61 7073 6522 2069 643d 2269 646d 3439  lapse" id="idm49
│ │ │ -000552c0: 3233 223e 3c70 7265 3e3c 636f 6465 3e0a  23"><pre><code>.
│ │ │ -000552d0: 5b63 7573 746f 6d69 7a61 7469 6f6e 732e  [customizations.
│ │ │ -000552e0: 7365 7276 6963 6573 5d0a 656e 6162 6c65  services].enable
│ │ │ -000552f0: 6420 3d20 5b22 7273 7973 6c6f 6722 5d0a  d = ["rsyslog"].
│ │ │ -00055300: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00055310: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00055320: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00055330: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00055340: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00055350: 3d22 2369 646d 3439 3234 2220 7461 6269  ="#idm4924" tabi
│ │ │ -00055360: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -00055370: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -00055380: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -00055390: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -000553a0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -000553b0: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ -000553c0: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ -000553d0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -000553e0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -000553f0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00055400: 2269 646d 3439 3234 223e 3c74 6162 6c65  "idm4924"><table
│ │ │ -00055410: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -00055420: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -00055430: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -00055440: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -00055450: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -00055460: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00055470: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -00055480: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -00055490: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -000554a0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -000554b0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -000554c0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -000554d0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ -000554e0: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ -000554f0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -00055500: 653e 696e 636c 7564 6520 656e 6162 6c65  e>include enable
│ │ │ -00055510: 5f72 7379 736c 6f67 0a0a 636c 6173 7320  _rsyslog..class 
│ │ │ -00055520: 656e 6162 6c65 5f72 7379 736c 6f67 207b  enable_rsyslog {
│ │ │ -00055530: 0a20 2073 6572 7669 6365 207b 2772 7379  .  service {'rsy
│ │ │ -00055540: 736c 6f67 273a 0a20 2020 2065 6e61 626c  slog':.    enabl
│ │ │ -00055550: 6520 3d26 6774 3b20 7472 7565 2c0a 2020  e =&gt; true,.  
│ │ │ -00055560: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -00055570: 7275 6e6e 696e 6727 2c0a 2020 7d0a 7d0a  running',.  }.}.
│ │ │ -00055580: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00055590: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -000555a0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -000555b0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -000555c0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -000555d0: 3d22 2369 646d 3439 3235 2220 7461 6269  ="#idm4925" tabi
│ │ │ -000555e0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -000555f0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -00055600: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -00055610: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -00055620: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00055630: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -00055640: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -00055650: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00055660: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00055670: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00055680: 3d22 6964 6d34 3932 3522 3e3c 7461 626c  ="idm4925"><tabl
│ │ │ -00055690: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -000556a0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -000556b0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -000556c0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -000556d0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -000556e0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -000556f0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00055700: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00055710: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00055720: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00055730: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00055740: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00055750: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00055760: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -00055770: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00055780: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ -00055790: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ -000557a0: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ -000557b0: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ -000557c0: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ -000557d0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -000557e0: 552d 3428 3129 0a20 202d 204e 4953 542d  U-4(1).  - NIST-
│ │ │ -000557f0: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -00055800: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ -00055810: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -00055820: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -00055830: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ -00055840: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ -00055850: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -00055860: 640a 2020 2d20 7365 7276 6963 655f 7273  d.  - service_rs
│ │ │ -00055870: 7973 6c6f 675f 656e 6162 6c65 640a 0a2d  yslog_enabled..-
│ │ │ -00055880: 206e 616d 653a 2045 6e61 626c 6520 7273   name: Enable rs
│ │ │ -00055890: 7973 6c6f 6720 5365 7276 6963 6520 2d20  yslog Service - 
│ │ │ -000558a0: 456e 6162 6c65 2073 6572 7669 6365 2072  Enable service r
│ │ │ -000558b0: 7379 736c 6f67 0a20 2062 6c6f 636b 3a0a  syslog.  block:.
│ │ │ -000558c0: 0a20 202d 206e 616d 653a 2047 6174 6865  .  - name: Gathe
│ │ │ -000558d0: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ -000558e0: 6374 730a 2020 2020 7061 636b 6167 655f  cts.    package_
│ │ │ -000558f0: 6661 6374 733a 0a20 2020 2020 206d 616e  facts:.      man
│ │ │ -00055900: 6167 6572 3a20 6175 746f 0a0a 2020 2d20  ager: auto..  - 
│ │ │ -00055910: 6e61 6d65 3a20 456e 6162 6c65 2072 7379  name: Enable rsy
│ │ │ -00055920: 736c 6f67 2053 6572 7669 6365 202d 2045  slog Service - E
│ │ │ -00055930: 6e61 626c 6520 5365 7276 6963 6520 7273  nable Service rs
│ │ │ -00055940: 7973 6c6f 670a 2020 2020 616e 7369 626c  yslog.    ansibl
│ │ │ -00055950: 652e 6275 696c 7469 6e2e 7379 7374 656d  e.builtin.system
│ │ │ -00055960: 643a 0a20 2020 2020 206e 616d 653a 2072  d:.      name: r
│ │ │ -00055970: 7379 736c 6f67 0a20 2020 2020 2065 6e61  syslog.      ena
│ │ │ -00055980: 626c 6564 3a20 7472 7565 0a20 2020 2020  bled: true.     
│ │ │ -00055990: 2073 7461 7465 3a20 7374 6172 7465 640a   state: started.
│ │ │ -000559a0: 2020 2020 2020 6d61 736b 6564 3a20 6661        masked: fa
│ │ │ -000559b0: 6c73 650a 2020 2020 7768 656e 3a0a 2020  lse.    when:.  
│ │ │ -000559c0: 2020 2d20 2722 7273 7973 6c6f 6722 2069    - '"rsyslog" i
│ │ │ -000559d0: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ -000559e0: 7061 636b 6167 6573 270a 2020 7768 656e  packages'.  when
│ │ │ -000559f0: 3a20 2722 6c69 6e75 782d 6261 7365 2220  : '"linux-base" 
│ │ │ -00055a00: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ -00055a10: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ -00055a20: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -00055a30: 3533 2d41 552d 3428 3129 0a20 202d 204e  53-AU-4(1).  - N
│ │ │ -00055a40: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -00055a50: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ -00055a60: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -00055a70: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -00055a80: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -00055a90: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -00055aa0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -00055ab0: 6565 6465 640a 2020 2d20 7365 7276 6963  eeded.  - servic
│ │ │ -00055ac0: 655f 7273 7973 6c6f 675f 656e 6162 6c65  e_rsyslog_enable
│ │ │ -00055ad0: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +00055260: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +00055270: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +00055280: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00055290: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +000552a0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +000552b0: 2269 646d 3439 3233 223e 3c74 6162 6c65  "idm4923"><table
│ │ │ +000552c0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +000552d0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +000552e0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +000552f0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00055300: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00055310: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00055320: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00055330: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00055340: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00055350: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00055360: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00055370: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00055380: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +00055390: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +000553a0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +000553b0: 653e 2d20 6e61 6d65 3a20 4761 7468 6572  e>- name: Gather
│ │ │ +000553c0: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ +000553d0: 7473 0a20 2070 6163 6b61 6765 5f66 6163  ts.  package_fac
│ │ │ +000553e0: 7473 3a0a 2020 2020 6d61 6e61 6765 723a  ts:.    manager:
│ │ │ +000553f0: 2061 7574 6f0a 2020 7461 6773 3a0a 2020   auto.  tags:.  
│ │ │ +00055400: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +00055410: 2d34 2831 290a 2020 2d20 4e49 5354 2d38  -4(1).  - NIST-8
│ │ │ +00055420: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +00055430: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +00055440: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00055450: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00055460: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +00055470: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +00055480: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +00055490: 0a20 202d 2073 6572 7669 6365 5f72 7379  .  - service_rsy
│ │ │ +000554a0: 736c 6f67 5f65 6e61 626c 6564 0a0a 2d20  slog_enabled..- 
│ │ │ +000554b0: 6e61 6d65 3a20 456e 6162 6c65 2072 7379  name: Enable rsy
│ │ │ +000554c0: 736c 6f67 2053 6572 7669 6365 202d 2045  slog Service - E
│ │ │ +000554d0: 6e61 626c 6520 7365 7276 6963 6520 7273  nable service rs
│ │ │ +000554e0: 7973 6c6f 670a 2020 626c 6f63 6b3a 0a0a  yslog.  block:..
│ │ │ +000554f0: 2020 2d20 6e61 6d65 3a20 4761 7468 6572    - name: Gather
│ │ │ +00055500: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ +00055510: 7473 0a20 2020 2070 6163 6b61 6765 5f66  ts.    package_f
│ │ │ +00055520: 6163 7473 3a0a 2020 2020 2020 6d61 6e61  acts:.      mana
│ │ │ +00055530: 6765 723a 2061 7574 6f0a 0a20 202d 206e  ger: auto..  - n
│ │ │ +00055540: 616d 653a 2045 6e61 626c 6520 7273 7973  ame: Enable rsys
│ │ │ +00055550: 6c6f 6720 5365 7276 6963 6520 2d20 456e  log Service - En
│ │ │ +00055560: 6162 6c65 2053 6572 7669 6365 2072 7379  able Service rsy
│ │ │ +00055570: 736c 6f67 0a20 2020 2061 6e73 6962 6c65  slog.    ansible
│ │ │ +00055580: 2e62 7569 6c74 696e 2e73 7973 7465 6d64  .builtin.systemd
│ │ │ +00055590: 3a0a 2020 2020 2020 6e61 6d65 3a20 7273  :.      name: rs
│ │ │ +000555a0: 7973 6c6f 670a 2020 2020 2020 656e 6162  yslog.      enab
│ │ │ +000555b0: 6c65 643a 2074 7275 650a 2020 2020 2020  led: true.      
│ │ │ +000555c0: 7374 6174 653a 2073 7461 7274 6564 0a20  state: started. 
│ │ │ +000555d0: 2020 2020 206d 6173 6b65 643a 2066 616c       masked: fal
│ │ │ +000555e0: 7365 0a20 2020 2077 6865 6e3a 0a20 2020  se.    when:.   
│ │ │ +000555f0: 202d 2027 2272 7379 736c 6f67 2220 696e   - '"rsyslog" in
│ │ │ +00055600: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ +00055610: 6163 6b61 6765 7327 0a20 2077 6865 6e3a  ackages'.  when:
│ │ │ +00055620: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ +00055630: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ +00055640: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ +00055650: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +00055660: 332d 4155 2d34 2831 290a 2020 2d20 4e49  3-AU-4(1).  - NI
│ │ │ +00055670: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +00055680: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ +00055690: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +000556a0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +000556b0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +000556c0: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +000556d0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +000556e0: 6564 6564 0a20 202d 2073 6572 7669 6365  eded.  - service
│ │ │ +000556f0: 5f72 7379 736c 6f67 5f65 6e61 626c 6564  _rsyslog_enabled
│ │ │ +00055700: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +00055710: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +00055720: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +00055730: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +00055740: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +00055750: 743d 2223 6964 6d34 3932 3422 2074 6162  t="#idm4924" tab
│ │ │ +00055760: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +00055770: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +00055780: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +00055790: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +000557a0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +000557b0: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ +000557c0: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ +000557d0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +000557e0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +000557f0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00055800: 3d22 6964 6d34 3932 3422 3e3c 7461 626c  ="idm4924"><tabl
│ │ │ +00055810: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +00055820: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +00055830: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +00055840: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +00055850: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +00055860: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00055870: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +00055880: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +00055890: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +000558a0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +000558b0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +000558c0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +000558d0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +000558e0: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ +000558f0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00055900: 6465 3e69 6e63 6c75 6465 2065 6e61 626c  de>include enabl
│ │ │ +00055910: 655f 7273 7973 6c6f 670a 0a63 6c61 7373  e_rsyslog..class
│ │ │ +00055920: 2065 6e61 626c 655f 7273 7973 6c6f 6720   enable_rsyslog 
│ │ │ +00055930: 7b0a 2020 7365 7276 6963 6520 7b27 7273  {.  service {'rs
│ │ │ +00055940: 7973 6c6f 6727 3a0a 2020 2020 656e 6162  yslog':.    enab
│ │ │ +00055950: 6c65 203d 2667 743b 2074 7275 652c 0a20  le =&gt; true,. 
│ │ │ +00055960: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ +00055970: 2772 756e 6e69 6e67 272c 0a20 207d 0a7d  'running',.  }.}
│ │ │ +00055980: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +00055990: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +000559a0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +000559b0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +000559c0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +000559d0: 743d 2223 6964 6d34 3932 3522 2074 6162  t="#idm4925" tab
│ │ │ +000559e0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +000559f0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +00055a00: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +00055a10: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +00055a20: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +00055a30: 2122 3e52 656d 6564 6961 7469 6f6e 204f  !">Remediation O
│ │ │ +00055a40: 5342 7569 6c64 2042 6c75 6570 7269 6e74  SBuild Blueprint
│ │ │ +00055a50: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +00055a60: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +00055a70: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00055a80: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00055a90: 3439 3235 223e 3c70 7265 3e3c 636f 6465  4925"><pre><code
│ │ │ +00055aa0: 3e0a 5b63 7573 746f 6d69 7a61 7469 6f6e  >.[customization
│ │ │ +00055ab0: 732e 7365 7276 6963 6573 5d0a 656e 6162  s.services].enab
│ │ │ +00055ac0: 6c65 6420 3d20 5b22 7273 7973 6c6f 6722  led = ["rsyslog"
│ │ │ +00055ad0: 5d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ].</code></pre><
│ │ │  00055ae0: 2f64 6976 3e3c 2f64 6976 3e3c 2f74 643e  /div></div></td>
│ │ │  00055af0: 3c2f 7472 3e3c 2f74 626f 6479 3e3c 2f74  </tr></tbody></t
│ │ │  00055b00: 6162 6c65 3e3c 2f74 643e 3c2f 7472 3e3c  able></td></tr><
│ │ │  00055b10: 7472 2064 6174 612d 7474 2d69 643d 2263  tr data-tt-id="c
│ │ │  00055b20: 6869 6c64 7265 6e2d 7863 6364 665f 6f72  hildren-xccdf_or
│ │ │  00055b30: 672e 7373 6770 726f 6a65 6374 2e63 6f6e  g.ssgproject.con
│ │ │  00055b40: 7465 6e74 5f67 726f 7570 5f70 6572 6d69  tent_group_permi
│ │ │ @@ -29842,95 +29842,95 @@
│ │ │  00074910: 6172 6765 743d 2223 6964 6d39 3732 3622  arget="#idm9726"
│ │ │  00074920: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  00074930: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  00074940: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  00074950: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  00074960: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  00074970: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00074980: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ -00074990: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -000749a0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -000749b0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -000749c0: 2220 6964 3d22 6964 6d39 3732 3622 3e3c  " id="idm9726"><
│ │ │ -000749d0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -000749e0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -000749f0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -00074a00: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00074a10: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -00074a20: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -00074a30: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00074a40: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -00074a50: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00074a60: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -00074a70: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -00074a80: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00074a90: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -00074aa0: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -00074ab0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00074ac0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -00074ad0: 7265 6d6f 7665 5f69 6e65 7475 7469 6c73  remove_inetutils
│ │ │ -00074ae0: 2d74 656c 6e65 7464 0a0a 636c 6173 7320  -telnetd..class 
│ │ │ -00074af0: 7265 6d6f 7665 5f69 6e65 7475 7469 6c73  remove_inetutils
│ │ │ -00074b00: 2d74 656c 6e65 7464 207b 0a20 2070 6163  -telnetd {.  pac
│ │ │ -00074b10: 6b61 6765 207b 2027 696e 6574 7574 696c  kage { 'inetutil
│ │ │ -00074b20: 732d 7465 6c6e 6574 6427 3a0a 2020 2020  s-telnetd':.    
│ │ │ -00074b30: 656e 7375 7265 203d 2667 743b 2027 7075  ensure =&gt; 'pu
│ │ │ -00074b40: 7267 6564 272c 0a20 207d 0a7d 0a3c 2f63  rged',.  }.}.</c
│ │ │ -00074b50: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -00074b60: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -00074b70: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -00074b80: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -00074b90: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -00074ba0: 6964 6d39 3732 3722 2074 6162 696e 6465  idm9727" tabinde
│ │ │ -00074bb0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -00074bc0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -00074bd0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -00074be0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -00074bf0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00074c00: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -00074c10: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -00074c20: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -00074c30: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -00074c40: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -00074c50: 646d 3937 3237 223e 3c74 6162 6c65 2063  dm9727"><table c
│ │ │ -00074c60: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00074c70: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00074c80: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00074c90: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00074ca0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00074cb0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00074cc0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00074cd0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00074ce0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00074cf0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00074d00: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00074d10: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00074d20: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -00074d30: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00074d40: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00074d50: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ -00074d60: 696e 6574 7574 696c 732d 7465 6c6e 6574  inetutils-telnet
│ │ │ -00074d70: 6420 6973 2072 656d 6f76 6564 0a20 2070  d is removed.  p
│ │ │ -00074d80: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -00074d90: 3a20 696e 6574 7574 696c 732d 7465 6c6e  : inetutils-teln
│ │ │ -00074da0: 6574 640a 2020 2020 7374 6174 653a 2061  etd.    state: a
│ │ │ -00074db0: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ -00074dc0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00074dd0: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ -00074de0: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ -00074df0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00074e00: 2d37 2862 290a 2020 2d20 6469 7361 626c  -7(b).  - disabl
│ │ │ -00074e10: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ -00074e20: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ -00074e30: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00074e40: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00074e50: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ -00074e60: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -00074e70: 6167 655f 696e 6574 7574 696c 732d 7465  age_inetutils-te
│ │ │ -00074e80: 6c6e 6574 645f 7265 6d6f 7665 640a 3c2f  lnetd_removed.</
│ │ │ +00074980: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +00074990: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +000749a0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +000749b0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +000749c0: 6522 2069 643d 2269 646d 3937 3236 223e  e" id="idm9726">
│ │ │ +000749d0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +000749e0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +000749f0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00074a00: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00074a10: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00074a20: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00074a30: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00074a40: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00074a50: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00074a60: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00074a70: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00074a80: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00074a90: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00074aa0: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +00074ab0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00074ac0: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +00074ad0: 2045 6e73 7572 6520 696e 6574 7574 696c   Ensure inetutil
│ │ │ +00074ae0: 732d 7465 6c6e 6574 6420 6973 2072 656d  s-telnetd is rem
│ │ │ +00074af0: 6f76 6564 0a20 2070 6163 6b61 6765 3a0a  oved.  package:.
│ │ │ +00074b00: 2020 2020 6e61 6d65 3a20 696e 6574 7574      name: inetut
│ │ │ +00074b10: 696c 732d 7465 6c6e 6574 640a 2020 2020  ils-telnetd.    
│ │ │ +00074b20: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ +00074b30: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +00074b40: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +00074b50: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +00074b60: 2d37 2861 290a 2020 2d20 4e49 5354 2d38  -7(a).  - NIST-8
│ │ │ +00074b70: 3030 2d35 332d 434d 2d37 2862 290a 2020  00-53-CM-7(b).  
│ │ │ +00074b80: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ +00074b90: 6779 0a20 202d 2068 6967 685f 7365 7665  gy.  - high_seve
│ │ │ +00074ba0: 7269 7479 0a20 202d 206c 6f77 5f63 6f6d  rity.  - low_com
│ │ │ +00074bb0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +00074bc0: 6469 7372 7570 7469 6f6e 0a20 202d 206e  disruption.  - n
│ │ │ +00074bd0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +00074be0: 2020 2d20 7061 636b 6167 655f 696e 6574    - package_inet
│ │ │ +00074bf0: 7574 696c 732d 7465 6c6e 6574 645f 7265  utils-telnetd_re
│ │ │ +00074c00: 6d6f 7665 640a 3c2f 636f 6465 3e3c 2f70  moved.</code></p
│ │ │ +00074c10: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +00074c20: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +00074c30: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +00074c40: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +00074c50: 7461 7267 6574 3d22 2369 646d 3937 3237  target="#idm9727
│ │ │ +00074c60: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00074c70: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00074c80: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00074c90: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00074ca0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00074cb0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +00074cc0: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +00074cd0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00074ce0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00074cf0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00074d00: 6522 2069 643d 2269 646d 3937 3237 223e  e" id="idm9727">
│ │ │ +00074d10: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00074d20: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00074d30: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00074d40: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00074d50: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00074d60: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00074d70: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00074d80: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00074d90: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00074da0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00074db0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00074dc0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00074dd0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00074de0: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +00074df0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00074e00: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +00074e10: 2072 656d 6f76 655f 696e 6574 7574 696c   remove_inetutil
│ │ │ +00074e20: 732d 7465 6c6e 6574 640a 0a63 6c61 7373  s-telnetd..class
│ │ │ +00074e30: 2072 656d 6f76 655f 696e 6574 7574 696c   remove_inetutil
│ │ │ +00074e40: 732d 7465 6c6e 6574 6420 7b0a 2020 7061  s-telnetd {.  pa
│ │ │ +00074e50: 636b 6167 6520 7b20 2769 6e65 7475 7469  ckage { 'inetuti
│ │ │ +00074e60: 6c73 2d74 656c 6e65 7464 273a 0a20 2020  ls-telnetd':.   
│ │ │ +00074e70: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ +00074e80: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │  00074e90: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │  00074ea0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │  00074eb0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │  00074ec0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │  00074ed0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  00074ee0: 2369 646d 3937 3238 2220 7461 6269 6e64  #idm9728" tabind
│ │ │  00074ef0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ @@ -30076,86 +30076,86 @@
│ │ │  000757b0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  000757c0: 6964 6d39 3733 3522 2074 6162 696e 6465  idm9735" tabinde
│ │ │  000757d0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  000757e0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  000757f0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  00075800: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  00075810: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00075820: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -00075830: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -00075840: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00075850: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00075860: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00075870: 6d39 3733 3522 3e3c 7461 626c 6520 636c  m9735"><table cl
│ │ │ -00075880: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00075890: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -000758a0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -000758b0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -000758c0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -000758d0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -000758e0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -000758f0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00075900: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00075910: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00075920: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00075930: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00075940: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -00075950: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00075960: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00075970: 696e 636c 7564 6520 7265 6d6f 7665 5f6e  include remove_n
│ │ │ -00075980: 6973 0a0a 636c 6173 7320 7265 6d6f 7665  is..class remove
│ │ │ -00075990: 5f6e 6973 207b 0a20 2070 6163 6b61 6765  _nis {.  package
│ │ │ -000759a0: 207b 2027 6e69 7327 3a0a 2020 2020 656e   { 'nis':.    en
│ │ │ -000759b0: 7375 7265 203d 2667 743b 2027 7075 7267  sure =&gt; 'purg
│ │ │ -000759c0: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ -000759d0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -000759e0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -000759f0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -00075a00: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -00075a10: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -00075a20: 6d39 3733 3622 2074 6162 696e 6465 783d  m9736" tabindex=
│ │ │ -00075a30: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -00075a40: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -00075a50: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00075a60: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00075a70: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00075a80: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ -00075a90: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00075aa0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00075ab0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00075ac0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00075ad0: 3937 3336 223e 3c74 6162 6c65 2063 6c61  9736"><table cla
│ │ │ -00075ae0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00075af0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00075b00: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00075b10: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00075b20: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00075b30: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00075b40: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00075b50: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00075b60: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00075b70: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00075b80: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00075b90: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00075ba0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -00075bb0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00075bc0: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -00075bd0: 206e 616d 653a 2045 6e73 7572 6520 6e69   name: Ensure ni
│ │ │ -00075be0: 7320 6973 2072 656d 6f76 6564 0a20 2070  s is removed.  p
│ │ │ -00075bf0: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -00075c00: 3a20 6e69 730a 2020 2020 7374 6174 653a  : nis.    state:
│ │ │ -00075c10: 2061 6273 656e 740a 2020 7461 6773 3a0a   absent.  tags:.
│ │ │ -00075c20: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -00075c30: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -00075c40: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -00075c50: 6469 7372 7570 7469 6f6e 0a20 202d 206c  disruption.  - l
│ │ │ -00075c60: 6f77 5f73 6576 6572 6974 790a 2020 2d20  ow_severity.  - 
│ │ │ -00075c70: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -00075c80: 0a20 202d 2070 6163 6b61 6765 5f6e 6973  .  - package_nis
│ │ │ -00075c90: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ +00075820: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +00075830: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +00075840: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00075850: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00075860: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00075870: 646d 3937 3335 223e 3c74 6162 6c65 2063  dm9735"><table c
│ │ │ +00075880: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00075890: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +000758a0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +000758b0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +000758c0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +000758d0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +000758e0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +000758f0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00075900: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00075910: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00075920: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00075930: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00075940: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +00075950: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00075960: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +00075970: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ +00075980: 6e69 7320 6973 2072 656d 6f76 6564 0a20  nis is removed. 
│ │ │ +00075990: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +000759a0: 6d65 3a20 6e69 730a 2020 2020 7374 6174  me: nis.    stat
│ │ │ +000759b0: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ +000759c0: 3a0a 2020 2d20 6469 7361 626c 655f 7374  :.  - disable_st
│ │ │ +000759d0: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +000759e0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +000759f0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +00075a00: 206c 6f77 5f73 6576 6572 6974 790a 2020   low_severity.  
│ │ │ +00075a10: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +00075a20: 6564 0a20 202d 2070 6163 6b61 6765 5f6e  ed.  - package_n
│ │ │ +00075a30: 6973 5f72 656d 6f76 6564 0a3c 2f63 6f64  is_removed.</cod
│ │ │ +00075a40: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00075a50: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00075a60: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00075a70: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00075a80: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00075a90: 6d39 3733 3622 2074 6162 696e 6465 783d  m9736" tabindex=
│ │ │ +00075aa0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00075ab0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00075ac0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +00075ad0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +00075ae0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +00075af0: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ +00075b00: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00075b10: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00075b20: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00075b30: 6c6c 6170 7365 2220 6964 3d22 6964 6d39  llapse" id="idm9
│ │ │ +00075b40: 3733 3622 3e3c 7461 626c 6520 636c 6173  736"><table clas
│ │ │ +00075b50: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00075b60: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00075b70: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00075b80: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00075b90: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00075ba0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00075bb0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +00075bc0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +00075bd0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00075be0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00075bf0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00075c00: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00075c10: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +00075c20: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00075c30: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +00075c40: 636c 7564 6520 7265 6d6f 7665 5f6e 6973  clude remove_nis
│ │ │ +00075c50: 0a0a 636c 6173 7320 7265 6d6f 7665 5f6e  ..class remove_n
│ │ │ +00075c60: 6973 207b 0a20 2070 6163 6b61 6765 207b  is {.  package {
│ │ │ +00075c70: 2027 6e69 7327 3a0a 2020 2020 656e 7375   'nis':.    ensu
│ │ │ +00075c80: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ +00075c90: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │  00075ca0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │  00075cb0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │  00075cc0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │  00075cd0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │  00075ce0: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │  00075cf0: 3733 3722 2074 6162 696e 6465 783d 2230  737" tabindex="0
│ │ │  00075d00: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ @@ -30299,88 +30299,88 @@
│ │ │  000765a0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  000765b0: 2223 6964 6d39 3734 3422 2074 6162 696e  "#idm9744" tabin
│ │ │  000765c0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  000765d0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  000765e0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  000765f0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  00076600: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00076610: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ -00076620: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ -00076630: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00076640: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00076650: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00076660: 6964 6d39 3734 3422 3e3c 7461 626c 6520  idm9744"><table 
│ │ │ -00076670: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -00076680: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -00076690: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -000766a0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -000766b0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -000766c0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -000766d0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -000766e0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -000766f0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00076700: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -00076710: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -00076720: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -00076730: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -00076740: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -00076750: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -00076760: 653e 696e 636c 7564 6520 7265 6d6f 7665  e>include remove
│ │ │ -00076770: 5f6e 7470 6461 7465 0a0a 636c 6173 7320  _ntpdate..class 
│ │ │ -00076780: 7265 6d6f 7665 5f6e 7470 6461 7465 207b  remove_ntpdate {
│ │ │ -00076790: 0a20 2070 6163 6b61 6765 207b 2027 6e74  .  package { 'nt
│ │ │ -000767a0: 7064 6174 6527 3a0a 2020 2020 656e 7375  pdate':.    ensu
│ │ │ -000767b0: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ -000767c0: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -000767d0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -000767e0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -000767f0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -00076800: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -00076810: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │ -00076820: 3734 3522 2074 6162 696e 6465 783d 2230  745" tabindex="0
│ │ │ -00076830: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00076840: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00076850: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00076860: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -00076870: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00076880: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ -00076890: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -000768a0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -000768b0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -000768c0: 6c61 7073 6522 2069 643d 2269 646d 3937  lapse" id="idm97
│ │ │ -000768d0: 3435 223e 3c74 6162 6c65 2063 6c61 7373  45"><table class
│ │ │ -000768e0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -000768f0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -00076900: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -00076910: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -00076920: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -00076930: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00076940: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -00076950: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -00076960: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00076970: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -00076980: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -00076990: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -000769a0: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ -000769b0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -000769c0: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ -000769d0: 616d 653a 2045 6e73 7572 6520 6e74 7064  ame: Ensure ntpd
│ │ │ -000769e0: 6174 6520 6973 2072 656d 6f76 6564 0a20  ate is removed. 
│ │ │ -000769f0: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ -00076a00: 6d65 3a20 6e74 7064 6174 650a 2020 2020  me: ntpdate.    
│ │ │ -00076a10: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ -00076a20: 7461 6773 3a0a 2020 2d20 6469 7361 626c  tags:.  - disabl
│ │ │ -00076a30: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -00076a40: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -00076a50: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -00076a60: 0a20 202d 206c 6f77 5f73 6576 6572 6974  .  - low_severit
│ │ │ -00076a70: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -00076a80: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -00076a90: 6765 5f6e 7470 6461 7465 5f72 656d 6f76  ge_ntpdate_remov
│ │ │ -00076aa0: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +00076610: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +00076620: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +00076630: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00076640: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00076650: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00076660: 2269 646d 3937 3434 223e 3c74 6162 6c65  "idm9744"><table
│ │ │ +00076670: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00076680: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00076690: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +000766a0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +000766b0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +000766c0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +000766d0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +000766e0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +000766f0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00076700: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00076710: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00076720: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00076730: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +00076740: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +00076750: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00076760: 6465 3e2d 206e 616d 653a 2045 6e73 7572  de>- name: Ensur
│ │ │ +00076770: 6520 6e74 7064 6174 6520 6973 2072 656d  e ntpdate is rem
│ │ │ +00076780: 6f76 6564 0a20 2070 6163 6b61 6765 3a0a  oved.  package:.
│ │ │ +00076790: 2020 2020 6e61 6d65 3a20 6e74 7064 6174      name: ntpdat
│ │ │ +000767a0: 650a 2020 2020 7374 6174 653a 2061 6273  e.    state: abs
│ │ │ +000767b0: 656e 740a 2020 7461 6773 3a0a 2020 2d20  ent.  tags:.  - 
│ │ │ +000767c0: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ +000767d0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +000767e0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +000767f0: 7570 7469 6f6e 0a20 202d 206c 6f77 5f73  uption.  - low_s
│ │ │ +00076800: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +00076810: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +00076820: 2070 6163 6b61 6765 5f6e 7470 6461 7465   package_ntpdate
│ │ │ +00076830: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ +00076840: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +00076850: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +00076860: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +00076870: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +00076880: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │ +00076890: 3734 3522 2074 6162 696e 6465 783d 2230  745" tabindex="0
│ │ │ +000768a0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +000768b0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +000768c0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +000768d0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +000768e0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +000768f0: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +00076900: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00076910: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00076920: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00076930: 6170 7365 2220 6964 3d22 6964 6d39 3734  apse" id="idm974
│ │ │ +00076940: 3522 3e3c 7461 626c 6520 636c 6173 733d  5"><table class=
│ │ │ +00076950: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +00076960: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +00076970: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00076980: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +00076990: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +000769a0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +000769b0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +000769c0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +000769d0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +000769e0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +000769f0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00076a00: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00076a10: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +00076a20: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00076a30: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ +00076a40: 7564 6520 7265 6d6f 7665 5f6e 7470 6461  ude remove_ntpda
│ │ │ +00076a50: 7465 0a0a 636c 6173 7320 7265 6d6f 7665  te..class remove
│ │ │ +00076a60: 5f6e 7470 6461 7465 207b 0a20 2070 6163  _ntpdate {.  pac
│ │ │ +00076a70: 6b61 6765 207b 2027 6e74 7064 6174 6527  kage { 'ntpdate'
│ │ │ +00076a80: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ +00076a90: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ +00076aa0: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │  00076ab0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │  00076ac0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │  00076ad0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │  00076ae0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │  00076af0: 6765 743d 2223 6964 6d39 3734 3622 2074  get="#idm9746" t
│ │ │  00076b00: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  00076b10: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ @@ -30641,93 +30641,93 @@
│ │ │  00077b00: 6765 743d 2223 6964 6d39 3834 3522 2074  get="#idm9845" t
│ │ │  00077b10: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  00077b20: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  00077b30: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  00077b40: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  00077b50: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  00077b60: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00077b70: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -00077b80: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00077b90: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00077ba0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00077bb0: 6964 3d22 6964 6d39 3834 3522 3e3c 7461  id="idm9845"><ta
│ │ │ -00077bc0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00077bd0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00077be0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00077bf0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00077c00: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -00077c10: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -00077c20: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00077c30: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -00077c40: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00077c50: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -00077c60: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -00077c70: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00077c80: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -00077c90: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -00077ca0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00077cb0: 3c63 6f64 653e 696e 636c 7564 6520 7265  <code>include re
│ │ │ -00077cc0: 6d6f 7665 5f74 656c 6e65 7464 2d73 736c  move_telnetd-ssl
│ │ │ -00077cd0: 0a0a 636c 6173 7320 7265 6d6f 7665 5f74  ..class remove_t
│ │ │ -00077ce0: 656c 6e65 7464 2d73 736c 207b 0a20 2070  elnetd-ssl {.  p
│ │ │ -00077cf0: 6163 6b61 6765 207b 2027 7465 6c6e 6574  ackage { 'telnet
│ │ │ -00077d00: 642d 7373 6c27 3a0a 2020 2020 656e 7375  d-ssl':.    ensu
│ │ │ -00077d10: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ -00077d20: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -00077d30: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00077d40: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -00077d50: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -00077d60: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -00077d70: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │ -00077d80: 3834 3622 2074 6162 696e 6465 783d 2230  846" tabindex="0
│ │ │ -00077d90: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00077da0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00077db0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00077dc0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -00077dd0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00077de0: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ -00077df0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00077e00: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00077e10: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -00077e20: 6c61 7073 6522 2069 643d 2269 646d 3938  lapse" id="idm98
│ │ │ -00077e30: 3436 223e 3c74 6162 6c65 2063 6c61 7373  46"><table class
│ │ │ -00077e40: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -00077e50: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -00077e60: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -00077e70: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -00077e80: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -00077e90: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00077ea0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -00077eb0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -00077ec0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00077ed0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -00077ee0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -00077ef0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -00077f00: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ -00077f10: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -00077f20: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ -00077f30: 616d 653a 2045 6e73 7572 6520 7465 6c6e  ame: Ensure teln
│ │ │ -00077f40: 6574 642d 7373 6c20 6973 2072 656d 6f76  etd-ssl is remov
│ │ │ -00077f50: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ -00077f60: 2020 6e61 6d65 3a20 7465 6c6e 6574 642d    name: telnetd-
│ │ │ -00077f70: 7373 6c0a 2020 2020 7374 6174 653a 2061  ssl.    state: a
│ │ │ -00077f80: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ -00077f90: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00077fa0: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ -00077fb0: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ -00077fc0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00077fd0: 2d37 2862 290a 2020 2d20 6469 7361 626c  -7(b).  - disabl
│ │ │ -00077fe0: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ -00077ff0: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ -00078000: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00078010: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00078020: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ -00078030: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -00078040: 6167 655f 7465 6c6e 6574 642d 7373 6c5f  age_telnetd-ssl_
│ │ │ -00078050: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ +00077b70: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +00077b80: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00077b90: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00077ba0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00077bb0: 2069 643d 2269 646d 3938 3435 223e 3c74   id="idm9845"><t
│ │ │ +00077bc0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +00077bd0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00077be0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +00077bf0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00077c00: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00077c10: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00077c20: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00077c30: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +00077c40: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00077c50: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +00077c60: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +00077c70: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00077c80: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00077c90: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +00077ca0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00077cb0: 3e3c 636f 6465 3e2d 206e 616d 653a 2045  ><code>- name: E
│ │ │ +00077cc0: 6e73 7572 6520 7465 6c6e 6574 642d 7373  nsure telnetd-ss
│ │ │ +00077cd0: 6c20 6973 2072 656d 6f76 6564 0a20 2070  l is removed.  p
│ │ │ +00077ce0: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ +00077cf0: 3a20 7465 6c6e 6574 642d 7373 6c0a 2020  : telnetd-ssl.  
│ │ │ +00077d00: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ +00077d10: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +00077d20: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +00077d30: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00077d40: 434d 2d37 2861 290a 2020 2d20 4e49 5354  CM-7(a).  - NIST
│ │ │ +00077d50: 2d38 3030 2d35 332d 434d 2d37 2862 290a  -800-53-CM-7(b).
│ │ │ +00077d60: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ +00077d70: 7465 6779 0a20 202d 2068 6967 685f 7365  tegy.  - high_se
│ │ │ +00077d80: 7665 7269 7479 0a20 202d 206c 6f77 5f63  verity.  - low_c
│ │ │ +00077d90: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +00077da0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +00077db0: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +00077dc0: 640a 2020 2d20 7061 636b 6167 655f 7465  d.  - package_te
│ │ │ +00077dd0: 6c6e 6574 642d 7373 6c5f 7265 6d6f 7665  lnetd-ssl_remove
│ │ │ +00077de0: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +00077df0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +00077e00: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +00077e10: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +00077e20: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +00077e30: 6574 3d22 2369 646d 3938 3436 2220 7461  et="#idm9846" ta
│ │ │ +00077e40: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +00077e50: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +00077e60: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +00077e70: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +00077e80: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +00077e90: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +00077ea0: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ +00077eb0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +00077ec0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +00077ed0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +00077ee0: 643d 2269 646d 3938 3436 223e 3c74 6162  d="idm9846"><tab
│ │ │ +00077ef0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00077f00: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00077f10: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00077f20: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00077f30: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00077f40: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00077f50: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +00077f60: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +00077f70: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00077f80: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +00077f90: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +00077fa0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +00077fb0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +00077fc0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ +00077fd0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +00077fe0: 636f 6465 3e69 6e63 6c75 6465 2072 656d  code>include rem
│ │ │ +00077ff0: 6f76 655f 7465 6c6e 6574 642d 7373 6c0a  ove_telnetd-ssl.
│ │ │ +00078000: 0a63 6c61 7373 2072 656d 6f76 655f 7465  .class remove_te
│ │ │ +00078010: 6c6e 6574 642d 7373 6c20 7b0a 2020 7061  lnetd-ssl {.  pa
│ │ │ +00078020: 636b 6167 6520 7b20 2774 656c 6e65 7464  ckage { 'telnetd
│ │ │ +00078030: 2d73 736c 273a 0a20 2020 2065 6e73 7572  -ssl':.    ensur
│ │ │ +00078040: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ +00078050: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │  00078060: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │  00078070: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │  00078080: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │  00078090: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │  000780a0: 612d 7461 7267 6574 3d22 2369 646d 3938  a-target="#idm98
│ │ │  000780b0: 3437 2220 7461 6269 6e64 6578 3d22 3022  47" tabindex="0"
│ │ │  000780c0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ @@ -30988,92 +30988,92 @@
│ │ │  000790b0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  000790c0: 646d 3939 3435 2220 7461 6269 6e64 6578  dm9945" tabindex
│ │ │  000790d0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │  000790e0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │  000790f0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │  00079100: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │  00079110: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00079120: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -00079130: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00079140: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00079150: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00079160: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00079170: 3939 3435 223e 3c74 6162 6c65 2063 6c61  9945"><table cla
│ │ │ -00079180: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00079190: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -000791a0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -000791b0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -000791c0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -000791d0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -000791e0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -000791f0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00079200: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00079210: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00079220: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00079230: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00079240: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -00079250: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00079260: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ -00079270: 6e63 6c75 6465 2072 656d 6f76 655f 7465  nclude remove_te
│ │ │ -00079280: 6c6e 6574 640a 0a63 6c61 7373 2072 656d  lnetd..class rem
│ │ │ -00079290: 6f76 655f 7465 6c6e 6574 6420 7b0a 2020  ove_telnetd {.  
│ │ │ -000792a0: 7061 636b 6167 6520 7b20 2774 656c 6e65  package { 'telne
│ │ │ -000792b0: 7464 273a 0a20 2020 2065 6e73 7572 6520  td':.    ensure 
│ │ │ -000792c0: 3d26 6774 3b20 2770 7572 6765 6427 2c0a  =&gt; 'purged',.
│ │ │ -000792d0: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -000792e0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -000792f0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00079300: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00079310: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -00079320: 7461 7267 6574 3d22 2369 646d 3939 3436  target="#idm9946
│ │ │ -00079330: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00079340: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00079350: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -00079360: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -00079370: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -00079380: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00079390: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -000793a0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -000793b0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -000793c0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -000793d0: 7365 2220 6964 3d22 6964 6d39 3934 3622  se" id="idm9946"
│ │ │ -000793e0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -000793f0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00079400: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00079410: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00079420: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00079430: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -00079440: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00079450: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -00079460: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00079470: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -00079480: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -00079490: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -000794a0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -000794b0: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -000794c0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -000794d0: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -000794e0: 3a20 456e 7375 7265 2074 656c 6e65 7464  : Ensure telnetd
│ │ │ -000794f0: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ -00079500: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -00079510: 2074 656c 6e65 7464 0a20 2020 2073 7461   telnetd.    sta
│ │ │ -00079520: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ -00079530: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -00079540: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ -00079550: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ -00079560: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ -00079570: 3533 2d43 4d2d 3728 6229 0a20 202d 2064  53-CM-7(b).  - d
│ │ │ -00079580: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ -00079590: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ -000795a0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -000795b0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -000795c0: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ -000795d0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -000795e0: 2070 6163 6b61 6765 5f74 656c 6e65 7464   package_telnetd
│ │ │ -000795f0: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ +00079120: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ +00079130: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ +00079140: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00079150: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00079160: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00079170: 6d39 3934 3522 3e3c 7461 626c 6520 636c  m9945"><table cl
│ │ │ +00079180: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +00079190: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +000791a0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +000791b0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +000791c0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +000791d0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +000791e0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +000791f0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +00079200: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00079210: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +00079220: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +00079230: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +00079240: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +00079250: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00079260: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00079270: 2d20 6e61 6d65 3a20 456e 7375 7265 2074  - name: Ensure t
│ │ │ +00079280: 656c 6e65 7464 2069 7320 7265 6d6f 7665  elnetd is remove
│ │ │ +00079290: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ +000792a0: 206e 616d 653a 2074 656c 6e65 7464 0a20   name: telnetd. 
│ │ │ +000792b0: 2020 2073 7461 7465 3a20 6162 7365 6e74     state: absent
│ │ │ +000792c0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +000792d0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +000792e0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +000792f0: 2d43 4d2d 3728 6129 0a20 202d 204e 4953  -CM-7(a).  - NIS
│ │ │ +00079300: 542d 3830 302d 3533 2d43 4d2d 3728 6229  T-800-53-CM-7(b)
│ │ │ +00079310: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ +00079320: 6174 6567 790a 2020 2d20 6869 6768 5f73  ategy.  - high_s
│ │ │ +00079330: 6576 6572 6974 790a 2020 2d20 6c6f 775f  everity.  - low_
│ │ │ +00079340: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +00079350: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +00079360: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +00079370: 6564 0a20 202d 2070 6163 6b61 6765 5f74  ed.  - package_t
│ │ │ +00079380: 656c 6e65 7464 5f72 656d 6f76 6564 0a3c  elnetd_removed.<
│ │ │ +00079390: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +000793a0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +000793b0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +000793c0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +000793d0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +000793e0: 2223 6964 6d39 3934 3622 2074 6162 696e  "#idm9946" tabin
│ │ │ +000793f0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00079400: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00079410: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00079420: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00079430: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00079440: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +00079450: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +00079460: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00079470: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00079480: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00079490: 6964 6d39 3934 3622 3e3c 7461 626c 6520  idm9946"><table 
│ │ │ +000794a0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +000794b0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +000794c0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +000794d0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +000794e0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +000794f0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00079500: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +00079510: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +00079520: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00079530: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +00079540: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +00079550: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +00079560: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +00079570: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +00079580: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00079590: 653e 696e 636c 7564 6520 7265 6d6f 7665  e>include remove
│ │ │ +000795a0: 5f74 656c 6e65 7464 0a0a 636c 6173 7320  _telnetd..class 
│ │ │ +000795b0: 7265 6d6f 7665 5f74 656c 6e65 7464 207b  remove_telnetd {
│ │ │ +000795c0: 0a20 2070 6163 6b61 6765 207b 2027 7465  .  package { 'te
│ │ │ +000795d0: 6c6e 6574 6427 3a0a 2020 2020 656e 7375  lnetd':.    ensu
│ │ │ +000795e0: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ +000795f0: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │  00079600: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │  00079610: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │  00079620: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │  00079630: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │  00079640: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │  00079650: 3934 3722 2074 6162 696e 6465 783d 2230  947" tabindex="0
│ │ │  00079660: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ @@ -31570,128 +31570,128 @@
│ │ │  0007b510: 6574 3d22 2369 646d 3130 3333 3122 2074  et="#idm10331" t
│ │ │  0007b520: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  0007b530: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  0007b540: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  0007b550: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  0007b560: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  0007b570: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -0007b580: 204f 5342 7569 6c64 2042 6c75 6570 7269   OSBuild Bluepri
│ │ │ -0007b590: 6e74 2073 6e69 7070 6574 20e2 87b2 3c2f  nt snippet ...</
│ │ │ -0007b5a0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0007b5b0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0007b5c0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0007b5d0: 646d 3130 3333 3122 3e3c 7072 653e 3c63  dm10331"><pre><c
│ │ │ -0007b5e0: 6f64 653e 0a5b 5b70 6163 6b61 6765 735d  ode>.[[packages]
│ │ │ -0007b5f0: 5d0a 6e61 6d65 203d 2022 6e74 7022 0a76  ].name = "ntp".v
│ │ │ -0007b600: 6572 7369 6f6e 203d 2022 2a22 0a3c 2f63  ersion = "*".</c
│ │ │ -0007b610: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -0007b620: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -0007b630: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -0007b640: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -0007b650: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -0007b660: 6964 6d31 3033 3332 2220 7461 6269 6e64  idm10332" tabind
│ │ │ -0007b670: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -0007b680: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -0007b690: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -0007b6a0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -0007b6b0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -0007b6c0: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ -0007b6d0: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ -0007b6e0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0007b6f0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0007b700: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0007b710: 646d 3130 3333 3222 3e3c 7461 626c 6520  dm10332"><table 
│ │ │ -0007b720: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -0007b730: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -0007b740: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -0007b750: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -0007b760: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -0007b770: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0007b780: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -0007b790: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -0007b7a0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0007b7b0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -0007b7c0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -0007b7d0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -0007b7e0: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -0007b7f0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0007b800: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0007b810: 3e69 6e63 6c75 6465 2069 6e73 7461 6c6c  >include install
│ │ │ -0007b820: 5f6e 7470 0a0a 636c 6173 7320 696e 7374  _ntp..class inst
│ │ │ -0007b830: 616c 6c5f 6e74 7020 7b0a 2020 7061 636b  all_ntp {.  pack
│ │ │ -0007b840: 6167 6520 7b20 276e 7470 273a 0a20 2020  age { 'ntp':.   
│ │ │ -0007b850: 2065 6e73 7572 6520 3d26 6774 3b20 2769   ensure =&gt; 'i
│ │ │ -0007b860: 6e73 7461 6c6c 6564 272c 0a20 207d 0a7d  nstalled',.  }.}
│ │ │ -0007b870: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -0007b880: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -0007b890: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -0007b8a0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -0007b8b0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -0007b8c0: 743d 2223 6964 6d31 3033 3333 2220 7461  t="#idm10333" ta
│ │ │ -0007b8d0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -0007b8e0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -0007b8f0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -0007b900: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -0007b910: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -0007b920: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -0007b930: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ -0007b940: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -0007b950: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -0007b960: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -0007b970: 6964 3d22 6964 6d31 3033 3333 223e 3c74  id="idm10333"><t
│ │ │ -0007b980: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -0007b990: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -0007b9a0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -0007b9b0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -0007b9c0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -0007b9d0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -0007b9e0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0007b9f0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -0007ba00: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0007ba10: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -0007ba20: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -0007ba30: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0007ba40: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -0007ba50: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -0007ba60: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -0007ba70: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ -0007ba80: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ -0007ba90: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ -0007baa0: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ -0007bab0: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ -0007bac0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -0007bad0: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ -0007bae0: 492d 4453 532d 5265 712d 3130 2e34 0a20  I-DSS-Req-10.4. 
│ │ │ -0007baf0: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ -0007bb00: 6779 0a20 202d 2068 6967 685f 7365 7665  gy.  - high_seve
│ │ │ -0007bb10: 7269 7479 0a20 202d 206c 6f77 5f63 6f6d  rity.  - low_com
│ │ │ -0007bb20: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -0007bb30: 6469 7372 7570 7469 6f6e 0a20 202d 206e  disruption.  - n
│ │ │ -0007bb40: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -0007bb50: 2020 2d20 7061 636b 6167 655f 6e74 705f    - package_ntp_
│ │ │ -0007bb60: 696e 7374 616c 6c65 640a 0a2d 206e 616d  installed..- nam
│ │ │ -0007bb70: 653a 2045 6e73 7572 6520 6e74 7020 6973  e: Ensure ntp is
│ │ │ -0007bb80: 2069 6e73 7461 6c6c 6564 0a20 2070 6163   installed.  pac
│ │ │ -0007bb90: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -0007bba0: 6e74 700a 2020 2020 7374 6174 653a 2070  ntp.    state: p
│ │ │ -0007bbb0: 7265 7365 6e74 0a20 2077 6865 6e3a 2027  resent.  when: '
│ │ │ -0007bbc0: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ -0007bbd0: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ -0007bbe0: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ -0007bbf0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0007bc00: 434d 2d36 2861 290a 2020 2d20 5043 492d  CM-6(a).  - PCI-
│ │ │ -0007bc10: 4453 532d 5265 712d 3130 2e34 0a20 202d  DSS-Req-10.4.  -
│ │ │ -0007bc20: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -0007bc30: 0a20 202d 2068 6967 685f 7365 7665 7269  .  - high_severi
│ │ │ -0007bc40: 7479 0a20 202d 206c 6f77 5f63 6f6d 706c  ty.  - low_compl
│ │ │ -0007bc50: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -0007bc60: 7372 7570 7469 6f6e 0a20 202d 206e 6f5f  sruption.  - no_
│ │ │ -0007bc70: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -0007bc80: 2d20 7061 636b 6167 655f 6e74 705f 696e  - package_ntp_in
│ │ │ -0007bc90: 7374 616c 6c65 640a 3c2f 636f 6465 3e3c  stalled.</code><
│ │ │ +0007b580: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +0007b590: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +0007b5a0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +0007b5b0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +0007b5c0: 2069 643d 2269 646d 3130 3333 3122 3e3c   id="idm10331"><
│ │ │ +0007b5d0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +0007b5e0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +0007b5f0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +0007b600: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +0007b610: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +0007b620: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +0007b630: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0007b640: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +0007b650: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0007b660: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +0007b670: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +0007b680: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0007b690: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +0007b6a0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +0007b6b0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +0007b6c0: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ +0007b6d0: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ +0007b6e0: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ +0007b6f0: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ +0007b700: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ +0007b710: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +0007b720: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ +0007b730: 4349 2d44 5353 2d52 6571 2d31 302e 340a  CI-DSS-Req-10.4.
│ │ │ +0007b740: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ +0007b750: 6567 790a 2020 2d20 6869 6768 5f73 6576  egy.  - high_sev
│ │ │ +0007b760: 6572 6974 790a 2020 2d20 6c6f 775f 636f  erity.  - low_co
│ │ │ +0007b770: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +0007b780: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +0007b790: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +0007b7a0: 0a20 202d 2070 6163 6b61 6765 5f6e 7470  .  - package_ntp
│ │ │ +0007b7b0: 5f69 6e73 7461 6c6c 6564 0a0a 2d20 6e61  _installed..- na
│ │ │ +0007b7c0: 6d65 3a20 456e 7375 7265 206e 7470 2069  me: Ensure ntp i
│ │ │ +0007b7d0: 7320 696e 7374 616c 6c65 640a 2020 7061  s installed.  pa
│ │ │ +0007b7e0: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ +0007b7f0: 206e 7470 0a20 2020 2073 7461 7465 3a20   ntp.    state: 
│ │ │ +0007b800: 7072 6573 656e 740a 2020 7768 656e 3a20  present.  when: 
│ │ │ +0007b810: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ +0007b820: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ +0007b830: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ +0007b840: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0007b850: 2d43 4d2d 3628 6129 0a20 202d 2050 4349  -CM-6(a).  - PCI
│ │ │ +0007b860: 2d44 5353 2d52 6571 2d31 302e 340a 2020  -DSS-Req-10.4.  
│ │ │ +0007b870: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +0007b880: 790a 2020 2d20 6869 6768 5f73 6576 6572  y.  - high_sever
│ │ │ +0007b890: 6974 790a 2020 2d20 6c6f 775f 636f 6d70  ity.  - low_comp
│ │ │ +0007b8a0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +0007b8b0: 6973 7275 7074 696f 6e0a 2020 2d20 6e6f  isruption.  - no
│ │ │ +0007b8c0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +0007b8d0: 202d 2070 6163 6b61 6765 5f6e 7470 5f69   - package_ntp_i
│ │ │ +0007b8e0: 6e73 7461 6c6c 6564 0a3c 2f63 6f64 653e  nstalled.</code>
│ │ │ +0007b8f0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +0007b900: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +0007b910: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +0007b920: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +0007b930: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ +0007b940: 3033 3332 2220 7461 6269 6e64 6578 3d22  0332" tabindex="
│ │ │ +0007b950: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +0007b960: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +0007b970: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +0007b980: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +0007b990: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +0007b9a0: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +0007b9b0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +0007b9c0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +0007b9d0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +0007b9e0: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ +0007b9f0: 3333 3222 3e3c 7461 626c 6520 636c 6173  332"><table clas
│ │ │ +0007ba00: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +0007ba10: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +0007ba20: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +0007ba30: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +0007ba40: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +0007ba50: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0007ba60: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +0007ba70: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +0007ba80: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0007ba90: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +0007baa0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +0007bab0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +0007bac0: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +0007bad0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0007bae0: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +0007baf0: 6c75 6465 2069 6e73 7461 6c6c 5f6e 7470  lude install_ntp
│ │ │ +0007bb00: 0a0a 636c 6173 7320 696e 7374 616c 6c5f  ..class install_
│ │ │ +0007bb10: 6e74 7020 7b0a 2020 7061 636b 6167 6520  ntp {.  package 
│ │ │ +0007bb20: 7b20 276e 7470 273a 0a20 2020 2065 6e73  { 'ntp':.    ens
│ │ │ +0007bb30: 7572 6520 3d26 6774 3b20 2769 6e73 7461  ure =&gt; 'insta
│ │ │ +0007bb40: 6c6c 6564 272c 0a20 207d 0a7d 0a3c 2f63  lled',.  }.}.</c
│ │ │ +0007bb50: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +0007bb60: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +0007bb70: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +0007bb80: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +0007bb90: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +0007bba0: 6964 6d31 3033 3333 2220 7461 6269 6e64  idm10333" tabind
│ │ │ +0007bbb0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +0007bbc0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +0007bbd0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +0007bbe0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +0007bbf0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +0007bc00: 5265 6d65 6469 6174 696f 6e20 4f53 4275  Remediation OSBu
│ │ │ +0007bc10: 696c 6420 426c 7565 7072 696e 7420 736e  ild Blueprint sn
│ │ │ +0007bc20: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +0007bc30: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0007bc40: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0007bc50: 6170 7365 2220 6964 3d22 6964 6d31 3033  apse" id="idm103
│ │ │ +0007bc60: 3333 223e 3c70 7265 3e3c 636f 6465 3e0a  33"><pre><code>.
│ │ │ +0007bc70: 5b5b 7061 636b 6167 6573 5d5d 0a6e 616d  [[packages]].nam
│ │ │ +0007bc80: 6520 3d20 226e 7470 220a 7665 7273 696f  e = "ntp".versio
│ │ │ +0007bc90: 6e20 3d20 222a 220a 3c2f 636f 6465 3e3c  n = "*".</code><
│ │ │  0007bca0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │  0007bcb0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │  0007bcc0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │  0007bcd0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │  0007bce0: 612d 7461 7267 6574 3d22 2369 646d 3130  a-target="#idm10
│ │ │  0007bcf0: 3333 3422 2074 6162 696e 6465 783d 2230  334" tabindex="0
│ │ │  0007bd00: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button"
│ │ │ ├── html2text {}
│ │ │ │ @@ -1816,31 +1816,14 @@
│ │ │ │              _d_i_s_a           CCI-001311, CCI-001312
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "syslog-ng"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_syslog-ng
│ │ │ │ -
│ │ │ │ -class install_syslog-ng {
│ │ │ │ -  package { 'syslog-ng':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1863,14 +1846,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_syslogng_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_syslog-ng
│ │ │ │ +
│ │ │ │ +class install_syslog-ng {
│ │ │ │ +  package { 'syslog-ng':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "syslog-ng"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -1900,31 +1900,14 @@
│ │ │ │                             4.4.2.2, 4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["syslog-ng"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_syslog-ng
│ │ │ │ -
│ │ │ │ -class enable_syslog-ng {
│ │ │ │ -  service {'syslog-ng':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1960,14 +1943,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_syslogng_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_syslog-ng
│ │ │ │ +
│ │ │ │ +class enable_syslog-ng {
│ │ │ │ +  service {'syslog-ng':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["syslog-ng"]
│ │ │ │  ****** RRuullee? ?  EEnnssuurree rrssyysslloogg iiss IInnssttaalllleedd ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Rsyslog is installed by default. The rsyslog package can be installed with the
│ │ │ │  following command:
│ │ │ │   $ apt-get install rsyslog
│ │ │ │  Rationale:  The rsyslog package provides the rsyslog daemon, which provides
│ │ │ │              system logging services.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -1980,31 +1980,14 @@
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000479-GPOS-00224, SRG-OS-000051-GPOS-00024,
│ │ │ │                             SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2027,14 +2010,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsyslog_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -2065,31 +2065,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2125,14 +2108,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]
│ │ │ │  Group   File Permissions and Masks   Group contains 5 groups and 17 rules
│ │ │ │  _[_r_e_f_]   Traditional Unix security relies heavily on file and directory
│ │ │ │  permissions to prevent unauthorized users from reading or modifying files to
│ │ │ │  which they should not have access.
│ │ │ │  
│ │ │ │  Several of the commands in this section search filesystems for files or
│ │ │ │  directories with certain characteristics, and are intended to be run on every
│ │ │ │ @@ -3932,26 +3932,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_inetutils-telnetd
│ │ │ │ -
│ │ │ │ -class remove_inetutils-telnetd {
│ │ │ │ -  package { 'inetutils-telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure inetutils-telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -3963,14 +3951,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_inetutils-telnetd_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_inetutils-telnetd
│ │ │ │ +
│ │ │ │ +class remove_inetutils-telnetd {
│ │ │ │ +  package { 'inetutils-telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove inetutils-telnetd
│ │ │ │ @@ -3983,26 +3983,14 @@
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The support for Yellowpages should not be installed unless it is required.
│ │ │ │             NIS is the historical SUN service for central account management,
│ │ │ │  Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │             security constraints, ACL, etc. and should not be used.
│ │ │ │  Severity:  low
│ │ │ │  Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_nis
│ │ │ │ -
│ │ │ │ -class remove_nis {
│ │ │ │ -  package { 'nis':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure nis is removed
│ │ │ │    package:
│ │ │ │ @@ -4011,14 +3999,26 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_nis_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_nis
│ │ │ │ +
│ │ │ │ +class remove_nis {
│ │ │ │ +  package { 'nis':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove nis
│ │ │ │ @@ -4032,26 +4032,14 @@
│ │ │ │  ntpdate is a historical ntp synchronization client for unixes. It sould be
│ │ │ │  uninstalled.
│ │ │ │             ntpdate is an old not security-compliant ntp client. It should be
│ │ │ │  Rationale: replaced by modern ntp clients such as ntpd, able to use
│ │ │ │             cryptographic mechanisms integrated in NTP.
│ │ │ │  Severity:  low
│ │ │ │  Rule ID:   xccdf_org.ssgproject.content_rule_package_ntpdate_removed
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ntpdate
│ │ │ │ -
│ │ │ │ -class remove_ntpdate {
│ │ │ │ -  package { 'ntpdate':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ntpdate is removed
│ │ │ │    package:
│ │ │ │ @@ -4060,14 +4048,26 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ntpdate_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ntpdate
│ │ │ │ +
│ │ │ │ +class remove_ntpdate {
│ │ │ │ +  package { 'ntpdate':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove ntpdate
│ │ │ │ @@ -4098,26 +4098,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd-ssl
│ │ │ │ -
│ │ │ │ -class remove_telnetd-ssl {
│ │ │ │ -  package { 'telnetd-ssl':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd-ssl is removed
│ │ │ │    package:
│ │ │ │ @@ -4129,14 +4117,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd-ssl_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd-ssl
│ │ │ │ +
│ │ │ │ +class remove_telnetd-ssl {
│ │ │ │ +  package { 'telnetd-ssl':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnetd-ssl
│ │ │ │ @@ -4168,26 +4168,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd
│ │ │ │ -
│ │ │ │ -class remove_telnetd {
│ │ │ │ -  package { 'telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -4199,14 +4187,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd
│ │ │ │ +
│ │ │ │ +class remove_telnetd {
│ │ │ │ +  package { 'telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnetd
│ │ │ │ @@ -4281,31 +4281,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "ntp"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_ntp
│ │ │ │ -
│ │ │ │ -class install_ntp {
│ │ │ │ -  package { 'ntp':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4330,14 +4313,31 @@
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ntp_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_ntp
│ │ │ │ +
│ │ │ │ +class install_ntp {
│ │ │ │ +  package { 'ntp':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "ntp"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian11-guide-anssi_np_nt28_high.html
│ │ │ @@ -21243,128 +21243,128 @@
│ │ │  00052fa0: 7461 2d74 6172 6765 743d 2223 6964 6d35  ta-target="#idm5
│ │ │  00052fb0: 3337 3622 2074 6162 696e 6465 783d 2230  376" tabindex="0
│ │ │  00052fc0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  00052fd0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  00052fe0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  00052ff0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  00053000: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00053010: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ -00053020: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ -00053030: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00053040: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00053050: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00053060: 2069 643d 2269 646d 3533 3736 223e 3c70   id="idm5376"><p
│ │ │ -00053070: 7265 3e3c 636f 6465 3e0a 5b5b 7061 636b  re><code>.[[pack
│ │ │ -00053080: 6167 6573 5d5d 0a6e 616d 6520 3d20 2273  ages]].name = "s
│ │ │ -00053090: 7973 6c6f 672d 6e67 220a 7665 7273 696f  yslog-ng".versio
│ │ │ -000530a0: 6e20 3d20 222a 220a 3c2f 636f 6465 3e3c  n = "*".</code><
│ │ │ -000530b0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -000530c0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -000530d0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -000530e0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -000530f0: 612d 7461 7267 6574 3d22 2369 646d 3533  a-target="#idm53
│ │ │ -00053100: 3737 2220 7461 6269 6e64 6578 3d22 3022  77" tabindex="0"
│ │ │ -00053110: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -00053120: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -00053130: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -00053140: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -00053150: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00053160: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -00053170: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00053180: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00053190: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -000531a0: 7073 6522 2069 643d 2269 646d 3533 3737  pse" id="idm5377
│ │ │ -000531b0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -000531c0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -000531d0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -000531e0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -000531f0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00053200: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00053210: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00053220: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00053230: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00053240: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00053250: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00053260: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00053270: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00053280: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00053290: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -000532a0: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -000532b0: 6520 696e 7374 616c 6c5f 7379 736c 6f67  e install_syslog
│ │ │ -000532c0: 2d6e 670a 0a63 6c61 7373 2069 6e73 7461  -ng..class insta
│ │ │ -000532d0: 6c6c 5f73 7973 6c6f 672d 6e67 207b 0a20  ll_syslog-ng {. 
│ │ │ -000532e0: 2070 6163 6b61 6765 207b 2027 7379 736c   package { 'sysl
│ │ │ -000532f0: 6f67 2d6e 6727 3a0a 2020 2020 656e 7375  og-ng':.    ensu
│ │ │ -00053300: 7265 203d 2667 743b 2027 696e 7374 616c  re =&gt; 'instal
│ │ │ -00053310: 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  led',.  }.}.</co
│ │ │ -00053320: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -00053330: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -00053340: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -00053350: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -00053360: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00053370: 646d 3533 3738 2220 7461 6269 6e64 6578  dm5378" tabindex
│ │ │ -00053380: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00053390: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -000533a0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -000533b0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -000533c0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -000533d0: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -000533e0: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -000533f0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00053400: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00053410: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00053420: 6d35 3337 3822 3e3c 7461 626c 6520 636c  m5378"><table cl
│ │ │ -00053430: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00053440: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00053450: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00053460: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00053470: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00053480: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00053490: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -000534a0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -000534b0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -000534c0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -000534d0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -000534e0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -000534f0: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -00053500: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00053510: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -00053520: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ -00053530: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ -00053540: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ -00053550: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ -00053560: 746f 0a20 2074 6167 733a 0a20 202d 204e  to.  tags:.  - N
│ │ │ -00053570: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -00053580: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ -00053590: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -000535a0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -000535b0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -000535c0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -000535d0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -000535e0: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ -000535f0: 655f 7379 736c 6f67 6e67 5f69 6e73 7461  e_syslogng_insta
│ │ │ -00053600: 6c6c 6564 0a0a 2d20 6e61 6d65 3a20 456e  lled..- name: En
│ │ │ -00053610: 7375 7265 2073 7973 6c6f 672d 6e67 2069  sure syslog-ng i
│ │ │ -00053620: 7320 696e 7374 616c 6c65 640a 2020 7061  s installed.  pa
│ │ │ -00053630: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -00053640: 2073 7973 6c6f 672d 6e67 0a20 2020 2073   syslog-ng.    s
│ │ │ -00053650: 7461 7465 3a20 7072 6573 656e 740a 2020  tate: present.  
│ │ │ -00053660: 7768 656e 3a20 2722 6c69 6e75 782d 6261  when: '"linux-ba
│ │ │ -00053670: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ -00053680: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -00053690: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -000536a0: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -000536b0: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ -000536c0: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -000536d0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -000536e0: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ -000536f0: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ -00053700: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -00053710: 640a 2020 2d20 7061 636b 6167 655f 7379  d.  - package_sy
│ │ │ -00053720: 736c 6f67 6e67 5f69 6e73 7461 6c6c 6564  slogng_installed
│ │ │ +00053010: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +00053020: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00053030: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00053040: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00053050: 6c61 7073 6522 2069 643d 2269 646d 3533  lapse" id="idm53
│ │ │ +00053060: 3736 223e 3c74 6162 6c65 2063 6c61 7373  76"><table class
│ │ │ +00053070: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00053080: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00053090: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +000530a0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +000530b0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +000530c0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +000530d0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +000530e0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +000530f0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00053100: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00053110: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00053120: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00053130: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +00053140: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00053150: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +00053160: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ +00053170: 6163 6b61 6765 2066 6163 7473 0a20 2070  ackage facts.  p
│ │ │ +00053180: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ +00053190: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ +000531a0: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +000531b0: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +000531c0: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ +000531d0: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ +000531e0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +000531f0: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ +00053200: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ +00053210: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +00053220: 6564 0a20 202d 2070 6163 6b61 6765 5f73  ed.  - package_s
│ │ │ +00053230: 7973 6c6f 676e 675f 696e 7374 616c 6c65  yslogng_installe
│ │ │ +00053240: 640a 0a2d 206e 616d 653a 2045 6e73 7572  d..- name: Ensur
│ │ │ +00053250: 6520 7379 736c 6f67 2d6e 6720 6973 2069  e syslog-ng is i
│ │ │ +00053260: 6e73 7461 6c6c 6564 0a20 2070 6163 6b61  nstalled.  packa
│ │ │ +00053270: 6765 3a0a 2020 2020 6e61 6d65 3a20 7379  ge:.    name: sy
│ │ │ +00053280: 736c 6f67 2d6e 670a 2020 2020 7374 6174  slog-ng.    stat
│ │ │ +00053290: 653a 2070 7265 7365 6e74 0a20 2077 6865  e: present.  whe
│ │ │ +000532a0: 6e3a 2027 226c 696e 7578 2d62 6173 6522  n: '"linux-base"
│ │ │ +000532b0: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ +000532c0: 732e 7061 636b 6167 6573 270a 2020 7461  s.packages'.  ta
│ │ │ +000532d0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +000532e0: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +000532f0: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +00053300: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +00053310: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +00053320: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +00053330: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +00053340: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +00053350: 202d 2070 6163 6b61 6765 5f73 7973 6c6f   - package_syslo
│ │ │ +00053360: 676e 675f 696e 7374 616c 6c65 640a 3c2f  gng_installed.</
│ │ │ +00053370: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00053380: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00053390: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +000533a0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +000533b0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +000533c0: 2369 646d 3533 3737 2220 7461 6269 6e64  #idm5377" tabind
│ │ │ +000533d0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +000533e0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +000533f0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +00053400: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +00053410: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +00053420: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ +00053430: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ +00053440: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00053450: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00053460: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00053470: 646d 3533 3737 223e 3c74 6162 6c65 2063  dm5377"><table c
│ │ │ +00053480: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00053490: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +000534a0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +000534b0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +000534c0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +000534d0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +000534e0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +000534f0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00053500: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00053510: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00053520: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00053530: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00053540: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +00053550: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00053560: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00053570: 696e 636c 7564 6520 696e 7374 616c 6c5f  include install_
│ │ │ +00053580: 7379 736c 6f67 2d6e 670a 0a63 6c61 7373  syslog-ng..class
│ │ │ +00053590: 2069 6e73 7461 6c6c 5f73 7973 6c6f 672d   install_syslog-
│ │ │ +000535a0: 6e67 207b 0a20 2070 6163 6b61 6765 207b  ng {.  package {
│ │ │ +000535b0: 2027 7379 736c 6f67 2d6e 6727 3a0a 2020   'syslog-ng':.  
│ │ │ +000535c0: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +000535d0: 696e 7374 616c 6c65 6427 2c0a 2020 7d0a  installed',.  }.
│ │ │ +000535e0: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │ +000535f0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +00053600: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +00053610: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +00053620: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +00053630: 6574 3d22 2369 646d 3533 3738 2220 7461  et="#idm5378" ta
│ │ │ +00053640: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +00053650: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +00053660: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +00053670: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +00053680: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +00053690: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +000536a0: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ +000536b0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +000536c0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +000536d0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +000536e0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +000536f0: 6d35 3337 3822 3e3c 7072 653e 3c63 6f64  m5378"><pre><cod
│ │ │ +00053700: 653e 0a5b 5b70 6163 6b61 6765 735d 5d0a  e>.[[packages]].
│ │ │ +00053710: 6e61 6d65 203d 2022 7379 736c 6f67 2d6e  name = "syslog-n
│ │ │ +00053720: 6722 0a76 6572 7369 6f6e 203d 2022 2a22  g".version = "*"
│ │ │  00053730: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │  00053740: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │  00053750: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │  00053760: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │  00053770: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │  00053780: 743d 2223 6964 6d35 3337 3922 2074 6162  t="#idm5379" tab
│ │ │  00053790: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ @@ -21631,150 +21631,150 @@
│ │ │  000547e0: 6765 743d 2223 6964 6d35 3436 3322 2074  get="#idm5463" t
│ │ │  000547f0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  00054800: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  00054810: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  00054820: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  00054830: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  00054840: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00054850: 204f 5342 7569 6c64 2042 6c75 6570 7269   OSBuild Bluepri
│ │ │ -00054860: 6e74 2073 6e69 7070 6574 20e2 87b2 3c2f  nt snippet ...</
│ │ │ -00054870: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -00054880: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -00054890: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -000548a0: 646d 3534 3633 223e 3c70 7265 3e3c 636f  dm5463"><pre><co
│ │ │ -000548b0: 6465 3e0a 5b63 7573 746f 6d69 7a61 7469  de>.[customizati
│ │ │ -000548c0: 6f6e 732e 7365 7276 6963 6573 5d0a 656e  ons.services].en
│ │ │ -000548d0: 6162 6c65 6420 3d20 5b22 7379 736c 6f67  abled = ["syslog
│ │ │ -000548e0: 2d6e 6722 5d0a 3c2f 636f 6465 3e3c 2f70  -ng"].</code></p
│ │ │ -000548f0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -00054900: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00054910: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00054920: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -00054930: 7461 7267 6574 3d22 2369 646d 3534 3634  target="#idm5464
│ │ │ -00054940: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00054950: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00054960: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -00054970: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -00054980: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -00054990: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -000549a0: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ -000549b0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -000549c0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -000549d0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -000549e0: 6522 2069 643d 2269 646d 3534 3634 223e  e" id="idm5464">
│ │ │ -000549f0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00054a00: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00054a10: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00054a20: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00054a30: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00054a40: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00054a50: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00054a60: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -00054a70: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00054a80: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00054a90: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00054aa0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00054ab0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00054ac0: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ -00054ad0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00054ae0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -00054af0: 656e 6162 6c65 5f73 7973 6c6f 672d 6e67  enable_syslog-ng
│ │ │ -00054b00: 0a0a 636c 6173 7320 656e 6162 6c65 5f73  ..class enable_s
│ │ │ -00054b10: 7973 6c6f 672d 6e67 207b 0a20 2073 6572  yslog-ng {.  ser
│ │ │ -00054b20: 7669 6365 207b 2773 7973 6c6f 672d 6e67  vice {'syslog-ng
│ │ │ -00054b30: 273a 0a20 2020 2065 6e61 626c 6520 3d26  ':.    enable =&
│ │ │ -00054b40: 6774 3b20 7472 7565 2c0a 2020 2020 656e  gt; true,.    en
│ │ │ -00054b50: 7375 7265 203d 2667 743b 2027 7275 6e6e  sure =&gt; 'runn
│ │ │ -00054b60: 696e 6727 2c0a 2020 7d0a 7d0a 3c2f 636f  ing',.  }.}.</co
│ │ │ -00054b70: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -00054b80: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -00054b90: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -00054ba0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -00054bb0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00054bc0: 646d 3534 3635 2220 7461 6269 6e64 6578  dm5465" tabindex
│ │ │ -00054bd0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00054be0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00054bf0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00054c00: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00054c10: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00054c20: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -00054c30: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -00054c40: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00054c50: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00054c60: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00054c70: 6d35 3436 3522 3e3c 7461 626c 6520 636c  m5465"><table cl
│ │ │ -00054c80: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00054c90: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00054ca0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00054cb0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00054cc0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00054cd0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00054ce0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00054cf0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00054d00: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00054d10: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00054d20: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00054d30: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00054d40: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -00054d50: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00054d60: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -00054d70: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ -00054d80: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ -00054d90: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ -00054da0: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ -00054db0: 746f 0a20 2074 6167 733a 0a20 202d 204e  to.  tags:.  - N
│ │ │ -00054dc0: 4953 542d 3830 302d 3533 2d41 552d 3428  IST-800-53-AU-4(
│ │ │ -00054dd0: 3129 0a20 202d 204e 4953 542d 3830 302d  1).  - NIST-800-
│ │ │ -00054de0: 3533 2d43 4d2d 3628 6129 0a20 202d 2065  53-CM-6(a).  - e
│ │ │ -00054df0: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -00054e00: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -00054e10: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -00054e20: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -00054e30: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -00054e40: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -00054e50: 2d20 7365 7276 6963 655f 7379 736c 6f67  - service_syslog
│ │ │ -00054e60: 6e67 5f65 6e61 626c 6564 0a0a 2d20 6e61  ng_enabled..- na
│ │ │ -00054e70: 6d65 3a20 456e 6162 6c65 2073 7973 6c6f  me: Enable syslo
│ │ │ -00054e80: 672d 6e67 2053 6572 7669 6365 202d 2045  g-ng Service - E
│ │ │ -00054e90: 6e61 626c 6520 7365 7276 6963 6520 7379  nable service sy
│ │ │ -00054ea0: 736c 6f67 2d6e 670a 2020 626c 6f63 6b3a  slog-ng.  block:
│ │ │ -00054eb0: 0a0a 2020 2d20 6e61 6d65 3a20 4761 7468  ..  - name: Gath
│ │ │ -00054ec0: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ -00054ed0: 6163 7473 0a20 2020 2070 6163 6b61 6765  acts.    package
│ │ │ -00054ee0: 5f66 6163 7473 3a0a 2020 2020 2020 6d61  _facts:.      ma
│ │ │ -00054ef0: 6e61 6765 723a 2061 7574 6f0a 0a20 202d  nager: auto..  -
│ │ │ -00054f00: 206e 616d 653a 2045 6e61 626c 6520 7379   name: Enable sy
│ │ │ -00054f10: 736c 6f67 2d6e 6720 5365 7276 6963 6520  slog-ng Service 
│ │ │ -00054f20: 2d20 456e 6162 6c65 2053 6572 7669 6365  - Enable Service
│ │ │ -00054f30: 2073 7973 6c6f 672d 6e67 0a20 2020 2061   syslog-ng.    a
│ │ │ -00054f40: 6e73 6962 6c65 2e62 7569 6c74 696e 2e73  nsible.builtin.s
│ │ │ -00054f50: 7973 7465 6d64 3a0a 2020 2020 2020 6e61  ystemd:.      na
│ │ │ -00054f60: 6d65 3a20 7379 736c 6f67 2d6e 670a 2020  me: syslog-ng.  
│ │ │ -00054f70: 2020 2020 656e 6162 6c65 643a 2074 7275      enabled: tru
│ │ │ -00054f80: 650a 2020 2020 2020 7374 6174 653a 2073  e.      state: s
│ │ │ -00054f90: 7461 7274 6564 0a20 2020 2020 206d 6173  tarted.      mas
│ │ │ -00054fa0: 6b65 643a 2066 616c 7365 0a20 2020 2077  ked: false.    w
│ │ │ -00054fb0: 6865 6e3a 0a20 2020 202d 2027 2273 7973  hen:.    - '"sys
│ │ │ -00054fc0: 6c6f 672d 6e67 2220 696e 2061 6e73 6962  log-ng" in ansib
│ │ │ -00054fd0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ -00054fe0: 7327 0a20 2077 6865 6e3a 2027 226c 696e  s'.  when: '"lin
│ │ │ -00054ff0: 7578 2d62 6173 6522 2069 6e20 616e 7369  ux-base" in ansi
│ │ │ -00055000: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ -00055010: 6573 270a 2020 7461 6773 3a0a 2020 2d20  es'.  tags:.  - 
│ │ │ -00055020: 4e49 5354 2d38 3030 2d35 332d 4155 2d34  NIST-800-53-AU-4
│ │ │ -00055030: 2831 290a 2020 2d20 4e49 5354 2d38 3030  (1).  - NIST-800
│ │ │ -00055040: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ -00055050: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ -00055060: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -00055070: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -00055080: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ -00055090: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ -000550a0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -000550b0: 202d 2073 6572 7669 6365 5f73 7973 6c6f   - service_syslo
│ │ │ -000550c0: 676e 675f 656e 6162 6c65 640a 3c2f 636f  gng_enabled.</co
│ │ │ +00054850: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +00054860: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00054870: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00054880: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00054890: 2069 643d 2269 646d 3534 3633 223e 3c74   id="idm5463"><t
│ │ │ +000548a0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +000548b0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +000548c0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +000548d0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +000548e0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +000548f0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00054900: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00054910: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +00054920: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00054930: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +00054940: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +00054950: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00054960: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00054970: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +00054980: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +00054990: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ +000549a0: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ +000549b0: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ +000549c0: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ +000549d0: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ +000549e0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +000549f0: 332d 4155 2d34 2831 290a 2020 2d20 4e49  3-AU-4(1).  - NI
│ │ │ +00054a00: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +00054a10: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ +00054a20: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +00054a30: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +00054a40: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +00054a50: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +00054a60: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +00054a70: 6564 6564 0a20 202d 2073 6572 7669 6365  eded.  - service
│ │ │ +00054a80: 5f73 7973 6c6f 676e 675f 656e 6162 6c65  _syslogng_enable
│ │ │ +00054a90: 640a 0a2d 206e 616d 653a 2045 6e61 626c  d..- name: Enabl
│ │ │ +00054aa0: 6520 7379 736c 6f67 2d6e 6720 5365 7276  e syslog-ng Serv
│ │ │ +00054ab0: 6963 6520 2d20 456e 6162 6c65 2073 6572  ice - Enable ser
│ │ │ +00054ac0: 7669 6365 2073 7973 6c6f 672d 6e67 0a20  vice syslog-ng. 
│ │ │ +00054ad0: 2062 6c6f 636b 3a0a 0a20 202d 206e 616d   block:..  - nam
│ │ │ +00054ae0: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ +00054af0: 636b 6167 6520 6661 6374 730a 2020 2020  ckage facts.    
│ │ │ +00054b00: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ +00054b10: 2020 2020 206d 616e 6167 6572 3a20 6175       manager: au
│ │ │ +00054b20: 746f 0a0a 2020 2d20 6e61 6d65 3a20 456e  to..  - name: En
│ │ │ +00054b30: 6162 6c65 2073 7973 6c6f 672d 6e67 2053  able syslog-ng S
│ │ │ +00054b40: 6572 7669 6365 202d 2045 6e61 626c 6520  ervice - Enable 
│ │ │ +00054b50: 5365 7276 6963 6520 7379 736c 6f67 2d6e  Service syslog-n
│ │ │ +00054b60: 670a 2020 2020 616e 7369 626c 652e 6275  g.    ansible.bu
│ │ │ +00054b70: 696c 7469 6e2e 7379 7374 656d 643a 0a20  iltin.systemd:. 
│ │ │ +00054b80: 2020 2020 206e 616d 653a 2073 7973 6c6f       name: syslo
│ │ │ +00054b90: 672d 6e67 0a20 2020 2020 2065 6e61 626c  g-ng.      enabl
│ │ │ +00054ba0: 6564 3a20 7472 7565 0a20 2020 2020 2073  ed: true.      s
│ │ │ +00054bb0: 7461 7465 3a20 7374 6172 7465 640a 2020  tate: started.  
│ │ │ +00054bc0: 2020 2020 6d61 736b 6564 3a20 6661 6c73      masked: fals
│ │ │ +00054bd0: 650a 2020 2020 7768 656e 3a0a 2020 2020  e.    when:.    
│ │ │ +00054be0: 2d20 2722 7379 736c 6f67 2d6e 6722 2069  - '"syslog-ng" i
│ │ │ +00054bf0: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ +00054c00: 7061 636b 6167 6573 270a 2020 7768 656e  packages'.  when
│ │ │ +00054c10: 3a20 2722 6c69 6e75 782d 6261 7365 2220  : '"linux-base" 
│ │ │ +00054c20: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ +00054c30: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ +00054c40: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +00054c50: 3533 2d41 552d 3428 3129 0a20 202d 204e  53-AU-4(1).  - N
│ │ │ +00054c60: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +00054c70: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ +00054c80: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +00054c90: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +00054ca0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +00054cb0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +00054cc0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +00054cd0: 6565 6465 640a 2020 2d20 7365 7276 6963  eeded.  - servic
│ │ │ +00054ce0: 655f 7379 736c 6f67 6e67 5f65 6e61 626c  e_syslogng_enabl
│ │ │ +00054cf0: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +00054d00: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00054d10: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00054d20: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00054d30: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00054d40: 6765 743d 2223 6964 6d35 3436 3422 2074  get="#idm5464" t
│ │ │ +00054d50: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +00054d60: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +00054d70: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +00054d80: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +00054d90: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +00054da0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +00054db0: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ +00054dc0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00054dd0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00054de0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00054df0: 6964 3d22 6964 6d35 3436 3422 3e3c 7461  id="idm5464"><ta
│ │ │ +00054e00: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +00054e10: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +00054e20: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +00054e30: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00054e40: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +00054e50: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +00054e60: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00054e70: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +00054e80: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00054e90: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +00054ea0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +00054eb0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00054ec0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +00054ed0: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ +00054ee0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +00054ef0: 636f 6465 3e69 6e63 6c75 6465 2065 6e61  code>include ena
│ │ │ +00054f00: 626c 655f 7379 736c 6f67 2d6e 670a 0a63  ble_syslog-ng..c
│ │ │ +00054f10: 6c61 7373 2065 6e61 626c 655f 7379 736c  lass enable_sysl
│ │ │ +00054f20: 6f67 2d6e 6720 7b0a 2020 7365 7276 6963  og-ng {.  servic
│ │ │ +00054f30: 6520 7b27 7379 736c 6f67 2d6e 6727 3a0a  e {'syslog-ng':.
│ │ │ +00054f40: 2020 2020 656e 6162 6c65 203d 2667 743b      enable =&gt;
│ │ │ +00054f50: 2074 7275 652c 0a20 2020 2065 6e73 7572   true,.    ensur
│ │ │ +00054f60: 6520 3d26 6774 3b20 2772 756e 6e69 6e67  e =&gt; 'running
│ │ │ +00054f70: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ +00054f80: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +00054f90: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +00054fa0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +00054fb0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +00054fc0: 7461 2d74 6172 6765 743d 2223 6964 6d35  ta-target="#idm5
│ │ │ +00054fd0: 3436 3522 2074 6162 696e 6465 783d 2230  465" tabindex="0
│ │ │ +00054fe0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +00054ff0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +00055000: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +00055010: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +00055020: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +00055030: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ +00055040: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ +00055050: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00055060: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00055070: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00055080: 2069 643d 2269 646d 3534 3635 223e 3c70   id="idm5465"><p
│ │ │ +00055090: 7265 3e3c 636f 6465 3e0a 5b63 7573 746f  re><code>.[custo
│ │ │ +000550a0: 6d69 7a61 7469 6f6e 732e 7365 7276 6963  mizations.servic
│ │ │ +000550b0: 6573 5d0a 656e 6162 6c65 6420 3d20 5b22  es].enabled = ["
│ │ │ +000550c0: 7379 736c 6f67 2d6e 6722 5d0a 3c2f 636f  syslog-ng"].</co
│ │ │  000550d0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  000550e0: 2f64 6976 3e3c 2f74 643e 3c2f 7472 3e3c  /div></td></tr><
│ │ │  000550f0: 2f74 626f 6479 3e3c 2f74 6162 6c65 3e3c  /tbody></table><
│ │ │  00055100: 2f74 643e 3c2f 7472 3e3c 7472 2064 6174  /td></tr><tr dat
│ │ │  00055110: 612d 7474 2d69 643d 2278 6363 6466 5f6f  a-tt-id="xccdf_o
│ │ │  00055120: 7267 2e73 7367 7072 6f6a 6563 742e 636f  rg.ssgproject.co
│ │ │  00055130: 6e74 656e 745f 7275 6c65 5f70 6163 6b61  ntent_rule_packa
│ │ │ @@ -21982,128 +21982,128 @@
│ │ │  00055dd0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  00055de0: 3438 3337 2220 7461 6269 6e64 6578 3d22  4837" tabindex="
│ │ │  00055df0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │  00055e00: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │  00055e10: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │  00055e20: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │  00055e30: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00055e40: 6469 6174 696f 6e20 4f53 4275 696c 6420  diation OSBuild 
│ │ │ -00055e50: 426c 7565 7072 696e 7420 736e 6970 7065  Blueprint snippe
│ │ │ -00055e60: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -00055e70: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00055e80: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00055e90: 2220 6964 3d22 6964 6d34 3833 3722 3e3c  " id="idm4837"><
│ │ │ -00055ea0: 7072 653e 3c63 6f64 653e 0a5b 5b70 6163  pre><code>.[[pac
│ │ │ -00055eb0: 6b61 6765 735d 5d0a 6e61 6d65 203d 2022  kages]].name = "
│ │ │ -00055ec0: 7273 7973 6c6f 6722 0a76 6572 7369 6f6e  rsyslog".version
│ │ │ -00055ed0: 203d 2022 2a22 0a3c 2f63 6f64 653e 3c2f   = "*".</code></
│ │ │ -00055ee0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -00055ef0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -00055f00: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -00055f10: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -00055f20: 2d74 6172 6765 743d 2223 6964 6d34 3833  -target="#idm483
│ │ │ -00055f30: 3822 2074 6162 696e 6465 783d 2230 2220  8" tabindex="0" 
│ │ │ -00055f40: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00055f50: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00055f60: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00055f70: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00055f80: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00055f90: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -00055fa0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00055fb0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00055fc0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00055fd0: 7365 2220 6964 3d22 6964 6d34 3833 3822  se" id="idm4838"
│ │ │ -00055fe0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00055ff0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00056000: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00056010: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00056020: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00056030: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -00056040: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00056050: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -00056060: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00056070: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -00056080: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -00056090: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -000560a0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -000560b0: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -000560c0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -000560d0: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ -000560e0: 2069 6e73 7461 6c6c 5f72 7379 736c 6f67   install_rsyslog
│ │ │ -000560f0: 0a0a 636c 6173 7320 696e 7374 616c 6c5f  ..class install_
│ │ │ -00056100: 7273 7973 6c6f 6720 7b0a 2020 7061 636b  rsyslog {.  pack
│ │ │ -00056110: 6167 6520 7b20 2772 7379 736c 6f67 273a  age { 'rsyslog':
│ │ │ -00056120: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ -00056130: 3b20 2769 6e73 7461 6c6c 6564 272c 0a20  ; 'installed',. 
│ │ │ -00056140: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -00056150: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -00056160: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -00056170: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -00056180: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -00056190: 6172 6765 743d 2223 6964 6d34 3833 3922  arget="#idm4839"
│ │ │ -000561a0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -000561b0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -000561c0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -000561d0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -000561e0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -000561f0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00056200: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ -00056210: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -00056220: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00056230: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -00056240: 6522 2069 643d 2269 646d 3438 3339 223e  e" id="idm4839">
│ │ │ -00056250: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00056260: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00056270: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00056280: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00056290: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -000562a0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -000562b0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -000562c0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -000562d0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -000562e0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -000562f0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00056300: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00056310: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00056320: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ -00056330: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00056340: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ -00056350: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ -00056360: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ -00056370: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ -00056380: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ -00056390: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ -000563a0: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ -000563b0: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ -000563c0: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -000563d0: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -000563e0: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ -000563f0: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ -00056400: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -00056410: 202d 2070 6163 6b61 6765 5f72 7379 736c   - package_rsysl
│ │ │ -00056420: 6f67 5f69 6e73 7461 6c6c 6564 0a0a 2d20  og_installed..- 
│ │ │ -00056430: 6e61 6d65 3a20 456e 7375 7265 2072 7379  name: Ensure rsy
│ │ │ -00056440: 736c 6f67 2069 7320 696e 7374 616c 6c65  slog is installe
│ │ │ -00056450: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ -00056460: 206e 616d 653a 2072 7379 736c 6f67 0a20   name: rsyslog. 
│ │ │ -00056470: 2020 2073 7461 7465 3a20 7072 6573 656e     state: presen
│ │ │ -00056480: 740a 2020 7768 656e 3a20 2722 6c69 6e75  t.  when: '"linu
│ │ │ -00056490: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ -000564a0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ -000564b0: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ -000564c0: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -000564d0: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ -000564e0: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -000564f0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -00056500: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -00056510: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -00056520: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -00056530: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ -00056540: 655f 7273 7973 6c6f 675f 696e 7374 616c  e_rsyslog_instal
│ │ │ -00056550: 6c65 640a 3c2f 636f 6465 3e3c 2f70 7265  led.</code></pre
│ │ │ +00055e40: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ +00055e50: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00055e60: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00055e70: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00055e80: 6c6c 6170 7365 2220 6964 3d22 6964 6d34  llapse" id="idm4
│ │ │ +00055e90: 3833 3722 3e3c 7461 626c 6520 636c 6173  837"><table clas
│ │ │ +00055ea0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00055eb0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00055ec0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00055ed0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00055ee0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00055ef0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00055f00: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +00055f10: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +00055f20: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00055f30: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00055f40: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00055f50: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00055f60: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +00055f70: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00055f80: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +00055f90: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ +00055fa0: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ +00055fb0: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ +00055fc0: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ +00055fd0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +00055fe0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +00055ff0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +00056000: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +00056010: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +00056020: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +00056030: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +00056040: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +00056050: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +00056060: 7273 7973 6c6f 675f 696e 7374 616c 6c65  rsyslog_installe
│ │ │ +00056070: 640a 0a2d 206e 616d 653a 2045 6e73 7572  d..- name: Ensur
│ │ │ +00056080: 6520 7273 7973 6c6f 6720 6973 2069 6e73  e rsyslog is ins
│ │ │ +00056090: 7461 6c6c 6564 0a20 2070 6163 6b61 6765  talled.  package
│ │ │ +000560a0: 3a0a 2020 2020 6e61 6d65 3a20 7273 7973  :.    name: rsys
│ │ │ +000560b0: 6c6f 670a 2020 2020 7374 6174 653a 2070  log.    state: p
│ │ │ +000560c0: 7265 7365 6e74 0a20 2077 6865 6e3a 2027  resent.  when: '
│ │ │ +000560d0: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ +000560e0: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ +000560f0: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ +00056100: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00056110: 434d 2d36 2861 290a 2020 2d20 656e 6162  CM-6(a).  - enab
│ │ │ +00056120: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +00056130: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +00056140: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +00056150: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +00056160: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +00056170: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +00056180: 6163 6b61 6765 5f72 7379 736c 6f67 5f69  ackage_rsyslog_i
│ │ │ +00056190: 6e73 7461 6c6c 6564 0a3c 2f63 6f64 653e  nstalled.</code>
│ │ │ +000561a0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +000561b0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +000561c0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +000561d0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +000561e0: 7461 2d74 6172 6765 743d 2223 6964 6d34  ta-target="#idm4
│ │ │ +000561f0: 3833 3822 2074 6162 696e 6465 783d 2230  838" tabindex="0
│ │ │ +00056200: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +00056210: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +00056220: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +00056230: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +00056240: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +00056250: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +00056260: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00056270: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00056280: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00056290: 6170 7365 2220 6964 3d22 6964 6d34 3833  apse" id="idm483
│ │ │ +000562a0: 3822 3e3c 7461 626c 6520 636c 6173 733d  8"><table class=
│ │ │ +000562b0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +000562c0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +000562d0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +000562e0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +000562f0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +00056300: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00056310: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +00056320: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00056330: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00056340: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00056350: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00056360: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00056370: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ +00056380: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +00056390: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ +000563a0: 6465 2069 6e73 7461 6c6c 5f72 7379 736c  de install_rsysl
│ │ │ +000563b0: 6f67 0a0a 636c 6173 7320 696e 7374 616c  og..class instal
│ │ │ +000563c0: 6c5f 7273 7973 6c6f 6720 7b0a 2020 7061  l_rsyslog {.  pa
│ │ │ +000563d0: 636b 6167 6520 7b20 2772 7379 736c 6f67  ckage { 'rsyslog
│ │ │ +000563e0: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ +000563f0: 6774 3b20 2769 6e73 7461 6c6c 6564 272c  gt; 'installed',
│ │ │ +00056400: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │ +00056410: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +00056420: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +00056430: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00056440: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00056450: 2d74 6172 6765 743d 2223 6964 6d34 3833  -target="#idm483
│ │ │ +00056460: 3922 2074 6162 696e 6465 783d 2230 2220  9" tabindex="0" 
│ │ │ +00056470: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +00056480: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +00056490: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +000564a0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +000564b0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +000564c0: 7469 6f6e 204f 5342 7569 6c64 2042 6c75  tion OSBuild Blu
│ │ │ +000564d0: 6570 7269 6e74 2073 6e69 7070 6574 20e2  eprint snippet .
│ │ │ +000564e0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +000564f0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +00056500: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +00056510: 643d 2269 646d 3438 3339 223e 3c70 7265  d="idm4839"><pre
│ │ │ +00056520: 3e3c 636f 6465 3e0a 5b5b 7061 636b 6167  ><code>.[[packag
│ │ │ +00056530: 6573 5d5d 0a6e 616d 6520 3d20 2272 7379  es]].name = "rsy
│ │ │ +00056540: 736c 6f67 220a 7665 7273 696f 6e20 3d20  slog".version = 
│ │ │ +00056550: 222a 220a 3c2f 636f 6465 3e3c 2f70 7265  "*".</code></pre
│ │ │  00056560: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │  00056570: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │  00056580: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │  00056590: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │  000565a0: 7267 6574 3d22 2369 646d 3438 3430 2220  rget="#idm4840" 
│ │ │  000565b0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  000565c0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ @@ -22383,149 +22383,149 @@
│ │ │  000576e0: 6172 6765 743d 2223 6964 6d34 3932 3322  arget="#idm4923"
│ │ │  000576f0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  00057700: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  00057710: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  00057720: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  00057730: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  00057740: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00057750: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ -00057760: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ -00057770: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00057780: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00057790: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -000577a0: 2269 646d 3439 3233 223e 3c70 7265 3e3c  "idm4923"><pre><
│ │ │ -000577b0: 636f 6465 3e0a 5b63 7573 746f 6d69 7a61  code>.[customiza
│ │ │ -000577c0: 7469 6f6e 732e 7365 7276 6963 6573 5d0a  tions.services].
│ │ │ -000577d0: 656e 6162 6c65 6420 3d20 5b22 7273 7973  enabled = ["rsys
│ │ │ -000577e0: 6c6f 6722 5d0a 3c2f 636f 6465 3e3c 2f70  log"].</code></p
│ │ │ -000577f0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -00057800: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00057810: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00057820: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -00057830: 7461 7267 6574 3d22 2369 646d 3439 3234  target="#idm4924
│ │ │ -00057840: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00057850: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00057860: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -00057870: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -00057880: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -00057890: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -000578a0: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ -000578b0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -000578c0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -000578d0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -000578e0: 6522 2069 643d 2269 646d 3439 3234 223e  e" id="idm4924">
│ │ │ -000578f0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00057900: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00057910: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00057920: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00057930: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00057940: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00057950: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00057960: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -00057970: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00057980: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00057990: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -000579a0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -000579b0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -000579c0: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ -000579d0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -000579e0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -000579f0: 656e 6162 6c65 5f72 7379 736c 6f67 0a0a  enable_rsyslog..
│ │ │ -00057a00: 636c 6173 7320 656e 6162 6c65 5f72 7379  class enable_rsy
│ │ │ -00057a10: 736c 6f67 207b 0a20 2073 6572 7669 6365  slog {.  service
│ │ │ -00057a20: 207b 2772 7379 736c 6f67 273a 0a20 2020   {'rsyslog':.   
│ │ │ -00057a30: 2065 6e61 626c 6520 3d26 6774 3b20 7472   enable =&gt; tr
│ │ │ -00057a40: 7565 2c0a 2020 2020 656e 7375 7265 203d  ue,.    ensure =
│ │ │ -00057a50: 2667 743b 2027 7275 6e6e 696e 6727 2c0a  &gt; 'running',.
│ │ │ -00057a60: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -00057a70: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -00057a80: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00057a90: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00057aa0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -00057ab0: 7461 7267 6574 3d22 2369 646d 3439 3235  target="#idm4925
│ │ │ -00057ac0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00057ad0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00057ae0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -00057af0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -00057b00: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -00057b10: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00057b20: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -00057b30: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00057b40: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00057b50: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00057b60: 7365 2220 6964 3d22 6964 6d34 3932 3522  se" id="idm4925"
│ │ │ -00057b70: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00057b80: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00057b90: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00057ba0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00057bb0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00057bc0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -00057bd0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00057be0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -00057bf0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00057c00: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -00057c10: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -00057c20: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -00057c30: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00057c40: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -00057c50: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00057c60: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -00057c70: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -00057c80: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ -00057c90: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ -00057ca0: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ -00057cb0: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ -00057cc0: 302d 3533 2d41 552d 3428 3129 0a20 202d  0-53-AU-4(1).  -
│ │ │ -00057cd0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -00057ce0: 3628 6129 0a20 202d 2065 6e61 626c 655f  6(a).  - enable_
│ │ │ -00057cf0: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -00057d00: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -00057d10: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -00057d20: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ -00057d30: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -00057d40: 5f6e 6565 6465 640a 2020 2d20 7365 7276  _needed.  - serv
│ │ │ -00057d50: 6963 655f 7273 7973 6c6f 675f 656e 6162  ice_rsyslog_enab
│ │ │ -00057d60: 6c65 640a 0a2d 206e 616d 653a 2045 6e61  led..- name: Ena
│ │ │ -00057d70: 626c 6520 7273 7973 6c6f 6720 5365 7276  ble rsyslog Serv
│ │ │ -00057d80: 6963 6520 2d20 456e 6162 6c65 2073 6572  ice - Enable ser
│ │ │ -00057d90: 7669 6365 2072 7379 736c 6f67 0a20 2062  vice rsyslog.  b
│ │ │ -00057da0: 6c6f 636b 3a0a 0a20 202d 206e 616d 653a  lock:..  - name:
│ │ │ -00057db0: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -00057dc0: 6167 6520 6661 6374 730a 2020 2020 7061  age facts.    pa
│ │ │ -00057dd0: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ -00057de0: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ -00057df0: 0a0a 2020 2d20 6e61 6d65 3a20 456e 6162  ..  - name: Enab
│ │ │ -00057e00: 6c65 2072 7379 736c 6f67 2053 6572 7669  le rsyslog Servi
│ │ │ -00057e10: 6365 202d 2045 6e61 626c 6520 5365 7276  ce - Enable Serv
│ │ │ -00057e20: 6963 6520 7273 7973 6c6f 670a 2020 2020  ice rsyslog.    
│ │ │ -00057e30: 616e 7369 626c 652e 6275 696c 7469 6e2e  ansible.builtin.
│ │ │ -00057e40: 7379 7374 656d 643a 0a20 2020 2020 206e  systemd:.      n
│ │ │ -00057e50: 616d 653a 2072 7379 736c 6f67 0a20 2020  ame: rsyslog.   
│ │ │ -00057e60: 2020 2065 6e61 626c 6564 3a20 7472 7565     enabled: true
│ │ │ -00057e70: 0a20 2020 2020 2073 7461 7465 3a20 7374  .      state: st
│ │ │ -00057e80: 6172 7465 640a 2020 2020 2020 6d61 736b  arted.      mask
│ │ │ -00057e90: 6564 3a20 6661 6c73 650a 2020 2020 7768  ed: false.    wh
│ │ │ -00057ea0: 656e 3a0a 2020 2020 2d20 2722 7273 7973  en:.    - '"rsys
│ │ │ -00057eb0: 6c6f 6722 2069 6e20 616e 7369 626c 655f  log" in ansible_
│ │ │ -00057ec0: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ -00057ed0: 2020 7768 656e 3a20 2722 6c69 6e75 782d    when: '"linux-
│ │ │ -00057ee0: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ -00057ef0: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ -00057f00: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -00057f10: 542d 3830 302d 3533 2d41 552d 3428 3129  T-800-53-AU-4(1)
│ │ │ -00057f20: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00057f30: 2d43 4d2d 3628 6129 0a20 202d 2065 6e61  -CM-6(a).  - ena
│ │ │ -00057f40: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -00057f50: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00057f60: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00057f70: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ -00057f80: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ -00057f90: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -00057fa0: 7365 7276 6963 655f 7273 7973 6c6f 675f  service_rsyslog_
│ │ │ -00057fb0: 656e 6162 6c65 640a 3c2f 636f 6465 3e3c  enabled.</code><
│ │ │ +00057750: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +00057760: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00057770: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00057780: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00057790: 6522 2069 643d 2269 646d 3439 3233 223e  e" id="idm4923">
│ │ │ +000577a0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +000577b0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +000577c0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +000577d0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +000577e0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +000577f0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00057800: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00057810: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00057820: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00057830: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00057840: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00057850: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00057860: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00057870: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +00057880: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00057890: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +000578a0: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ +000578b0: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ +000578c0: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ +000578d0: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ +000578e0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +000578f0: 2d35 332d 4155 2d34 2831 290a 2020 2d20  -53-AU-4(1).  - 
│ │ │ +00057900: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ +00057910: 2861 290a 2020 2d20 656e 6162 6c65 5f73  (a).  - enable_s
│ │ │ +00057920: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +00057930: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +00057940: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +00057950: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ +00057960: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +00057970: 6e65 6564 6564 0a20 202d 2073 6572 7669  needed.  - servi
│ │ │ +00057980: 6365 5f72 7379 736c 6f67 5f65 6e61 626c  ce_rsyslog_enabl
│ │ │ +00057990: 6564 0a0a 2d20 6e61 6d65 3a20 456e 6162  ed..- name: Enab
│ │ │ +000579a0: 6c65 2072 7379 736c 6f67 2053 6572 7669  le rsyslog Servi
│ │ │ +000579b0: 6365 202d 2045 6e61 626c 6520 7365 7276  ce - Enable serv
│ │ │ +000579c0: 6963 6520 7273 7973 6c6f 670a 2020 626c  ice rsyslog.  bl
│ │ │ +000579d0: 6f63 6b3a 0a0a 2020 2d20 6e61 6d65 3a20  ock:..  - name: 
│ │ │ +000579e0: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ +000579f0: 6765 2066 6163 7473 0a20 2020 2070 6163  ge facts.    pac
│ │ │ +00057a00: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ +00057a10: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ +00057a20: 0a20 202d 206e 616d 653a 2045 6e61 626c  .  - name: Enabl
│ │ │ +00057a30: 6520 7273 7973 6c6f 6720 5365 7276 6963  e rsyslog Servic
│ │ │ +00057a40: 6520 2d20 456e 6162 6c65 2053 6572 7669  e - Enable Servi
│ │ │ +00057a50: 6365 2072 7379 736c 6f67 0a20 2020 2061  ce rsyslog.    a
│ │ │ +00057a60: 6e73 6962 6c65 2e62 7569 6c74 696e 2e73  nsible.builtin.s
│ │ │ +00057a70: 7973 7465 6d64 3a0a 2020 2020 2020 6e61  ystemd:.      na
│ │ │ +00057a80: 6d65 3a20 7273 7973 6c6f 670a 2020 2020  me: rsyslog.    
│ │ │ +00057a90: 2020 656e 6162 6c65 643a 2074 7275 650a    enabled: true.
│ │ │ +00057aa0: 2020 2020 2020 7374 6174 653a 2073 7461        state: sta
│ │ │ +00057ab0: 7274 6564 0a20 2020 2020 206d 6173 6b65  rted.      maske
│ │ │ +00057ac0: 643a 2066 616c 7365 0a20 2020 2077 6865  d: false.    whe
│ │ │ +00057ad0: 6e3a 0a20 2020 202d 2027 2272 7379 736c  n:.    - '"rsysl
│ │ │ +00057ae0: 6f67 2220 696e 2061 6e73 6962 6c65 5f66  og" in ansible_f
│ │ │ +00057af0: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ +00057b00: 2077 6865 6e3a 2027 226c 696e 7578 2d62   when: '"linux-b
│ │ │ +00057b10: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ +00057b20: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +00057b30: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +00057b40: 2d38 3030 2d35 332d 4155 2d34 2831 290a  -800-53-AU-4(1).
│ │ │ +00057b50: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00057b60: 434d 2d36 2861 290a 2020 2d20 656e 6162  CM-6(a).  - enab
│ │ │ +00057b70: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +00057b80: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +00057b90: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +00057ba0: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +00057bb0: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +00057bc0: 6f6f 745f 6e65 6564 6564 0a20 202d 2073  oot_needed.  - s
│ │ │ +00057bd0: 6572 7669 6365 5f72 7379 736c 6f67 5f65  ervice_rsyslog_e
│ │ │ +00057be0: 6e61 626c 6564 0a3c 2f63 6f64 653e 3c2f  nabled.</code></
│ │ │ +00057bf0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +00057c00: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +00057c10: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00057c20: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00057c30: 2d74 6172 6765 743d 2223 6964 6d34 3932  -target="#idm492
│ │ │ +00057c40: 3422 2074 6162 696e 6465 783d 2230 2220  4" tabindex="0" 
│ │ │ +00057c50: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +00057c60: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +00057c70: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +00057c80: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +00057c90: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +00057ca0: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ +00057cb0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00057cc0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00057cd0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00057ce0: 7365 2220 6964 3d22 6964 6d34 3932 3422  se" id="idm4924"
│ │ │ +00057cf0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00057d00: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00057d10: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00057d20: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00057d30: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00057d40: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00057d50: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00057d60: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00057d70: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00057d80: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00057d90: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00057da0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00057db0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00057dc0: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +00057dd0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00057de0: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +00057df0: 2065 6e61 626c 655f 7273 7973 6c6f 670a   enable_rsyslog.
│ │ │ +00057e00: 0a63 6c61 7373 2065 6e61 626c 655f 7273  .class enable_rs
│ │ │ +00057e10: 7973 6c6f 6720 7b0a 2020 7365 7276 6963  yslog {.  servic
│ │ │ +00057e20: 6520 7b27 7273 7973 6c6f 6727 3a0a 2020  e {'rsyslog':.  
│ │ │ +00057e30: 2020 656e 6162 6c65 203d 2667 743b 2074    enable =&gt; t
│ │ │ +00057e40: 7275 652c 0a20 2020 2065 6e73 7572 6520  rue,.    ensure 
│ │ │ +00057e50: 3d26 6774 3b20 2772 756e 6e69 6e67 272c  =&gt; 'running',
│ │ │ +00057e60: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │ +00057e70: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +00057e80: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +00057e90: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00057ea0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00057eb0: 2d74 6172 6765 743d 2223 6964 6d34 3932  -target="#idm492
│ │ │ +00057ec0: 3522 2074 6162 696e 6465 783d 2230 2220  5" tabindex="0" 
│ │ │ +00057ed0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +00057ee0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +00057ef0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +00057f00: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +00057f10: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +00057f20: 7469 6f6e 204f 5342 7569 6c64 2042 6c75  tion OSBuild Blu
│ │ │ +00057f30: 6570 7269 6e74 2073 6e69 7070 6574 20e2  eprint snippet .
│ │ │ +00057f40: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +00057f50: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +00057f60: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +00057f70: 643d 2269 646d 3439 3235 223e 3c70 7265  d="idm4925"><pre
│ │ │ +00057f80: 3e3c 636f 6465 3e0a 5b63 7573 746f 6d69  ><code>.[customi
│ │ │ +00057f90: 7a61 7469 6f6e 732e 7365 7276 6963 6573  zations.services
│ │ │ +00057fa0: 5d0a 656e 6162 6c65 6420 3d20 5b22 7273  ].enabled = ["rs
│ │ │ +00057fb0: 7973 6c6f 6722 5d0a 3c2f 636f 6465 3e3c  yslog"].</code><
│ │ │  00057fc0: 2f70 7265 3e3c 2f64 6976 3e3c 2f64 6976  /pre></div></div
│ │ │  00057fd0: 3e3c 2f74 643e 3c2f 7472 3e3c 2f74 626f  ></td></tr></tbo
│ │ │  00057fe0: 6479 3e3c 2f74 6162 6c65 3e3c 2f74 643e  dy></table></td>
│ │ │  00057ff0: 3c2f 7472 3e3c 7472 2064 6174 612d 7474  </tr><tr data-tt
│ │ │  00058000: 2d69 643d 2263 6869 6c64 7265 6e2d 7863  -id="children-xc
│ │ │  00058010: 6364 665f 6f72 672e 7373 6770 726f 6a65  cdf_org.ssgproje
│ │ │  00058020: 6374 2e63 6f6e 7465 6e74 5f67 726f 7570  ct.content_group
│ │ │ @@ -30458,130 +30458,130 @@
│ │ │  00076f90: 6574 3d22 2369 646d 3935 3335 2220 7461  et="#idm9535" ta
│ │ │  00076fa0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  00076fb0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │  00076fc0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │  00076fd0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │  00076fe0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │  00076ff0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00077000: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ -00077010: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -00077020: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00077030: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00077040: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00077050: 6d39 3533 3522 3e3c 7072 653e 3c63 6f64  m9535"><pre><cod
│ │ │ -00077060: 653e 0a5b 5b70 6163 6b61 6765 735d 5d0a  e>.[[packages]].
│ │ │ -00077070: 6e61 6d65 203d 2022 6372 6f6e 220a 7665  name = "cron".ve
│ │ │ -00077080: 7273 696f 6e20 3d20 222a 220a 3c2f 636f  rsion = "*".</co
│ │ │ -00077090: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -000770a0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -000770b0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -000770c0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -000770d0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -000770e0: 646d 3935 3336 2220 7461 6269 6e64 6578  dm9536" tabindex
│ │ │ -000770f0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00077100: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00077110: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00077120: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00077130: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00077140: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -00077150: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00077160: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00077170: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00077180: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00077190: 3935 3336 223e 3c74 6162 6c65 2063 6c61  9536"><table cla
│ │ │ -000771a0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -000771b0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -000771c0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -000771d0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -000771e0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -000771f0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00077200: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00077210: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00077220: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00077230: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00077240: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00077250: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00077260: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -00077270: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00077280: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -00077290: 636c 7564 6520 696e 7374 616c 6c5f 6372  clude install_cr
│ │ │ -000772a0: 6f6e 0a0a 636c 6173 7320 696e 7374 616c  on..class instal
│ │ │ -000772b0: 6c5f 6372 6f6e 207b 0a20 2070 6163 6b61  l_cron {.  packa
│ │ │ -000772c0: 6765 207b 2027 6372 6f6e 273a 0a20 2020  ge { 'cron':.   
│ │ │ -000772d0: 2065 6e73 7572 6520 3d26 6774 3b20 2769   ensure =&gt; 'i
│ │ │ -000772e0: 6e73 7461 6c6c 6564 272c 0a20 207d 0a7d  nstalled',.  }.}
│ │ │ -000772f0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -00077300: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -00077310: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -00077320: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -00077330: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -00077340: 743d 2223 6964 6d39 3533 3722 2074 6162  t="#idm9537" tab
│ │ │ -00077350: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -00077360: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -00077370: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -00077380: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -00077390: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -000773a0: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ -000773b0: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ -000773c0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -000773d0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -000773e0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -000773f0: 643d 2269 646d 3935 3337 223e 3c74 6162  d="idm9537"><tab
│ │ │ -00077400: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00077410: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00077420: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00077430: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00077440: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00077450: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00077460: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00077470: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -00077480: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00077490: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -000774a0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -000774b0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -000774c0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -000774d0: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -000774e0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -000774f0: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ -00077500: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ -00077510: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ -00077520: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ -00077530: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ -00077540: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00077550: 434d 2d36 2861 290a 2020 2d20 5043 492d  CM-6(a).  - PCI-
│ │ │ -00077560: 4453 5376 342d 322e 320a 2020 2d20 5043  DSSv4-2.2.  - PC
│ │ │ -00077570: 492d 4453 5376 342d 322e 322e 360a 2020  I-DSSv4-2.2.6.  
│ │ │ -00077580: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -00077590: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -000775a0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -000775b0: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -000775c0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -000775d0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -000775e0: 0a20 202d 2070 6163 6b61 6765 5f63 726f  .  - package_cro
│ │ │ -000775f0: 6e5f 696e 7374 616c 6c65 640a 0a2d 206e  n_installed..- n
│ │ │ -00077600: 616d 653a 2045 6e73 7572 6520 6372 6f6e  ame: Ensure cron
│ │ │ -00077610: 2069 7320 696e 7374 616c 6c65 640a 2020   is installed.  
│ │ │ -00077620: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ -00077630: 653a 2063 726f 6e0a 2020 2020 7374 6174  e: cron.    stat
│ │ │ -00077640: 653a 2070 7265 7365 6e74 0a20 2077 6865  e: present.  whe
│ │ │ -00077650: 6e3a 2027 226c 696e 7578 2d62 6173 6522  n: '"linux-base"
│ │ │ -00077660: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ -00077670: 732e 7061 636b 6167 6573 270a 2020 7461  s.packages'.  ta
│ │ │ -00077680: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ -00077690: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ -000776a0: 5043 492d 4453 5376 342d 322e 320a 2020  PCI-DSSv4-2.2.  
│ │ │ -000776b0: 2d20 5043 492d 4453 5376 342d 322e 322e  - PCI-DSSv4-2.2.
│ │ │ -000776c0: 360a 2020 2d20 656e 6162 6c65 5f73 7472  6.  - enable_str
│ │ │ -000776d0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -000776e0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -000776f0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -00077700: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -00077710: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -00077720: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -00077730: 5f63 726f 6e5f 696e 7374 616c 6c65 640a  _cron_installed.
│ │ │ +00077000: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ +00077010: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00077020: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00077030: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00077040: 6964 3d22 6964 6d39 3533 3522 3e3c 7461  id="idm9535"><ta
│ │ │ +00077050: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +00077060: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +00077070: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +00077080: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00077090: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +000770a0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +000770b0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +000770c0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +000770d0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +000770e0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +000770f0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +00077100: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00077110: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +00077120: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ +00077130: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +00077140: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ +00077150: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ +00077160: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ +00077170: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ +00077180: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ +00077190: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +000771a0: 2d43 4d2d 3628 6129 0a20 202d 2050 4349  -CM-6(a).  - PCI
│ │ │ +000771b0: 2d44 5353 7634 2d32 2e32 0a20 202d 2050  -DSSv4-2.2.  - P
│ │ │ +000771c0: 4349 2d44 5353 7634 2d32 2e32 2e36 0a20  CI-DSSv4-2.2.6. 
│ │ │ +000771d0: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ +000771e0: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ +000771f0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +00077200: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ +00077210: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ +00077220: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +00077230: 640a 2020 2d20 7061 636b 6167 655f 6372  d.  - package_cr
│ │ │ +00077240: 6f6e 5f69 6e73 7461 6c6c 6564 0a0a 2d20  on_installed..- 
│ │ │ +00077250: 6e61 6d65 3a20 456e 7375 7265 2063 726f  name: Ensure cro
│ │ │ +00077260: 6e20 6973 2069 6e73 7461 6c6c 6564 0a20  n is installed. 
│ │ │ +00077270: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +00077280: 6d65 3a20 6372 6f6e 0a20 2020 2073 7461  me: cron.    sta
│ │ │ +00077290: 7465 3a20 7072 6573 656e 740a 2020 7768  te: present.  wh
│ │ │ +000772a0: 656e 3a20 2722 6c69 6e75 782d 6261 7365  en: '"linux-base
│ │ │ +000772b0: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ +000772c0: 7473 2e70 6163 6b61 6765 7327 0a20 2074  ts.packages'.  t
│ │ │ +000772d0: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +000772e0: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +000772f0: 2050 4349 2d44 5353 7634 2d32 2e32 0a20   PCI-DSSv4-2.2. 
│ │ │ +00077300: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +00077310: 2e36 0a20 202d 2065 6e61 626c 655f 7374  .6.  - enable_st
│ │ │ +00077320: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +00077330: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +00077340: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +00077350: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +00077360: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +00077370: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +00077380: 655f 6372 6f6e 5f69 6e73 7461 6c6c 6564  e_cron_installed
│ │ │ +00077390: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +000773a0: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +000773b0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +000773c0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +000773d0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +000773e0: 743d 2223 6964 6d39 3533 3622 2074 6162  t="#idm9536" tab
│ │ │ +000773f0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +00077400: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +00077410: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +00077420: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +00077430: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +00077440: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ +00077450: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ +00077460: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00077470: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00077480: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00077490: 3d22 6964 6d39 3533 3622 3e3c 7461 626c  ="idm9536"><tabl
│ │ │ +000774a0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +000774b0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +000774c0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +000774d0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +000774e0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +000774f0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00077500: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +00077510: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +00077520: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00077530: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +00077540: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +00077550: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +00077560: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00077570: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ +00077580: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00077590: 6465 3e69 6e63 6c75 6465 2069 6e73 7461  de>include insta
│ │ │ +000775a0: 6c6c 5f63 726f 6e0a 0a63 6c61 7373 2069  ll_cron..class i
│ │ │ +000775b0: 6e73 7461 6c6c 5f63 726f 6e20 7b0a 2020  nstall_cron {.  
│ │ │ +000775c0: 7061 636b 6167 6520 7b20 2763 726f 6e27  package { 'cron'
│ │ │ +000775d0: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ +000775e0: 743b 2027 696e 7374 616c 6c65 6427 2c0a  t; 'installed',.
│ │ │ +000775f0: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ +00077600: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +00077610: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +00077620: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +00077630: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +00077640: 7461 7267 6574 3d22 2369 646d 3935 3337  target="#idm9537
│ │ │ +00077650: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00077660: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00077670: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00077680: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00077690: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +000776a0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +000776b0: 696f 6e20 4f53 4275 696c 6420 426c 7565  ion OSBuild Blue
│ │ │ +000776c0: 7072 696e 7420 736e 6970 7065 7420 e287  print snippet ..
│ │ │ +000776d0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +000776e0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +000776f0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00077700: 3d22 6964 6d39 3533 3722 3e3c 7072 653e  ="idm9537"><pre>
│ │ │ +00077710: 3c63 6f64 653e 0a5b 5b70 6163 6b61 6765  <code>.[[package
│ │ │ +00077720: 735d 5d0a 6e61 6d65 203d 2022 6372 6f6e  s]].name = "cron
│ │ │ +00077730: 220a 7665 7273 696f 6e20 3d20 222a 220a  ".version = "*".
│ │ │  00077740: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  00077750: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │  00077760: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │  00077770: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │  00077780: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  00077790: 3d22 2369 646d 3935 3338 2220 7461 6269  ="#idm9538" tabi
│ │ │  000777a0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ @@ -30912,96 +30912,96 @@
│ │ │  00078bf0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  00078c00: 2223 6964 6d39 3732 3622 2074 6162 696e  "#idm9726" tabin
│ │ │  00078c10: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  00078c20: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  00078c30: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  00078c40: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  00078c50: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00078c60: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ -00078c70: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ -00078c80: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00078c90: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00078ca0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00078cb0: 6964 6d39 3732 3622 3e3c 7461 626c 6520  idm9726"><table 
│ │ │ -00078cc0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -00078cd0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -00078ce0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -00078cf0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -00078d00: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -00078d10: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00078d20: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -00078d30: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -00078d40: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00078d50: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -00078d60: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -00078d70: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -00078d80: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -00078d90: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -00078da0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -00078db0: 653e 696e 636c 7564 6520 7265 6d6f 7665  e>include remove
│ │ │ -00078dc0: 5f69 6e65 7475 7469 6c73 2d74 656c 6e65  _inetutils-telne
│ │ │ -00078dd0: 7464 0a0a 636c 6173 7320 7265 6d6f 7665  td..class remove
│ │ │ -00078de0: 5f69 6e65 7475 7469 6c73 2d74 656c 6e65  _inetutils-telne
│ │ │ -00078df0: 7464 207b 0a20 2070 6163 6b61 6765 207b  td {.  package {
│ │ │ -00078e00: 2027 696e 6574 7574 696c 732d 7465 6c6e   'inetutils-teln
│ │ │ -00078e10: 6574 6427 3a0a 2020 2020 656e 7375 7265  etd':.    ensure
│ │ │ -00078e20: 203d 2667 743b 2027 7075 7267 6564 272c   =&gt; 'purged',
│ │ │ -00078e30: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │ -00078e40: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -00078e50: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -00078e60: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -00078e70: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -00078e80: 2d74 6172 6765 743d 2223 6964 6d39 3732  -target="#idm972
│ │ │ -00078e90: 3722 2074 6162 696e 6465 783d 2230 2220  7" tabindex="0" 
│ │ │ -00078ea0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00078eb0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00078ec0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00078ed0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00078ee0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00078ef0: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -00078f00: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00078f10: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00078f20: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00078f30: 7073 6522 2069 643d 2269 646d 3937 3237  pse" id="idm9727
│ │ │ -00078f40: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00078f50: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00078f60: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00078f70: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00078f80: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00078f90: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00078fa0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00078fb0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00078fc0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00078fd0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00078fe0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00078ff0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00079000: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00079010: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -00079020: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00079030: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ -00079040: 653a 2045 6e73 7572 6520 696e 6574 7574  e: Ensure inetut
│ │ │ -00079050: 696c 732d 7465 6c6e 6574 6420 6973 2072  ils-telnetd is r
│ │ │ -00079060: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ -00079070: 3a0a 2020 2020 6e61 6d65 3a20 696e 6574  :.    name: inet
│ │ │ -00079080: 7574 696c 732d 7465 6c6e 6574 640a 2020  utils-telnetd.  
│ │ │ -00079090: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ -000790a0: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ -000790b0: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -000790c0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -000790d0: 434d 2d37 2861 290a 2020 2d20 4e49 5354  CM-7(a).  - NIST
│ │ │ -000790e0: 2d38 3030 2d35 332d 434d 2d37 2862 290a  -800-53-CM-7(b).
│ │ │ -000790f0: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -00079100: 7465 6779 0a20 202d 2068 6967 685f 7365  tegy.  - high_se
│ │ │ -00079110: 7665 7269 7479 0a20 202d 206c 6f77 5f63  verity.  - low_c
│ │ │ -00079120: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -00079130: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -00079140: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -00079150: 640a 2020 2d20 7061 636b 6167 655f 696e  d.  - package_in
│ │ │ -00079160: 6574 7574 696c 732d 7465 6c6e 6574 645f  etutils-telnetd_
│ │ │ -00079170: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ +00078c60: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +00078c70: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +00078c80: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00078c90: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00078ca0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00078cb0: 2269 646d 3937 3236 223e 3c74 6162 6c65  "idm9726"><table
│ │ │ +00078cc0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00078cd0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00078ce0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00078cf0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00078d00: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00078d10: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00078d20: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00078d30: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00078d40: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00078d50: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00078d60: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00078d70: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00078d80: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +00078d90: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +00078da0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00078db0: 6465 3e2d 206e 616d 653a 2045 6e73 7572  de>- name: Ensur
│ │ │ +00078dc0: 6520 696e 6574 7574 696c 732d 7465 6c6e  e inetutils-teln
│ │ │ +00078dd0: 6574 6420 6973 2072 656d 6f76 6564 0a20  etd is removed. 
│ │ │ +00078de0: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +00078df0: 6d65 3a20 696e 6574 7574 696c 732d 7465  me: inetutils-te
│ │ │ +00078e00: 6c6e 6574 640a 2020 2020 7374 6174 653a  lnetd.    state:
│ │ │ +00078e10: 2061 6273 656e 740a 2020 7461 6773 3a0a   absent.  tags:.
│ │ │ +00078e20: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00078e30: 434d 2d36 2861 290a 2020 2d20 4e49 5354  CM-6(a).  - NIST
│ │ │ +00078e40: 2d38 3030 2d35 332d 434d 2d37 2861 290a  -800-53-CM-7(a).
│ │ │ +00078e50: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00078e60: 434d 2d37 2862 290a 2020 2d20 6469 7361  CM-7(b).  - disa
│ │ │ +00078e70: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +00078e80: 2068 6967 685f 7365 7665 7269 7479 0a20   high_severity. 
│ │ │ +00078e90: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +00078ea0: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +00078eb0: 7469 6f6e 0a20 202d 206e 6f5f 7265 626f  tion.  - no_rebo
│ │ │ +00078ec0: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ +00078ed0: 636b 6167 655f 696e 6574 7574 696c 732d  ckage_inetutils-
│ │ │ +00078ee0: 7465 6c6e 6574 645f 7265 6d6f 7665 640a  telnetd_removed.
│ │ │ +00078ef0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +00078f00: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +00078f10: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +00078f20: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00078f30: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +00078f40: 3d22 2369 646d 3937 3237 2220 7461 6269  ="#idm9727" tabi
│ │ │ +00078f50: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00078f60: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00078f70: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00078f80: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00078f90: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00078fa0: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +00078fb0: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +00078fc0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00078fd0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00078fe0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00078ff0: 2269 646d 3937 3237 223e 3c74 6162 6c65  "idm9727"><table
│ │ │ +00079000: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00079010: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00079020: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00079030: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00079040: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00079050: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00079060: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00079070: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00079080: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00079090: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +000790a0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +000790b0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +000790c0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +000790d0: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +000790e0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +000790f0: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ +00079100: 655f 696e 6574 7574 696c 732d 7465 6c6e  e_inetutils-teln
│ │ │ +00079110: 6574 640a 0a63 6c61 7373 2072 656d 6f76  etd..class remov
│ │ │ +00079120: 655f 696e 6574 7574 696c 732d 7465 6c6e  e_inetutils-teln
│ │ │ +00079130: 6574 6420 7b0a 2020 7061 636b 6167 6520  etd {.  package 
│ │ │ +00079140: 7b20 2769 6e65 7475 7469 6c73 2d74 656c  { 'inetutils-tel
│ │ │ +00079150: 6e65 7464 273a 0a20 2020 2065 6e73 7572  netd':.    ensur
│ │ │ +00079160: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ +00079170: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │  00079180: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │  00079190: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │  000791a0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │  000791b0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │  000791c0: 612d 7461 7267 6574 3d22 2369 646d 3937  a-target="#idm97
│ │ │  000791d0: 3238 2220 7461 6269 6e64 6578 3d22 3022  28" tabindex="0"
│ │ │  000791e0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ @@ -31147,86 +31147,86 @@
│ │ │  00079aa0: 2d74 6172 6765 743d 2223 6964 6d39 3733  -target="#idm973
│ │ │  00079ab0: 3522 2074 6162 696e 6465 783d 2230 2220  5" tabindex="0" 
│ │ │  00079ac0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │  00079ad0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │  00079ae0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │  00079af0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │  00079b00: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00079b10: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -00079b20: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00079b30: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00079b40: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00079b50: 7365 2220 6964 3d22 6964 6d39 3733 3522  se" id="idm9735"
│ │ │ -00079b60: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00079b70: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00079b80: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00079b90: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00079ba0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00079bb0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -00079bc0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00079bd0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -00079be0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00079bf0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -00079c00: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -00079c10: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -00079c20: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00079c30: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -00079c40: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00079c50: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -00079c60: 6520 7265 6d6f 7665 5f6e 6973 0a0a 636c  e remove_nis..cl
│ │ │ -00079c70: 6173 7320 7265 6d6f 7665 5f6e 6973 207b  ass remove_nis {
│ │ │ -00079c80: 0a20 2070 6163 6b61 6765 207b 2027 6e69  .  package { 'ni
│ │ │ -00079c90: 7327 3a0a 2020 2020 656e 7375 7265 203d  s':.    ensure =
│ │ │ -00079ca0: 2667 743b 2027 7075 7267 6564 272c 0a20  &gt; 'purged',. 
│ │ │ -00079cb0: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -00079cc0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -00079cd0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -00079ce0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -00079cf0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -00079d00: 6172 6765 743d 2223 6964 6d39 3733 3622  arget="#idm9736"
│ │ │ -00079d10: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -00079d20: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -00079d30: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -00079d40: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -00079d50: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -00079d60: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00079d70: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ -00079d80: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -00079d90: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00079da0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -00079db0: 6522 2069 643d 2269 646d 3937 3336 223e  e" id="idm9736">
│ │ │ -00079dc0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00079dd0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00079de0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00079df0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00079e00: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00079e10: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00079e20: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00079e30: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -00079e40: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00079e50: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00079e60: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00079e70: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00079e80: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00079e90: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -00079ea0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00079eb0: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -00079ec0: 2045 6e73 7572 6520 6e69 7320 6973 2072   Ensure nis is r
│ │ │ -00079ed0: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ -00079ee0: 3a0a 2020 2020 6e61 6d65 3a20 6e69 730a  :.    name: nis.
│ │ │ -00079ef0: 2020 2020 7374 6174 653a 2061 6273 656e      state: absen
│ │ │ -00079f00: 740a 2020 7461 6773 3a0a 2020 2d20 6469  t.  tags:.  - di
│ │ │ -00079f10: 7361 626c 655f 7374 7261 7465 6779 0a20  sable_strategy. 
│ │ │ -00079f20: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -00079f30: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -00079f40: 7469 6f6e 0a20 202d 206c 6f77 5f73 6576  tion.  - low_sev
│ │ │ -00079f50: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ -00079f60: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -00079f70: 6163 6b61 6765 5f6e 6973 5f72 656d 6f76  ackage_nis_remov
│ │ │ -00079f80: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +00079b10: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ +00079b20: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00079b30: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00079b40: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00079b50: 7073 6522 2069 643d 2269 646d 3937 3335  pse" id="idm9735
│ │ │ +00079b60: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +00079b70: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +00079b80: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +00079b90: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +00079ba0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +00079bb0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +00079bc0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00079bd0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +00079be0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00079bf0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +00079c00: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +00079c10: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +00079c20: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +00079c30: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ +00079c40: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +00079c50: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ +00079c60: 653a 2045 6e73 7572 6520 6e69 7320 6973  e: Ensure nis is
│ │ │ +00079c70: 2072 656d 6f76 6564 0a20 2070 6163 6b61   removed.  packa
│ │ │ +00079c80: 6765 3a0a 2020 2020 6e61 6d65 3a20 6e69  ge:.    name: ni
│ │ │ +00079c90: 730a 2020 2020 7374 6174 653a 2061 6273  s.    state: abs
│ │ │ +00079ca0: 656e 740a 2020 7461 6773 3a0a 2020 2d20  ent.  tags:.  - 
│ │ │ +00079cb0: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ +00079cc0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +00079cd0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +00079ce0: 7570 7469 6f6e 0a20 202d 206c 6f77 5f73  uption.  - low_s
│ │ │ +00079cf0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +00079d00: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +00079d10: 2070 6163 6b61 6765 5f6e 6973 5f72 656d   package_nis_rem
│ │ │ +00079d20: 6f76 6564 0a3c 2f63 6f64 653e 3c2f 7072  oved.</code></pr
│ │ │ +00079d30: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00079d40: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00079d50: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00079d60: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00079d70: 6172 6765 743d 2223 6964 6d39 3733 3622  arget="#idm9736"
│ │ │ +00079d80: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00079d90: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00079da0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00079db0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00079dc0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00079dd0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +00079de0: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +00079df0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00079e00: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00079e10: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00079e20: 2220 6964 3d22 6964 6d39 3733 3622 3e3c  " id="idm9736"><
│ │ │ +00079e30: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00079e40: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00079e50: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00079e60: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00079e70: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00079e80: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00079e90: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00079ea0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00079eb0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00079ec0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00079ed0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00079ee0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00079ef0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00079f00: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +00079f10: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00079f20: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +00079f30: 7265 6d6f 7665 5f6e 6973 0a0a 636c 6173  remove_nis..clas
│ │ │ +00079f40: 7320 7265 6d6f 7665 5f6e 6973 207b 0a20  s remove_nis {. 
│ │ │ +00079f50: 2070 6163 6b61 6765 207b 2027 6e69 7327   package { 'nis'
│ │ │ +00079f60: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ +00079f70: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ +00079f80: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │  00079f90: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │  00079fa0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │  00079fb0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │  00079fc0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │  00079fd0: 6765 743d 2223 6964 6d39 3733 3722 2074  get="#idm9737" t
│ │ │  00079fe0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  00079ff0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ @@ -31370,87 +31370,87 @@
│ │ │  0007a890: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │  0007a8a0: 3734 3422 2074 6162 696e 6465 783d 2230  744" tabindex="0
│ │ │  0007a8b0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  0007a8c0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  0007a8d0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  0007a8e0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  0007a8f0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -0007a900: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ -0007a910: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -0007a920: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -0007a930: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -0007a940: 6170 7365 2220 6964 3d22 6964 6d39 3734  apse" id="idm974
│ │ │ -0007a950: 3422 3e3c 7461 626c 6520 636c 6173 733d  4"><table class=
│ │ │ -0007a960: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -0007a970: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -0007a980: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -0007a990: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -0007a9a0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -0007a9b0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0007a9c0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -0007a9d0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0007a9e0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -0007a9f0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -0007aa00: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -0007aa10: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -0007aa20: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -0007aa30: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -0007aa40: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ -0007aa50: 7564 6520 7265 6d6f 7665 5f6e 7470 6461  ude remove_ntpda
│ │ │ -0007aa60: 7465 0a0a 636c 6173 7320 7265 6d6f 7665  te..class remove
│ │ │ -0007aa70: 5f6e 7470 6461 7465 207b 0a20 2070 6163  _ntpdate {.  pac
│ │ │ -0007aa80: 6b61 6765 207b 2027 6e74 7064 6174 6527  kage { 'ntpdate'
│ │ │ -0007aa90: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ -0007aaa0: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ -0007aab0: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -0007aac0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -0007aad0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -0007aae0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -0007aaf0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -0007ab00: 6765 743d 2223 6964 6d39 3734 3522 2074  get="#idm9745" t
│ │ │ -0007ab10: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -0007ab20: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -0007ab30: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -0007ab40: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -0007ab50: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -0007ab60: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -0007ab70: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ -0007ab80: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -0007ab90: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -0007aba0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -0007abb0: 2069 643d 2269 646d 3937 3435 223e 3c74   id="idm9745"><t
│ │ │ -0007abc0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -0007abd0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -0007abe0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -0007abf0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -0007ac00: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -0007ac10: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -0007ac20: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0007ac30: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -0007ac40: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0007ac50: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -0007ac60: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -0007ac70: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0007ac80: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -0007ac90: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -0007aca0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -0007acb0: 3e3c 636f 6465 3e2d 206e 616d 653a 2045  ><code>- name: E
│ │ │ -0007acc0: 6e73 7572 6520 6e74 7064 6174 6520 6973  nsure ntpdate is
│ │ │ -0007acd0: 2072 656d 6f76 6564 0a20 2070 6163 6b61   removed.  packa
│ │ │ -0007ace0: 6765 3a0a 2020 2020 6e61 6d65 3a20 6e74  ge:.    name: nt
│ │ │ -0007acf0: 7064 6174 650a 2020 2020 7374 6174 653a  pdate.    state:
│ │ │ -0007ad00: 2061 6273 656e 740a 2020 7461 6773 3a0a   absent.  tags:.
│ │ │ -0007ad10: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -0007ad20: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -0007ad30: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -0007ad40: 6469 7372 7570 7469 6f6e 0a20 202d 206c  disruption.  - l
│ │ │ -0007ad50: 6f77 5f73 6576 6572 6974 790a 2020 2d20  ow_severity.  - 
│ │ │ -0007ad60: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -0007ad70: 0a20 202d 2070 6163 6b61 6765 5f6e 7470  .  - package_ntp
│ │ │ -0007ad80: 6461 7465 5f72 656d 6f76 6564 0a3c 2f63  date_removed.</c
│ │ │ +0007a900: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +0007a910: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +0007a920: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +0007a930: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +0007a940: 6c61 7073 6522 2069 643d 2269 646d 3937  lapse" id="idm97
│ │ │ +0007a950: 3434 223e 3c74 6162 6c65 2063 6c61 7373  44"><table class
│ │ │ +0007a960: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0007a970: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0007a980: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0007a990: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0007a9a0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +0007a9b0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0007a9c0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +0007a9d0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +0007a9e0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0007a9f0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +0007aa00: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +0007aa10: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +0007aa20: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +0007aa30: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0007aa40: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +0007aa50: 616d 653a 2045 6e73 7572 6520 6e74 7064  ame: Ensure ntpd
│ │ │ +0007aa60: 6174 6520 6973 2072 656d 6f76 6564 0a20  ate is removed. 
│ │ │ +0007aa70: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +0007aa80: 6d65 3a20 6e74 7064 6174 650a 2020 2020  me: ntpdate.    
│ │ │ +0007aa90: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ +0007aaa0: 7461 6773 3a0a 2020 2d20 6469 7361 626c  tags:.  - disabl
│ │ │ +0007aab0: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +0007aac0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +0007aad0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +0007aae0: 0a20 202d 206c 6f77 5f73 6576 6572 6974  .  - low_severit
│ │ │ +0007aaf0: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +0007ab00: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ +0007ab10: 6765 5f6e 7470 6461 7465 5f72 656d 6f76  ge_ntpdate_remov
│ │ │ +0007ab20: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +0007ab30: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +0007ab40: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +0007ab50: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +0007ab60: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +0007ab70: 6765 743d 2223 6964 6d39 3734 3522 2074  get="#idm9745" t
│ │ │ +0007ab80: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +0007ab90: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +0007aba0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +0007abb0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +0007abc0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +0007abd0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +0007abe0: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ +0007abf0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +0007ac00: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +0007ac10: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +0007ac20: 6964 3d22 6964 6d39 3734 3522 3e3c 7461  id="idm9745"><ta
│ │ │ +0007ac30: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +0007ac40: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +0007ac50: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +0007ac60: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +0007ac70: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +0007ac80: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +0007ac90: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0007aca0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +0007acb0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0007acc0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +0007acd0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +0007ace0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0007acf0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +0007ad00: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +0007ad10: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +0007ad20: 3c63 6f64 653e 696e 636c 7564 6520 7265  <code>include re
│ │ │ +0007ad30: 6d6f 7665 5f6e 7470 6461 7465 0a0a 636c  move_ntpdate..cl
│ │ │ +0007ad40: 6173 7320 7265 6d6f 7665 5f6e 7470 6461  ass remove_ntpda
│ │ │ +0007ad50: 7465 207b 0a20 2070 6163 6b61 6765 207b  te {.  package {
│ │ │ +0007ad60: 2027 6e74 7064 6174 6527 3a0a 2020 2020   'ntpdate':.    
│ │ │ +0007ad70: 656e 7375 7265 203d 2667 743b 2027 7075  ensure =&gt; 'pu
│ │ │ +0007ad80: 7267 6564 272c 0a20 207d 0a7d 0a3c 2f63  rged',.  }.}.</c
│ │ │  0007ad90: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │  0007ada0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │  0007adb0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │  0007adc0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │  0007add0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  0007ade0: 6964 6d39 3734 3622 2074 6162 696e 6465  idm9746" tabinde
│ │ │  0007adf0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ @@ -31711,94 +31711,94 @@
│ │ │  0007bde0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  0007bdf0: 6964 6d39 3834 3522 2074 6162 696e 6465  idm9845" tabinde
│ │ │  0007be00: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  0007be10: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  0007be20: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  0007be30: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  0007be40: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0007be50: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -0007be60: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -0007be70: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0007be80: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0007be90: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0007bea0: 6d39 3834 3522 3e3c 7461 626c 6520 636c  m9845"><table cl
│ │ │ -0007beb0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -0007bec0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -0007bed0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -0007bee0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -0007bef0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -0007bf00: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0007bf10: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -0007bf20: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -0007bf30: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0007bf40: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -0007bf50: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -0007bf60: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -0007bf70: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -0007bf80: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -0007bf90: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -0007bfa0: 696e 636c 7564 6520 7265 6d6f 7665 5f74  include remove_t
│ │ │ -0007bfb0: 656c 6e65 7464 2d73 736c 0a0a 636c 6173  elnetd-ssl..clas
│ │ │ -0007bfc0: 7320 7265 6d6f 7665 5f74 656c 6e65 7464  s remove_telnetd
│ │ │ -0007bfd0: 2d73 736c 207b 0a20 2070 6163 6b61 6765  -ssl {.  package
│ │ │ -0007bfe0: 207b 2027 7465 6c6e 6574 642d 7373 6c27   { 'telnetd-ssl'
│ │ │ -0007bff0: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ -0007c000: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ -0007c010: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -0007c020: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -0007c030: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -0007c040: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -0007c050: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -0007c060: 6765 743d 2223 6964 6d39 3834 3622 2074  get="#idm9846" t
│ │ │ -0007c070: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -0007c080: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -0007c090: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -0007c0a0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -0007c0b0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -0007c0c0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -0007c0d0: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ -0007c0e0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -0007c0f0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -0007c100: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -0007c110: 2069 643d 2269 646d 3938 3436 223e 3c74   id="idm9846"><t
│ │ │ -0007c120: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -0007c130: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -0007c140: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -0007c150: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -0007c160: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -0007c170: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -0007c180: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0007c190: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -0007c1a0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0007c1b0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -0007c1c0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -0007c1d0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0007c1e0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -0007c1f0: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -0007c200: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -0007c210: 3e3c 636f 6465 3e2d 206e 616d 653a 2045  ><code>- name: E
│ │ │ -0007c220: 6e73 7572 6520 7465 6c6e 6574 642d 7373  nsure telnetd-ss
│ │ │ -0007c230: 6c20 6973 2072 656d 6f76 6564 0a20 2070  l is removed.  p
│ │ │ -0007c240: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -0007c250: 3a20 7465 6c6e 6574 642d 7373 6c0a 2020  : telnetd-ssl.  
│ │ │ -0007c260: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ -0007c270: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ -0007c280: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -0007c290: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0007c2a0: 434d 2d37 2861 290a 2020 2d20 4e49 5354  CM-7(a).  - NIST
│ │ │ -0007c2b0: 2d38 3030 2d35 332d 434d 2d37 2862 290a  -800-53-CM-7(b).
│ │ │ -0007c2c0: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -0007c2d0: 7465 6779 0a20 202d 2068 6967 685f 7365  tegy.  - high_se
│ │ │ -0007c2e0: 7665 7269 7479 0a20 202d 206c 6f77 5f63  verity.  - low_c
│ │ │ -0007c2f0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -0007c300: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -0007c310: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -0007c320: 640a 2020 2d20 7061 636b 6167 655f 7465  d.  - package_te
│ │ │ -0007c330: 6c6e 6574 642d 7373 6c5f 7265 6d6f 7665  lnetd-ssl_remove
│ │ │ -0007c340: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +0007be50: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +0007be60: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +0007be70: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +0007be80: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +0007be90: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +0007bea0: 646d 3938 3435 223e 3c74 6162 6c65 2063  dm9845"><table c
│ │ │ +0007beb0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +0007bec0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +0007bed0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +0007bee0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +0007bef0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +0007bf00: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0007bf10: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +0007bf20: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +0007bf30: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0007bf40: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +0007bf50: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +0007bf60: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +0007bf70: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +0007bf80: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +0007bf90: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +0007bfa0: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ +0007bfb0: 7465 6c6e 6574 642d 7373 6c20 6973 2072  telnetd-ssl is r
│ │ │ +0007bfc0: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ +0007bfd0: 3a0a 2020 2020 6e61 6d65 3a20 7465 6c6e  :.    name: teln
│ │ │ +0007bfe0: 6574 642d 7373 6c0a 2020 2020 7374 6174  etd-ssl.    stat
│ │ │ +0007bff0: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ +0007c000: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +0007c010: 332d 434d 2d36 2861 290a 2020 2d20 4e49  3-CM-6(a).  - NI
│ │ │ +0007c020: 5354 2d38 3030 2d35 332d 434d 2d37 2861  ST-800-53-CM-7(a
│ │ │ +0007c030: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +0007c040: 332d 434d 2d37 2862 290a 2020 2d20 6469  3-CM-7(b).  - di
│ │ │ +0007c050: 7361 626c 655f 7374 7261 7465 6779 0a20  sable_strategy. 
│ │ │ +0007c060: 202d 2068 6967 685f 7365 7665 7269 7479   - high_severity
│ │ │ +0007c070: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +0007c080: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +0007c090: 7570 7469 6f6e 0a20 202d 206e 6f5f 7265  uption.  - no_re
│ │ │ +0007c0a0: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +0007c0b0: 7061 636b 6167 655f 7465 6c6e 6574 642d  package_telnetd-
│ │ │ +0007c0c0: 7373 6c5f 7265 6d6f 7665 640a 3c2f 636f  ssl_removed.</co
│ │ │ +0007c0d0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +0007c0e0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +0007c0f0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +0007c100: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +0007c110: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +0007c120: 646d 3938 3436 2220 7461 6269 6e64 6578  dm9846" tabindex
│ │ │ +0007c130: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +0007c140: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +0007c150: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +0007c160: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +0007c170: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +0007c180: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ +0007c190: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +0007c1a0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +0007c1b0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +0007c1c0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +0007c1d0: 3938 3436 223e 3c74 6162 6c65 2063 6c61  9846"><table cla
│ │ │ +0007c1e0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +0007c1f0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +0007c200: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +0007c210: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +0007c220: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +0007c230: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0007c240: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +0007c250: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +0007c260: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0007c270: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +0007c280: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +0007c290: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +0007c2a0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ +0007c2b0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +0007c2c0: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ +0007c2d0: 6e63 6c75 6465 2072 656d 6f76 655f 7465  nclude remove_te
│ │ │ +0007c2e0: 6c6e 6574 642d 7373 6c0a 0a63 6c61 7373  lnetd-ssl..class
│ │ │ +0007c2f0: 2072 656d 6f76 655f 7465 6c6e 6574 642d   remove_telnetd-
│ │ │ +0007c300: 7373 6c20 7b0a 2020 7061 636b 6167 6520  ssl {.  package 
│ │ │ +0007c310: 7b20 2774 656c 6e65 7464 2d73 736c 273a  { 'telnetd-ssl':
│ │ │ +0007c320: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +0007c330: 3b20 2770 7572 6765 6427 2c0a 2020 7d0a  ; 'purged',.  }.
│ │ │ +0007c340: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │  0007c350: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │  0007c360: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │  0007c370: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │  0007c380: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │  0007c390: 6574 3d22 2369 646d 3938 3437 2220 7461  et="#idm9847" ta
│ │ │  0007c3a0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  0007c3b0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ @@ -32059,92 +32059,92 @@
│ │ │  0007d3a0: 7461 7267 6574 3d22 2369 646d 3939 3435  target="#idm9945
│ │ │  0007d3b0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │  0007d3c0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │  0007d3d0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │  0007d3e0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │  0007d3f0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │  0007d400: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -0007d410: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ -0007d420: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -0007d430: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -0007d440: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -0007d450: 6522 2069 643d 2269 646d 3939 3435 223e  e" id="idm9945">
│ │ │ -0007d460: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -0007d470: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -0007d480: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -0007d490: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -0007d4a0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -0007d4b0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -0007d4c0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0007d4d0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -0007d4e0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0007d4f0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -0007d500: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -0007d510: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -0007d520: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -0007d530: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -0007d540: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -0007d550: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ -0007d560: 2072 656d 6f76 655f 7465 6c6e 6574 640a   remove_telnetd.
│ │ │ -0007d570: 0a63 6c61 7373 2072 656d 6f76 655f 7465  .class remove_te
│ │ │ -0007d580: 6c6e 6574 6420 7b0a 2020 7061 636b 6167  lnetd {.  packag
│ │ │ -0007d590: 6520 7b20 2774 656c 6e65 7464 273a 0a20  e { 'telnetd':. 
│ │ │ -0007d5a0: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -0007d5b0: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │ -0007d5c0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -0007d5d0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -0007d5e0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -0007d5f0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -0007d600: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -0007d610: 3d22 2369 646d 3939 3436 2220 7461 6269  ="#idm9946" tabi
│ │ │ -0007d620: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -0007d630: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -0007d640: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -0007d650: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -0007d660: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -0007d670: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -0007d680: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -0007d690: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -0007d6a0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -0007d6b0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -0007d6c0: 3d22 6964 6d39 3934 3622 3e3c 7461 626c  ="idm9946"><tabl
│ │ │ -0007d6d0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -0007d6e0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -0007d6f0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -0007d700: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -0007d710: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -0007d720: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0007d730: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -0007d740: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -0007d750: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -0007d760: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -0007d770: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -0007d780: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -0007d790: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -0007d7a0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -0007d7b0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -0007d7c0: 6f64 653e 2d20 6e61 6d65 3a20 456e 7375  ode>- name: Ensu
│ │ │ -0007d7d0: 7265 2074 656c 6e65 7464 2069 7320 7265  re telnetd is re
│ │ │ -0007d7e0: 6d6f 7665 640a 2020 7061 636b 6167 653a  moved.  package:
│ │ │ -0007d7f0: 0a20 2020 206e 616d 653a 2074 656c 6e65  .    name: telne
│ │ │ -0007d800: 7464 0a20 2020 2073 7461 7465 3a20 6162  td.    state: ab
│ │ │ -0007d810: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ -0007d820: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -0007d830: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ -0007d840: 302d 3533 2d43 4d2d 3728 6129 0a20 202d  0-53-CM-7(a).  -
│ │ │ -0007d850: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -0007d860: 3728 6229 0a20 202d 2064 6973 6162 6c65  7(b).  - disable
│ │ │ -0007d870: 5f73 7472 6174 6567 790a 2020 2d20 6869  _strategy.  - hi
│ │ │ -0007d880: 6768 5f73 6576 6572 6974 790a 2020 2d20  gh_severity.  - 
│ │ │ -0007d890: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -0007d8a0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -0007d8b0: 6e0a 2020 2d20 6e6f 5f72 6562 6f6f 745f  n.  - no_reboot_
│ │ │ -0007d8c0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -0007d8d0: 6765 5f74 656c 6e65 7464 5f72 656d 6f76  ge_telnetd_remov
│ │ │ -0007d8e0: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +0007d410: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ +0007d420: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +0007d430: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +0007d440: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +0007d450: 7365 2220 6964 3d22 6964 6d39 3934 3522  se" id="idm9945"
│ │ │ +0007d460: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +0007d470: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +0007d480: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +0007d490: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +0007d4a0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +0007d4b0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +0007d4c0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0007d4d0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +0007d4e0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0007d4f0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +0007d500: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +0007d510: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +0007d520: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +0007d530: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +0007d540: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +0007d550: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +0007d560: 3a20 456e 7375 7265 2074 656c 6e65 7464  : Ensure telnetd
│ │ │ +0007d570: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ +0007d580: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ +0007d590: 2074 656c 6e65 7464 0a20 2020 2073 7461   telnetd.    sta
│ │ │ +0007d5a0: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ +0007d5b0: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +0007d5c0: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ +0007d5d0: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ +0007d5e0: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +0007d5f0: 3533 2d43 4d2d 3728 6229 0a20 202d 2064  53-CM-7(b).  - d
│ │ │ +0007d600: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ +0007d610: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ +0007d620: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +0007d630: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +0007d640: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ +0007d650: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +0007d660: 2070 6163 6b61 6765 5f74 656c 6e65 7464   package_telnetd
│ │ │ +0007d670: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ +0007d680: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +0007d690: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +0007d6a0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +0007d6b0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +0007d6c0: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │ +0007d6d0: 3934 3622 2074 6162 696e 6465 783d 2230  946" tabindex="0
│ │ │ +0007d6e0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +0007d6f0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +0007d700: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +0007d710: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +0007d720: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +0007d730: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +0007d740: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +0007d750: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0007d760: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0007d770: 6170 7365 2220 6964 3d22 6964 6d39 3934  apse" id="idm994
│ │ │ +0007d780: 3622 3e3c 7461 626c 6520 636c 6173 733d  6"><table class=
│ │ │ +0007d790: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +0007d7a0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +0007d7b0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +0007d7c0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +0007d7d0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +0007d7e0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0007d7f0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +0007d800: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0007d810: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +0007d820: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +0007d830: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +0007d840: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +0007d850: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +0007d860: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +0007d870: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ +0007d880: 7564 6520 7265 6d6f 7665 5f74 656c 6e65  ude remove_telne
│ │ │ +0007d890: 7464 0a0a 636c 6173 7320 7265 6d6f 7665  td..class remove
│ │ │ +0007d8a0: 5f74 656c 6e65 7464 207b 0a20 2070 6163  _telnetd {.  pac
│ │ │ +0007d8b0: 6b61 6765 207b 2027 7465 6c6e 6574 6427  kage { 'telnetd'
│ │ │ +0007d8c0: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ +0007d8d0: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ +0007d8e0: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │  0007d8f0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │  0007d900: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │  0007d910: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │  0007d920: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │  0007d930: 6765 743d 2223 6964 6d39 3934 3722 2074  get="#idm9947" t
│ │ │  0007d940: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  0007d950: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ @@ -32640,129 +32640,129 @@
│ │ │  0007f7f0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  0007f800: 646d 3130 3333 3122 2074 6162 696e 6465  dm10331" tabinde
│ │ │  0007f810: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  0007f820: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  0007f830: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  0007f840: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  0007f850: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0007f860: 656d 6564 6961 7469 6f6e 204f 5342 7569  emediation OSBui
│ │ │ -0007f870: 6c64 2042 6c75 6570 7269 6e74 2073 6e69  ld Blueprint sni
│ │ │ -0007f880: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -0007f890: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -0007f8a0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -0007f8b0: 7073 6522 2069 643d 2269 646d 3130 3333  pse" id="idm1033
│ │ │ -0007f8c0: 3122 3e3c 7072 653e 3c63 6f64 653e 0a5b  1"><pre><code>.[
│ │ │ -0007f8d0: 5b70 6163 6b61 6765 735d 5d0a 6e61 6d65  [packages]].name
│ │ │ -0007f8e0: 203d 2022 6e74 7022 0a76 6572 7369 6f6e   = "ntp".version
│ │ │ -0007f8f0: 203d 2022 2a22 0a3c 2f63 6f64 653e 3c2f   = "*".</code></
│ │ │ -0007f900: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -0007f910: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -0007f920: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -0007f930: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -0007f940: 2d74 6172 6765 743d 2223 6964 6d31 3033  -target="#idm103
│ │ │ -0007f950: 3332 2220 7461 6269 6e64 6578 3d22 3022  32" tabindex="0"
│ │ │ -0007f960: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -0007f970: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -0007f980: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -0007f990: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -0007f9a0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -0007f9b0: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -0007f9c0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -0007f9d0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -0007f9e0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -0007f9f0: 7073 6522 2069 643d 2269 646d 3130 3333  pse" id="idm1033
│ │ │ -0007fa00: 3222 3e3c 7461 626c 6520 636c 6173 733d  2"><table class=
│ │ │ -0007fa10: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -0007fa20: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -0007fa30: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -0007fa40: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -0007fa50: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -0007fa60: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0007fa70: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -0007fa80: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0007fa90: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -0007faa0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -0007fab0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -0007fac0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -0007fad0: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ -0007fae0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -0007faf0: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ -0007fb00: 6465 2069 6e73 7461 6c6c 5f6e 7470 0a0a  de install_ntp..
│ │ │ -0007fb10: 636c 6173 7320 696e 7374 616c 6c5f 6e74  class install_nt
│ │ │ -0007fb20: 7020 7b0a 2020 7061 636b 6167 6520 7b20  p {.  package { 
│ │ │ -0007fb30: 276e 7470 273a 0a20 2020 2065 6e73 7572  'ntp':.    ensur
│ │ │ -0007fb40: 6520 3d26 6774 3b20 2769 6e73 7461 6c6c  e =&gt; 'install
│ │ │ -0007fb50: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ -0007fb60: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -0007fb70: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -0007fb80: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -0007fb90: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -0007fba0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -0007fbb0: 6d31 3033 3333 2220 7461 6269 6e64 6578  m10333" tabindex
│ │ │ -0007fbc0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -0007fbd0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -0007fbe0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -0007fbf0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -0007fc00: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -0007fc10: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -0007fc20: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -0007fc30: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0007fc40: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0007fc50: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0007fc60: 6d31 3033 3333 223e 3c74 6162 6c65 2063  m10333"><table c
│ │ │ -0007fc70: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -0007fc80: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -0007fc90: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -0007fca0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -0007fcb0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -0007fcc0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0007fcd0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -0007fce0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -0007fcf0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0007fd00: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -0007fd10: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -0007fd20: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -0007fd30: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -0007fd40: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -0007fd50: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -0007fd60: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ -0007fd70: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ -0007fd80: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ -0007fd90: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ -0007fda0: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ -0007fdb0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -0007fdc0: 2861 290a 2020 2d20 5043 492d 4453 532d  (a).  - PCI-DSS-
│ │ │ -0007fdd0: 5265 712d 3130 2e34 0a20 202d 2065 6e61  Req-10.4.  - ena
│ │ │ -0007fde0: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -0007fdf0: 2068 6967 685f 7365 7665 7269 7479 0a20   high_severity. 
│ │ │ -0007fe00: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -0007fe10: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -0007fe20: 7469 6f6e 0a20 202d 206e 6f5f 7265 626f  tion.  - no_rebo
│ │ │ -0007fe30: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -0007fe40: 636b 6167 655f 6e74 705f 696e 7374 616c  ckage_ntp_instal
│ │ │ -0007fe50: 6c65 640a 0a2d 206e 616d 653a 2045 6e73  led..- name: Ens
│ │ │ -0007fe60: 7572 6520 6e74 7020 6973 2069 6e73 7461  ure ntp is insta
│ │ │ -0007fe70: 6c6c 6564 0a20 2070 6163 6b61 6765 3a0a  lled.  package:.
│ │ │ -0007fe80: 2020 2020 6e61 6d65 3a20 6e74 700a 2020      name: ntp.  
│ │ │ -0007fe90: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ -0007fea0: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ -0007feb0: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ -0007fec0: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -0007fed0: 270a 2020 7461 6773 3a0a 2020 2d20 4e49  '.  tags:.  - NI
│ │ │ -0007fee0: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -0007fef0: 290a 2020 2d20 5043 492d 4453 532d 5265  ).  - PCI-DSS-Re
│ │ │ -0007ff00: 712d 3130 2e34 0a20 202d 2065 6e61 626c  q-10.4.  - enabl
│ │ │ -0007ff10: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ -0007ff20: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ -0007ff30: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -0007ff40: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -0007ff50: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ -0007ff60: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -0007ff70: 6167 655f 6e74 705f 696e 7374 616c 6c65  age_ntp_installe
│ │ │ -0007ff80: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +0007f860: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +0007f870: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +0007f880: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +0007f890: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +0007f8a0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +0007f8b0: 646d 3130 3333 3122 3e3c 7461 626c 6520  dm10331"><table 
│ │ │ +0007f8c0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +0007f8d0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +0007f8e0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +0007f8f0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +0007f900: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +0007f910: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0007f920: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +0007f930: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +0007f940: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0007f950: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +0007f960: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +0007f970: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +0007f980: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ +0007f990: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +0007f9a0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +0007f9b0: 3e2d 206e 616d 653a 2047 6174 6865 7220  >- name: Gather 
│ │ │ +0007f9c0: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ +0007f9d0: 730a 2020 7061 636b 6167 655f 6661 6374  s.  package_fact
│ │ │ +0007f9e0: 733a 0a20 2020 206d 616e 6167 6572 3a20  s:.    manager: 
│ │ │ +0007f9f0: 6175 746f 0a20 2074 6167 733a 0a20 202d  auto.  tags:.  -
│ │ │ +0007fa00: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +0007fa10: 3628 6129 0a20 202d 2050 4349 2d44 5353  6(a).  - PCI-DSS
│ │ │ +0007fa20: 2d52 6571 2d31 302e 340a 2020 2d20 656e  -Req-10.4.  - en
│ │ │ +0007fa30: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +0007fa40: 2d20 6869 6768 5f73 6576 6572 6974 790a  - high_severity.
│ │ │ +0007fa50: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +0007fa60: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +0007fa70: 7074 696f 6e0a 2020 2d20 6e6f 5f72 6562  ption.  - no_reb
│ │ │ +0007fa80: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +0007fa90: 6163 6b61 6765 5f6e 7470 5f69 6e73 7461  ackage_ntp_insta
│ │ │ +0007faa0: 6c6c 6564 0a0a 2d20 6e61 6d65 3a20 456e  lled..- name: En
│ │ │ +0007fab0: 7375 7265 206e 7470 2069 7320 696e 7374  sure ntp is inst
│ │ │ +0007fac0: 616c 6c65 640a 2020 7061 636b 6167 653a  alled.  package:
│ │ │ +0007fad0: 0a20 2020 206e 616d 653a 206e 7470 0a20  .    name: ntp. 
│ │ │ +0007fae0: 2020 2073 7461 7465 3a20 7072 6573 656e     state: presen
│ │ │ +0007faf0: 740a 2020 7768 656e 3a20 2722 6c69 6e75  t.  when: '"linu
│ │ │ +0007fb00: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ +0007fb10: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ +0007fb20: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ +0007fb30: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +0007fb40: 6129 0a20 202d 2050 4349 2d44 5353 2d52  a).  - PCI-DSS-R
│ │ │ +0007fb50: 6571 2d31 302e 340a 2020 2d20 656e 6162  eq-10.4.  - enab
│ │ │ +0007fb60: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +0007fb70: 6869 6768 5f73 6576 6572 6974 790a 2020  high_severity.  
│ │ │ +0007fb80: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +0007fb90: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +0007fba0: 696f 6e0a 2020 2d20 6e6f 5f72 6562 6f6f  ion.  - no_reboo
│ │ │ +0007fbb0: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ +0007fbc0: 6b61 6765 5f6e 7470 5f69 6e73 7461 6c6c  kage_ntp_install
│ │ │ +0007fbd0: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +0007fbe0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +0007fbf0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +0007fc00: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +0007fc10: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +0007fc20: 6765 743d 2223 6964 6d31 3033 3332 2220  get="#idm10332" 
│ │ │ +0007fc30: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +0007fc40: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +0007fc50: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +0007fc60: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +0007fc70: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +0007fc80: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +0007fc90: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ +0007fca0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +0007fcb0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +0007fcc0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +0007fcd0: 2069 643d 2269 646d 3130 3333 3222 3e3c   id="idm10332"><
│ │ │ +0007fce0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +0007fcf0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +0007fd00: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +0007fd10: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +0007fd20: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +0007fd30: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +0007fd40: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0007fd50: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +0007fd60: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0007fd70: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +0007fd80: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +0007fd90: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0007fda0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +0007fdb0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +0007fdc0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +0007fdd0: 3e3c 636f 6465 3e69 6e63 6c75 6465 2069  ><code>include i
│ │ │ +0007fde0: 6e73 7461 6c6c 5f6e 7470 0a0a 636c 6173  nstall_ntp..clas
│ │ │ +0007fdf0: 7320 696e 7374 616c 6c5f 6e74 7020 7b0a  s install_ntp {.
│ │ │ +0007fe00: 2020 7061 636b 6167 6520 7b20 276e 7470    package { 'ntp
│ │ │ +0007fe10: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ +0007fe20: 6774 3b20 2769 6e73 7461 6c6c 6564 272c  gt; 'installed',
│ │ │ +0007fe30: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │ +0007fe40: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +0007fe50: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +0007fe60: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +0007fe70: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +0007fe80: 2d74 6172 6765 743d 2223 6964 6d31 3033  -target="#idm103
│ │ │ +0007fe90: 3333 2220 7461 6269 6e64 6578 3d22 3022  33" tabindex="0"
│ │ │ +0007fea0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +0007feb0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +0007fec0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +0007fed0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +0007fee0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +0007fef0: 6174 696f 6e20 4f53 4275 696c 6420 426c  ation OSBuild Bl
│ │ │ +0007ff00: 7565 7072 696e 7420 736e 6970 7065 7420  ueprint snippet 
│ │ │ +0007ff10: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +0007ff20: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +0007ff30: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +0007ff40: 6964 3d22 6964 6d31 3033 3333 223e 3c70  id="idm10333"><p
│ │ │ +0007ff50: 7265 3e3c 636f 6465 3e0a 5b5b 7061 636b  re><code>.[[pack
│ │ │ +0007ff60: 6167 6573 5d5d 0a6e 616d 6520 3d20 226e  ages]].name = "n
│ │ │ +0007ff70: 7470 220a 7665 7273 696f 6e20 3d20 222a  tp".version = "*
│ │ │ +0007ff80: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │  0007ff90: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │  0007ffa0: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │  0007ffb0: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │  0007ffc0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │  0007ffd0: 6574 3d22 2369 646d 3130 3333 3422 2074  et="#idm10334" t
│ │ │  0007ffe0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  0007fff0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ @@ -33041,157 +33041,157 @@
│ │ │  00081100: 7267 6574 3d22 2369 646d 3130 3430 3422  rget="#idm10404"
│ │ │  00081110: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  00081120: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  00081130: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  00081140: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  00081150: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  00081160: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00081170: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ -00081180: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ -00081190: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -000811a0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -000811b0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -000811c0: 2269 646d 3130 3430 3422 3e3c 7072 653e  "idm10404"><pre>
│ │ │ -000811d0: 3c63 6f64 653e 0a5b 6375 7374 6f6d 697a  <code>.[customiz
│ │ │ -000811e0: 6174 696f 6e73 2e73 6572 7669 6365 735d  ations.services]
│ │ │ -000811f0: 0a65 6e61 626c 6564 203d 205b 226e 7470  .enabled = ["ntp
│ │ │ -00081200: 225d 0a3c 2f63 6f64 653e 3c2f 7072 653e  "].</code></pre>
│ │ │ -00081210: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -00081220: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -00081230: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -00081240: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -00081250: 6765 743d 2223 6964 6d31 3034 3035 2220  get="#idm10405" 
│ │ │ -00081260: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -00081270: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -00081280: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -00081290: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -000812a0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -000812b0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -000812c0: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -000812d0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -000812e0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -000812f0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00081300: 2069 643d 2269 646d 3130 3430 3522 3e3c   id="idm10405"><
│ │ │ -00081310: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00081320: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -00081330: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -00081340: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00081350: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -00081360: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -00081370: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00081380: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -00081390: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -000813a0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -000813b0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -000813c0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -000813d0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -000813e0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -000813f0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -00081400: 3e3c 636f 6465 3e69 6e63 6c75 6465 2065  ><code>include e
│ │ │ -00081410: 6e61 626c 655f 6e74 700a 0a63 6c61 7373  nable_ntp..class
│ │ │ -00081420: 2065 6e61 626c 655f 6e74 7020 7b0a 2020   enable_ntp {.  
│ │ │ -00081430: 7365 7276 6963 6520 7b27 6e74 7027 3a0a  service {'ntp':.
│ │ │ -00081440: 2020 2020 656e 6162 6c65 203d 2667 743b      enable =&gt;
│ │ │ -00081450: 2074 7275 652c 0a20 2020 2065 6e73 7572   true,.    ensur
│ │ │ -00081460: 6520 3d26 6774 3b20 2772 756e 6e69 6e67  e =&gt; 'running
│ │ │ -00081470: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -00081480: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00081490: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -000814a0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -000814b0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -000814c0: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ -000814d0: 3034 3036 2220 7461 6269 6e64 6578 3d22  0406" tabindex="
│ │ │ -000814e0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -000814f0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -00081500: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -00081510: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -00081520: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00081530: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -00081540: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00081550: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00081560: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00081570: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -00081580: 3034 3036 223e 3c74 6162 6c65 2063 6c61  0406"><table cla
│ │ │ -00081590: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -000815a0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -000815b0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -000815c0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -000815d0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -000815e0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -000815f0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00081600: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00081610: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00081620: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00081630: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00081640: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00081650: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -00081660: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00081670: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ -00081680: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ -00081690: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ -000816a0: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ -000816b0: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ -000816c0: 6f0a 2020 7461 6773 3a0a 2020 2d20 4e49  o.  tags:.  - NI
│ │ │ -000816d0: 5354 2d38 3030 2d35 332d 4155 2d38 2831  ST-800-53-AU-8(1
│ │ │ -000816e0: 2928 6129 0a20 202d 204e 4953 542d 3830  )(a).  - NIST-80
│ │ │ -000816f0: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ -00081700: 2050 4349 2d44 5353 2d52 6571 2d31 302e   PCI-DSS-Req-10.
│ │ │ -00081710: 340a 2020 2d20 5043 492d 4453 5376 342d  4.  - PCI-DSSv4-
│ │ │ -00081720: 3130 2e36 0a20 202d 2050 4349 2d44 5353  10.6.  - PCI-DSS
│ │ │ -00081730: 7634 2d31 302e 362e 310a 2020 2d20 656e  v4-10.6.1.  - en
│ │ │ -00081740: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -00081750: 2d20 6869 6768 5f73 6576 6572 6974 790a  - high_severity.
│ │ │ -00081760: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -00081770: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -00081780: 7074 696f 6e0a 2020 2d20 6e6f 5f72 6562  ption.  - no_reb
│ │ │ -00081790: 6f6f 745f 6e65 6564 6564 0a20 202d 2073  oot_needed.  - s
│ │ │ -000817a0: 6572 7669 6365 5f6e 7470 5f65 6e61 626c  ervice_ntp_enabl
│ │ │ -000817b0: 6564 0a0a 2d20 6e61 6d65 3a20 456e 6162  ed..- name: Enab
│ │ │ -000817c0: 6c65 2074 6865 204e 5450 2044 6165 6d6f  le the NTP Daemo
│ │ │ -000817d0: 6e20 2d20 456e 6162 6c65 2073 6572 7669  n - Enable servi
│ │ │ -000817e0: 6365 206e 7470 0a20 2062 6c6f 636b 3a0a  ce ntp.  block:.
│ │ │ -000817f0: 0a20 202d 206e 616d 653a 2047 6174 6865  .  - name: Gathe
│ │ │ -00081800: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ -00081810: 6374 730a 2020 2020 7061 636b 6167 655f  cts.    package_
│ │ │ -00081820: 6661 6374 733a 0a20 2020 2020 206d 616e  facts:.      man
│ │ │ -00081830: 6167 6572 3a20 6175 746f 0a0a 2020 2d20  ager: auto..  - 
│ │ │ -00081840: 6e61 6d65 3a20 456e 6162 6c65 2074 6865  name: Enable the
│ │ │ -00081850: 204e 5450 2044 6165 6d6f 6e20 2d20 456e   NTP Daemon - En
│ │ │ -00081860: 6162 6c65 2053 6572 7669 6365 206e 7470  able Service ntp
│ │ │ -00081870: 0a20 2020 2061 6e73 6962 6c65 2e62 7569  .    ansible.bui
│ │ │ -00081880: 6c74 696e 2e73 7973 7465 6d64 3a0a 2020  ltin.systemd:.  
│ │ │ -00081890: 2020 2020 6e61 6d65 3a20 6e74 700a 2020      name: ntp.  
│ │ │ -000818a0: 2020 2020 656e 6162 6c65 643a 2074 7275      enabled: tru
│ │ │ -000818b0: 650a 2020 2020 2020 7374 6174 653a 2073  e.      state: s
│ │ │ -000818c0: 7461 7274 6564 0a20 2020 2020 206d 6173  tarted.      mas
│ │ │ -000818d0: 6b65 643a 2066 616c 7365 0a20 2020 2077  ked: false.    w
│ │ │ -000818e0: 6865 6e3a 0a20 2020 202d 2027 226e 7470  hen:.    - '"ntp
│ │ │ -000818f0: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ -00081900: 7473 2e70 6163 6b61 6765 7327 0a20 2077  ts.packages'.  w
│ │ │ -00081910: 6865 6e3a 0a20 202d 2027 226c 696e 7578  hen:.  - '"linux
│ │ │ -00081920: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ -00081930: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -00081940: 270a 2020 2d20 2722 6e74 7022 2069 6e20  '.  - '"ntp" in 
│ │ │ -00081950: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ -00081960: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ -00081970: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00081980: 4155 2d38 2831 2928 6129 0a20 202d 204e  AU-8(1)(a).  - N
│ │ │ -00081990: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -000819a0: 6129 0a20 202d 2050 4349 2d44 5353 2d52  a).  - PCI-DSS-R
│ │ │ -000819b0: 6571 2d31 302e 340a 2020 2d20 5043 492d  eq-10.4.  - PCI-
│ │ │ -000819c0: 4453 5376 342d 3130 2e36 0a20 202d 2050  DSSv4-10.6.  - P
│ │ │ -000819d0: 4349 2d44 5353 7634 2d31 302e 362e 310a  CI-DSSv4-10.6.1.
│ │ │ -000819e0: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ -000819f0: 6567 790a 2020 2d20 6869 6768 5f73 6576  egy.  - high_sev
│ │ │ -00081a00: 6572 6974 790a 2020 2d20 6c6f 775f 636f  erity.  - low_co
│ │ │ -00081a10: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -00081a20: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -00081a30: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -00081a40: 0a20 202d 2073 6572 7669 6365 5f6e 7470  .  - service_ntp
│ │ │ -00081a50: 5f65 6e61 626c 6564 0a3c 2f63 6f64 653e  _enabled.</code>
│ │ │ +00081170: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +00081180: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00081190: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +000811a0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +000811b0: 6522 2069 643d 2269 646d 3130 3430 3422  e" id="idm10404"
│ │ │ +000811c0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +000811d0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +000811e0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +000811f0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00081200: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00081210: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00081220: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00081230: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00081240: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00081250: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00081260: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00081270: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00081280: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00081290: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +000812a0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +000812b0: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +000812c0: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ +000812d0: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ +000812e0: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ +000812f0: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ +00081300: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +00081310: 302d 3533 2d41 552d 3828 3129 2861 290a  0-53-AU-8(1)(a).
│ │ │ +00081320: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00081330: 434d 2d36 2861 290a 2020 2d20 5043 492d  CM-6(a).  - PCI-
│ │ │ +00081340: 4453 532d 5265 712d 3130 2e34 0a20 202d  DSS-Req-10.4.  -
│ │ │ +00081350: 2050 4349 2d44 5353 7634 2d31 302e 360a   PCI-DSSv4-10.6.
│ │ │ +00081360: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ +00081370: 2e36 2e31 0a20 202d 2065 6e61 626c 655f  .6.1.  - enable_
│ │ │ +00081380: 7374 7261 7465 6779 0a20 202d 2068 6967  strategy.  - hig
│ │ │ +00081390: 685f 7365 7665 7269 7479 0a20 202d 206c  h_severity.  - l
│ │ │ +000813a0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +000813b0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +000813c0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +000813d0: 6565 6465 640a 2020 2d20 7365 7276 6963  eeded.  - servic
│ │ │ +000813e0: 655f 6e74 705f 656e 6162 6c65 640a 0a2d  e_ntp_enabled..-
│ │ │ +000813f0: 206e 616d 653a 2045 6e61 626c 6520 7468   name: Enable th
│ │ │ +00081400: 6520 4e54 5020 4461 656d 6f6e 202d 2045  e NTP Daemon - E
│ │ │ +00081410: 6e61 626c 6520 7365 7276 6963 6520 6e74  nable service nt
│ │ │ +00081420: 700a 2020 626c 6f63 6b3a 0a0a 2020 2d20  p.  block:..  - 
│ │ │ +00081430: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ +00081440: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ +00081450: 2020 2070 6163 6b61 6765 5f66 6163 7473     package_facts
│ │ │ +00081460: 3a0a 2020 2020 2020 6d61 6e61 6765 723a  :.      manager:
│ │ │ +00081470: 2061 7574 6f0a 0a20 202d 206e 616d 653a   auto..  - name:
│ │ │ +00081480: 2045 6e61 626c 6520 7468 6520 4e54 5020   Enable the NTP 
│ │ │ +00081490: 4461 656d 6f6e 202d 2045 6e61 626c 6520  Daemon - Enable 
│ │ │ +000814a0: 5365 7276 6963 6520 6e74 700a 2020 2020  Service ntp.    
│ │ │ +000814b0: 616e 7369 626c 652e 6275 696c 7469 6e2e  ansible.builtin.
│ │ │ +000814c0: 7379 7374 656d 643a 0a20 2020 2020 206e  systemd:.      n
│ │ │ +000814d0: 616d 653a 206e 7470 0a20 2020 2020 2065  ame: ntp.      e
│ │ │ +000814e0: 6e61 626c 6564 3a20 7472 7565 0a20 2020  nabled: true.   
│ │ │ +000814f0: 2020 2073 7461 7465 3a20 7374 6172 7465     state: starte
│ │ │ +00081500: 640a 2020 2020 2020 6d61 736b 6564 3a20  d.      masked: 
│ │ │ +00081510: 6661 6c73 650a 2020 2020 7768 656e 3a0a  false.    when:.
│ │ │ +00081520: 2020 2020 2d20 2722 6e74 7022 2069 6e20      - '"ntp" in 
│ │ │ +00081530: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ +00081540: 636b 6167 6573 270a 2020 7768 656e 3a0a  ckages'.  when:.
│ │ │ +00081550: 2020 2d20 2722 6c69 6e75 782d 6261 7365    - '"linux-base
│ │ │ +00081560: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ +00081570: 7473 2e70 6163 6b61 6765 7327 0a20 202d  ts.packages'.  -
│ │ │ +00081580: 2027 226e 7470 2220 696e 2061 6e73 6962   '"ntp" in ansib
│ │ │ +00081590: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ +000815a0: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ +000815b0: 4953 542d 3830 302d 3533 2d41 552d 3828  IST-800-53-AU-8(
│ │ │ +000815c0: 3129 2861 290a 2020 2d20 4e49 5354 2d38  1)(a).  - NIST-8
│ │ │ +000815d0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +000815e0: 2d20 5043 492d 4453 532d 5265 712d 3130  - PCI-DSS-Req-10
│ │ │ +000815f0: 2e34 0a20 202d 2050 4349 2d44 5353 7634  .4.  - PCI-DSSv4
│ │ │ +00081600: 2d31 302e 360a 2020 2d20 5043 492d 4453  -10.6.  - PCI-DS
│ │ │ +00081610: 5376 342d 3130 2e36 2e31 0a20 202d 2065  Sv4-10.6.1.  - e
│ │ │ +00081620: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ +00081630: 202d 2068 6967 685f 7365 7665 7269 7479   - high_severity
│ │ │ +00081640: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +00081650: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +00081660: 7570 7469 6f6e 0a20 202d 206e 6f5f 7265  uption.  - no_re
│ │ │ +00081670: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +00081680: 7365 7276 6963 655f 6e74 705f 656e 6162  service_ntp_enab
│ │ │ +00081690: 6c65 640a 3c2f 636f 6465 3e3c 2f70 7265  led.</code></pre
│ │ │ +000816a0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +000816b0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +000816c0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +000816d0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +000816e0: 7267 6574 3d22 2369 646d 3130 3430 3522  rget="#idm10405"
│ │ │ +000816f0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00081700: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00081710: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00081720: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00081730: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00081740: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +00081750: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +00081760: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00081770: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00081780: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00081790: 2220 6964 3d22 6964 6d31 3034 3035 223e  " id="idm10405">
│ │ │ +000817a0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +000817b0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +000817c0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +000817d0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +000817e0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +000817f0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00081800: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00081810: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00081820: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00081830: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00081840: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00081850: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00081860: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00081870: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +00081880: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00081890: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +000818a0: 656e 6162 6c65 5f6e 7470 0a0a 636c 6173  enable_ntp..clas
│ │ │ +000818b0: 7320 656e 6162 6c65 5f6e 7470 207b 0a20  s enable_ntp {. 
│ │ │ +000818c0: 2073 6572 7669 6365 207b 276e 7470 273a   service {'ntp':
│ │ │ +000818d0: 0a20 2020 2065 6e61 626c 6520 3d26 6774  .    enable =&gt
│ │ │ +000818e0: 3b20 7472 7565 2c0a 2020 2020 656e 7375  ; true,.    ensu
│ │ │ +000818f0: 7265 203d 2667 743b 2027 7275 6e6e 696e  re =&gt; 'runnin
│ │ │ +00081900: 6727 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  g',.  }.}.</code
│ │ │ +00081910: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +00081920: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +00081930: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +00081940: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +00081950: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +00081960: 3130 3430 3622 2074 6162 696e 6465 783d  10406" tabindex=
│ │ │ +00081970: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00081980: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00081990: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +000819a0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +000819b0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +000819c0: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ +000819d0: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ +000819e0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +000819f0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00081a00: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00081a10: 6522 2069 643d 2269 646d 3130 3430 3622  e" id="idm10406"
│ │ │ +00081a20: 3e3c 7072 653e 3c63 6f64 653e 0a5b 6375  ><pre><code>.[cu
│ │ │ +00081a30: 7374 6f6d 697a 6174 696f 6e73 2e73 6572  stomizations.ser
│ │ │ +00081a40: 7669 6365 735d 0a65 6e61 626c 6564 203d  vices].enabled =
│ │ │ +00081a50: 205b 226e 7470 225d 0a3c 2f63 6f64 653e   ["ntp"].</code>
│ │ │  00081a60: 3c2f 7072 653e 3c2f 6469 763e 3c2f 6469  </pre></div></di
│ │ │  00081a70: 763e 3c2f 7464 3e3c 2f74 723e 3c2f 7462  v></td></tr></tb
│ │ │  00081a80: 6f64 793e 3c2f 7461 626c 653e 3c2f 7464  ody></table></td
│ │ │  00081a90: 3e3c 2f74 723e 3c74 7220 6461 7461 2d74  ></tr><tr data-t
│ │ │  00081aa0: 742d 6964 3d22 6368 696c 6472 656e 2d78  t-id="children-x
│ │ │  00081ab0: 6363 6466 5f6f 7267 2e73 7367 7072 6f6a  ccdf_org.ssgproj
│ │ │  00081ac0: 6563 742e 636f 6e74 656e 745f 6772 6f75  ect.content_grou
│ │ │ @@ -36783,153 +36783,153 @@
│ │ │  0008fae0: 612d 7461 7267 6574 3d22 2369 646d 3133  a-target="#idm13
│ │ │  0008faf0: 3430 3922 2074 6162 696e 6465 783d 2230  409" tabindex="0
│ │ │  0008fb00: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  0008fb10: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  0008fb20: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  0008fb30: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  0008fb40: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -0008fb50: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ -0008fb60: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ -0008fb70: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -0008fb80: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -0008fb90: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -0008fba0: 2069 643d 2269 646d 3133 3430 3922 3e3c   id="idm13409"><
│ │ │ -0008fbb0: 7072 653e 3c63 6f64 653e 0a5b 5b70 6163  pre><code>.[[pac
│ │ │ -0008fbc0: 6b61 6765 735d 5d0a 6e61 6d65 203d 2022  kages]].name = "
│ │ │ -0008fbd0: 6175 6469 7464 220a 7665 7273 696f 6e20  auditd".version 
│ │ │ -0008fbe0: 3d20 222a 220a 3c2f 636f 6465 3e3c 2f70  = "*".</code></p
│ │ │ -0008fbf0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -0008fc00: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -0008fc10: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -0008fc20: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -0008fc30: 7461 7267 6574 3d22 2369 646d 3133 3431  target="#idm1341
│ │ │ -0008fc40: 3022 2074 6162 696e 6465 783d 2230 2220  0" tabindex="0" 
│ │ │ -0008fc50: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -0008fc60: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -0008fc70: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -0008fc80: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -0008fc90: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -0008fca0: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -0008fcb0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -0008fcc0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -0008fcd0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -0008fce0: 7365 2220 6964 3d22 6964 6d31 3334 3130  se" id="idm13410
│ │ │ -0008fcf0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -0008fd00: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -0008fd10: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -0008fd20: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -0008fd30: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -0008fd40: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -0008fd50: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0008fd60: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -0008fd70: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0008fd80: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -0008fd90: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -0008fda0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -0008fdb0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -0008fdc0: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -0008fdd0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -0008fde0: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -0008fdf0: 6520 696e 7374 616c 6c5f 6175 6469 7464  e install_auditd
│ │ │ -0008fe00: 0a0a 636c 6173 7320 696e 7374 616c 6c5f  ..class install_
│ │ │ -0008fe10: 6175 6469 7464 207b 0a20 2070 6163 6b61  auditd {.  packa
│ │ │ -0008fe20: 6765 207b 2027 6175 6469 7464 273a 0a20  ge { 'auditd':. 
│ │ │ -0008fe30: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -0008fe40: 2769 6e73 7461 6c6c 6564 272c 0a20 207d  'installed',.  }
│ │ │ -0008fe50: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -0008fe60: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -0008fe70: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -0008fe80: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -0008fe90: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -0008fea0: 6765 743d 2223 6964 6d31 3334 3131 2220  get="#idm13411" 
│ │ │ -0008feb0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -0008fec0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -0008fed0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -0008fee0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -0008fef0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -0008ff00: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0008ff10: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -0008ff20: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0008ff30: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0008ff40: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0008ff50: 2220 6964 3d22 6964 6d31 3334 3131 223e  " id="idm13411">
│ │ │ -0008ff60: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -0008ff70: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -0008ff80: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -0008ff90: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -0008ffa0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -0008ffb0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -0008ffc0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0008ffd0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -0008ffe0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0008fff0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00090000: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00090010: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00090020: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00090030: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ -00090040: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00090050: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ -00090060: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ -00090070: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ -00090080: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ -00090090: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ -000900a0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ -000900b0: 2d35 332d 4143 2d37 2861 290a 2020 2d20  -53-AC-7(a).  - 
│ │ │ -000900c0: 4e49 5354 2d38 3030 2d35 332d 4155 2d31  NIST-800-53-AU-1
│ │ │ -000900d0: 3228 3229 0a20 202d 204e 4953 542d 3830  2(2).  - NIST-80
│ │ │ -000900e0: 302d 3533 2d41 552d 3134 0a20 202d 204e  0-53-AU-14.  - N
│ │ │ -000900f0: 4953 542d 3830 302d 3533 2d41 552d 3228  IST-800-53-AU-2(
│ │ │ -00090100: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ -00090110: 3533 2d41 552d 3728 3129 0a20 202d 204e  53-AU-7(1).  - N
│ │ │ -00090120: 4953 542d 3830 302d 3533 2d41 552d 3728  IST-800-53-AU-7(
│ │ │ -00090130: 3229 0a20 202d 204e 4953 542d 3830 302d  2).  - NIST-800-
│ │ │ -00090140: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ -00090150: 4349 2d44 5353 2d52 6571 2d31 302e 310a  CI-DSS-Req-10.1.
│ │ │ -00090160: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ -00090170: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -00090180: 2d31 302e 322e 310a 2020 2d20 656e 6162  -10.2.1.  - enab
│ │ │ -00090190: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -000901a0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -000901b0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -000901c0: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ -000901d0: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ -000901e0: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -000901f0: 6163 6b61 6765 5f61 7564 6974 5f69 6e73  ackage_audit_ins
│ │ │ -00090200: 7461 6c6c 6564 0a0a 2d20 6e61 6d65 3a20  talled..- name: 
│ │ │ -00090210: 456e 7375 7265 2061 7564 6974 6420 6973  Ensure auditd is
│ │ │ -00090220: 2069 6e73 7461 6c6c 6564 0a20 2070 6163   installed.  pac
│ │ │ -00090230: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -00090240: 6175 6469 7464 0a20 2020 2073 7461 7465  auditd.    state
│ │ │ -00090250: 3a20 7072 6573 656e 740a 2020 7768 656e  : present.  when
│ │ │ -00090260: 3a20 2722 6c69 6e75 782d 6261 7365 2220  : '"linux-base" 
│ │ │ -00090270: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ -00090280: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ -00090290: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -000902a0: 3533 2d41 432d 3728 6129 0a20 202d 204e  53-AC-7(a).  - N
│ │ │ -000902b0: 4953 542d 3830 302d 3533 2d41 552d 3132  IST-800-53-AU-12
│ │ │ -000902c0: 2832 290a 2020 2d20 4e49 5354 2d38 3030  (2).  - NIST-800
│ │ │ -000902d0: 2d35 332d 4155 2d31 340a 2020 2d20 4e49  -53-AU-14.  - NI
│ │ │ -000902e0: 5354 2d38 3030 2d35 332d 4155 2d32 2861  ST-800-53-AU-2(a
│ │ │ -000902f0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00090300: 332d 4155 2d37 2831 290a 2020 2d20 4e49  3-AU-7(1).  - NI
│ │ │ -00090310: 5354 2d38 3030 2d35 332d 4155 2d37 2832  ST-800-53-AU-7(2
│ │ │ -00090320: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00090330: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ -00090340: 492d 4453 532d 5265 712d 3130 2e31 0a20  I-DSS-Req-10.1. 
│ │ │ -00090350: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ -00090360: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ -00090370: 3130 2e32 2e31 0a20 202d 2065 6e61 626c  10.2.1.  - enabl
│ │ │ -00090380: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -00090390: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -000903a0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -000903b0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -000903c0: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -000903d0: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -000903e0: 636b 6167 655f 6175 6469 745f 696e 7374  ckage_audit_inst
│ │ │ -000903f0: 616c 6c65 640a 3c2f 636f 6465 3e3c 2f70  alled.</code></p
│ │ │ +0008fb50: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +0008fb60: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +0008fb70: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +0008fb80: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +0008fb90: 6c61 7073 6522 2069 643d 2269 646d 3133  lapse" id="idm13
│ │ │ +0008fba0: 3430 3922 3e3c 7461 626c 6520 636c 6173  409"><table clas
│ │ │ +0008fbb0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +0008fbc0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +0008fbd0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +0008fbe0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +0008fbf0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +0008fc00: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0008fc10: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +0008fc20: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +0008fc30: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0008fc40: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +0008fc50: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +0008fc60: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +0008fc70: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +0008fc80: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0008fc90: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +0008fca0: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ +0008fcb0: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ +0008fcc0: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ +0008fcd0: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ +0008fce0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +0008fcf0: 542d 3830 302d 3533 2d41 432d 3728 6129  T-800-53-AC-7(a)
│ │ │ +0008fd00: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0008fd10: 2d41 552d 3132 2832 290a 2020 2d20 4e49  -AU-12(2).  - NI
│ │ │ +0008fd20: 5354 2d38 3030 2d35 332d 4155 2d31 340a  ST-800-53-AU-14.
│ │ │ +0008fd30: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0008fd40: 4155 2d32 2861 290a 2020 2d20 4e49 5354  AU-2(a).  - NIST
│ │ │ +0008fd50: 2d38 3030 2d35 332d 4155 2d37 2831 290a  -800-53-AU-7(1).
│ │ │ +0008fd60: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0008fd70: 4155 2d37 2832 290a 2020 2d20 4e49 5354  AU-7(2).  - NIST
│ │ │ +0008fd80: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +0008fd90: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ +0008fda0: 3130 2e31 0a20 202d 2050 4349 2d44 5353  10.1.  - PCI-DSS
│ │ │ +0008fdb0: 7634 2d31 302e 320a 2020 2d20 5043 492d  v4-10.2.  - PCI-
│ │ │ +0008fdc0: 4453 5376 342d 3130 2e32 2e31 0a20 202d  DSSv4-10.2.1.  -
│ │ │ +0008fdd0: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ +0008fde0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +0008fdf0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +0008fe00: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ +0008fe10: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ +0008fe20: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +0008fe30: 2020 2d20 7061 636b 6167 655f 6175 6469    - package_audi
│ │ │ +0008fe40: 745f 696e 7374 616c 6c65 640a 0a2d 206e  t_installed..- n
│ │ │ +0008fe50: 616d 653a 2045 6e73 7572 6520 6175 6469  ame: Ensure audi
│ │ │ +0008fe60: 7464 2069 7320 696e 7374 616c 6c65 640a  td is installed.
│ │ │ +0008fe70: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ +0008fe80: 616d 653a 2061 7564 6974 640a 2020 2020  ame: auditd.    
│ │ │ +0008fe90: 7374 6174 653a 2070 7265 7365 6e74 0a20  state: present. 
│ │ │ +0008fea0: 2077 6865 6e3a 2027 226c 696e 7578 2d62   when: '"linux-b
│ │ │ +0008feb0: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ +0008fec0: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +0008fed0: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +0008fee0: 2d38 3030 2d35 332d 4143 2d37 2861 290a  -800-53-AC-7(a).
│ │ │ +0008fef0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0008ff00: 4155 2d31 3228 3229 0a20 202d 204e 4953  AU-12(2).  - NIS
│ │ │ +0008ff10: 542d 3830 302d 3533 2d41 552d 3134 0a20  T-800-53-AU-14. 
│ │ │ +0008ff20: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +0008ff30: 552d 3228 6129 0a20 202d 204e 4953 542d  U-2(a).  - NIST-
│ │ │ +0008ff40: 3830 302d 3533 2d41 552d 3728 3129 0a20  800-53-AU-7(1). 
│ │ │ +0008ff50: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +0008ff60: 552d 3728 3229 0a20 202d 204e 4953 542d  U-7(2).  - NIST-
│ │ │ +0008ff70: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ +0008ff80: 202d 2050 4349 2d44 5353 2d52 6571 2d31   - PCI-DSS-Req-1
│ │ │ +0008ff90: 302e 310a 2020 2d20 5043 492d 4453 5376  0.1.  - PCI-DSSv
│ │ │ +0008ffa0: 342d 3130 2e32 0a20 202d 2050 4349 2d44  4-10.2.  - PCI-D
│ │ │ +0008ffb0: 5353 7634 2d31 302e 322e 310a 2020 2d20  SSv4-10.2.1.  - 
│ │ │ +0008ffc0: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +0008ffd0: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +0008ffe0: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +0008fff0: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +00090000: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +00090010: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +00090020: 202d 2070 6163 6b61 6765 5f61 7564 6974   - package_audit
│ │ │ +00090030: 5f69 6e73 7461 6c6c 6564 0a3c 2f63 6f64  _installed.</cod
│ │ │ +00090040: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00090050: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00090060: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00090070: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00090080: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00090090: 6d31 3334 3130 2220 7461 6269 6e64 6578  m13410" tabindex
│ │ │ +000900a0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +000900b0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +000900c0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +000900d0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +000900e0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +000900f0: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ +00090100: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +00090110: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +00090120: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00090130: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00090140: 3133 3431 3022 3e3c 7461 626c 6520 636c  13410"><table cl
│ │ │ +00090150: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +00090160: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +00090170: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +00090180: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +00090190: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +000901a0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +000901b0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +000901c0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +000901d0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +000901e0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +000901f0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +00090200: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +00090210: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ +00090220: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +00090230: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ +00090240: 6e63 6c75 6465 2069 6e73 7461 6c6c 5f61  nclude install_a
│ │ │ +00090250: 7564 6974 640a 0a63 6c61 7373 2069 6e73  uditd..class ins
│ │ │ +00090260: 7461 6c6c 5f61 7564 6974 6420 7b0a 2020  tall_auditd {.  
│ │ │ +00090270: 7061 636b 6167 6520 7b20 2761 7564 6974  package { 'audit
│ │ │ +00090280: 6427 3a0a 2020 2020 656e 7375 7265 203d  d':.    ensure =
│ │ │ +00090290: 2667 743b 2027 696e 7374 616c 6c65 6427  &gt; 'installed'
│ │ │ +000902a0: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │ +000902b0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +000902c0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +000902d0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +000902e0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +000902f0: 612d 7461 7267 6574 3d22 2369 646d 3133  a-target="#idm13
│ │ │ +00090300: 3431 3122 2074 6162 696e 6465 783d 2230  411" tabindex="0
│ │ │ +00090310: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +00090320: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +00090330: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +00090340: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +00090350: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +00090360: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ +00090370: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ +00090380: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00090390: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +000903a0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +000903b0: 2069 643d 2269 646d 3133 3431 3122 3e3c   id="idm13411"><
│ │ │ +000903c0: 7072 653e 3c63 6f64 653e 0a5b 5b70 6163  pre><code>.[[pac
│ │ │ +000903d0: 6b61 6765 735d 5d0a 6e61 6d65 203d 2022  kages]].name = "
│ │ │ +000903e0: 6175 6469 7464 220a 7665 7273 696f 6e20  auditd".version 
│ │ │ +000903f0: 3d20 222a 220a 3c2f 636f 6465 3e3c 2f70  = "*".</code></p
│ │ │  00090400: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │  00090410: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │  00090420: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │  00090430: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │  00090440: 7461 7267 6574 3d22 2369 646d 3133 3431  target="#idm1341
│ │ │  00090450: 3222 2074 6162 696e 6465 783d 2230 2220  2" tabindex="0" 
│ │ │  00090460: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ @@ -37390,191 +37390,191 @@
│ │ │  000920d0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  000920e0: 6964 6d31 3336 3130 2220 7461 6269 6e64  idm13610" tabind
│ │ │  000920f0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │  00092100: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │  00092110: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │  00092120: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │  00092130: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -00092140: 5265 6d65 6469 6174 696f 6e20 4f53 4275  Remediation OSBu
│ │ │ -00092150: 696c 6420 426c 7565 7072 696e 7420 736e  ild Blueprint sn
│ │ │ -00092160: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -00092170: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -00092180: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -00092190: 6170 7365 2220 6964 3d22 6964 6d31 3336  apse" id="idm136
│ │ │ -000921a0: 3130 223e 3c70 7265 3e3c 636f 6465 3e0a  10"><pre><code>.
│ │ │ -000921b0: 5b63 7573 746f 6d69 7a61 7469 6f6e 732e  [customizations.
│ │ │ -000921c0: 7365 7276 6963 6573 5d0a 656e 6162 6c65  services].enable
│ │ │ -000921d0: 6420 3d20 5b22 6175 6469 7464 225d 0a3c  d = ["auditd"].<
│ │ │ -000921e0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -000921f0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -00092200: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -00092210: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -00092220: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -00092230: 2223 6964 6d31 3336 3131 2220 7461 6269  "#idm13611" tabi
│ │ │ -00092240: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -00092250: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -00092260: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -00092270: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -00092280: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00092290: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ -000922a0: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ -000922b0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -000922c0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -000922d0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -000922e0: 2269 646d 3133 3631 3122 3e3c 7461 626c  "idm13611"><tabl
│ │ │ -000922f0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00092300: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00092310: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00092320: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00092330: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00092340: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00092350: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00092360: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00092370: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00092380: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00092390: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -000923a0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -000923b0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -000923c0: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -000923d0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -000923e0: 6465 3e69 6e63 6c75 6465 2065 6e61 626c  de>include enabl
│ │ │ -000923f0: 655f 6175 6469 7464 0a0a 636c 6173 7320  e_auditd..class 
│ │ │ -00092400: 656e 6162 6c65 5f61 7564 6974 6420 7b0a  enable_auditd {.
│ │ │ -00092410: 2020 7365 7276 6963 6520 7b27 6175 6469    service {'audi
│ │ │ -00092420: 7464 273a 0a20 2020 2065 6e61 626c 6520  td':.    enable 
│ │ │ -00092430: 3d26 6774 3b20 7472 7565 2c0a 2020 2020  =&gt; true,.    
│ │ │ -00092440: 656e 7375 7265 203d 2667 743b 2027 7275  ensure =&gt; 'ru
│ │ │ -00092450: 6e6e 696e 6727 2c0a 2020 7d0a 7d0a 3c2f  nning',.  }.}.</
│ │ │ -00092460: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00092470: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00092480: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00092490: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -000924a0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -000924b0: 2369 646d 3133 3631 3222 2074 6162 696e  #idm13612" tabin
│ │ │ -000924c0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -000924d0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -000924e0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -000924f0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00092500: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00092510: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -00092520: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -00092530: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00092540: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00092550: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00092560: 2269 646d 3133 3631 3222 3e3c 7461 626c  "idm13612"><tabl
│ │ │ -00092570: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00092580: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00092590: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -000925a0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -000925b0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -000925c0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -000925d0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -000925e0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -000925f0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00092600: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00092610: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00092620: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00092630: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00092640: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -00092650: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00092660: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ -00092670: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ -00092680: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ -00092690: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ -000926a0: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ -000926b0: 202d 2043 4a49 532d 352e 342e 312e 310a   - CJIS-5.4.1.1.
│ │ │ -000926c0: 2020 2d20 4e49 5354 2d38 3030 2d31 3731    - NIST-800-171
│ │ │ -000926d0: 2d33 2e33 2e31 0a20 202d 204e 4953 542d  -3.3.1.  - NIST-
│ │ │ -000926e0: 3830 302d 3137 312d 332e 332e 320a 2020  800-171-3.3.2.  
│ │ │ -000926f0: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33  - NIST-800-171-3
│ │ │ -00092700: 2e33 2e36 0a20 202d 204e 4953 542d 3830  .3.6.  - NIST-80
│ │ │ -00092710: 302d 3533 2d41 432d 3228 6729 0a20 202d  0-53-AC-2(g).  -
│ │ │ -00092720: 204e 4953 542d 3830 302d 3533 2d41 432d   NIST-800-53-AC-
│ │ │ -00092730: 3628 3929 0a20 202d 204e 4953 542d 3830  6(9).  - NIST-80
│ │ │ -00092740: 302d 3533 2d41 552d 3130 0a20 202d 204e  0-53-AU-10.  - N
│ │ │ -00092750: 4953 542d 3830 302d 3533 2d41 552d 3132  IST-800-53-AU-12
│ │ │ -00092760: 2863 290a 2020 2d20 4e49 5354 2d38 3030  (c).  - NIST-800
│ │ │ -00092770: 2d35 332d 4155 2d31 3428 3129 0a20 202d  -53-AU-14(1).  -
│ │ │ -00092780: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -00092790: 3228 6429 0a20 202d 204e 4953 542d 3830  2(d).  - NIST-80
│ │ │ -000927a0: 302d 3533 2d41 552d 330a 2020 2d20 4e49  0-53-AU-3.  - NI
│ │ │ -000927b0: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -000927c0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -000927d0: 332d 5349 2d34 2832 3329 0a20 202d 2050  3-SI-4(23).  - P
│ │ │ -000927e0: 4349 2d44 5353 2d52 6571 2d31 302e 310a  CI-DSS-Req-10.1.
│ │ │ -000927f0: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ -00092800: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -00092810: 2d31 302e 322e 310a 2020 2d20 656e 6162  -10.2.1.  - enab
│ │ │ -00092820: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00092830: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -00092840: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -00092850: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ -00092860: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ -00092870: 6f6f 745f 6e65 6564 6564 0a20 202d 2073  oot_needed.  - s
│ │ │ -00092880: 6572 7669 6365 5f61 7564 6974 645f 656e  ervice_auditd_en
│ │ │ -00092890: 6162 6c65 640a 0a2d 206e 616d 653a 2045  abled..- name: E
│ │ │ -000928a0: 6e61 626c 6520 6175 6469 7464 2053 6572  nable auditd Ser
│ │ │ -000928b0: 7669 6365 202d 2045 6e61 626c 6520 7365  vice - Enable se
│ │ │ -000928c0: 7276 6963 6520 6175 6469 7464 0a20 2062  rvice auditd.  b
│ │ │ -000928d0: 6c6f 636b 3a0a 0a20 202d 206e 616d 653a  lock:..  - name:
│ │ │ -000928e0: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -000928f0: 6167 6520 6661 6374 730a 2020 2020 7061  age facts.    pa
│ │ │ -00092900: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ -00092910: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ -00092920: 0a0a 2020 2d20 6e61 6d65 3a20 456e 6162  ..  - name: Enab
│ │ │ -00092930: 6c65 2061 7564 6974 6420 5365 7276 6963  le auditd Servic
│ │ │ -00092940: 6520 2d20 456e 6162 6c65 2053 6572 7669  e - Enable Servi
│ │ │ -00092950: 6365 2061 7564 6974 640a 2020 2020 616e  ce auditd.    an
│ │ │ -00092960: 7369 626c 652e 6275 696c 7469 6e2e 7379  sible.builtin.sy
│ │ │ -00092970: 7374 656d 643a 0a20 2020 2020 206e 616d  stemd:.      nam
│ │ │ -00092980: 653a 2061 7564 6974 640a 2020 2020 2020  e: auditd.      
│ │ │ -00092990: 656e 6162 6c65 643a 2074 7275 650a 2020  enabled: true.  
│ │ │ -000929a0: 2020 2020 7374 6174 653a 2073 7461 7274      state: start
│ │ │ -000929b0: 6564 0a20 2020 2020 206d 6173 6b65 643a  ed.      masked:
│ │ │ -000929c0: 2066 616c 7365 0a20 2020 2077 6865 6e3a   false.    when:
│ │ │ -000929d0: 0a20 2020 202d 2027 2261 7564 6974 6422  .    - '"auditd"
│ │ │ -000929e0: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ -000929f0: 732e 7061 636b 6167 6573 270a 2020 7768  s.packages'.  wh
│ │ │ -00092a00: 656e 3a0a 2020 2d20 2722 6c69 6e75 782d  en:.  - '"linux-
│ │ │ -00092a10: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ -00092a20: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ -00092a30: 0a20 202d 2027 2261 7564 6974 6422 2069  .  - '"auditd" i
│ │ │ -00092a40: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ -00092a50: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ -00092a60: 3a0a 2020 2d20 434a 4953 2d35 2e34 2e31  :.  - CJIS-5.4.1
│ │ │ -00092a70: 2e31 0a20 202d 204e 4953 542d 3830 302d  .1.  - NIST-800-
│ │ │ -00092a80: 3137 312d 332e 332e 310a 2020 2d20 4e49  171-3.3.1.  - NI
│ │ │ -00092a90: 5354 2d38 3030 2d31 3731 2d33 2e33 2e32  ST-800-171-3.3.2
│ │ │ -00092aa0: 0a20 202d 204e 4953 542d 3830 302d 3137  .  - NIST-800-17
│ │ │ -00092ab0: 312d 332e 332e 360a 2020 2d20 4e49 5354  1-3.3.6.  - NIST
│ │ │ -00092ac0: 2d38 3030 2d35 332d 4143 2d32 2867 290a  -800-53-AC-2(g).
│ │ │ -00092ad0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00092ae0: 4143 2d36 2839 290a 2020 2d20 4e49 5354  AC-6(9).  - NIST
│ │ │ -00092af0: 2d38 3030 2d35 332d 4155 2d31 300a 2020  -800-53-AU-10.  
│ │ │ -00092b00: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ -00092b10: 2d31 3228 6329 0a20 202d 204e 4953 542d  -12(c).  - NIST-
│ │ │ -00092b20: 3830 302d 3533 2d41 552d 3134 2831 290a  800-53-AU-14(1).
│ │ │ -00092b30: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00092b40: 4155 2d32 2864 290a 2020 2d20 4e49 5354  AU-2(d).  - NIST
│ │ │ -00092b50: 2d38 3030 2d35 332d 4155 2d33 0a20 202d  -800-53-AU-3.  -
│ │ │ -00092b60: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -00092b70: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ -00092b80: 302d 3533 2d53 492d 3428 3233 290a 2020  0-53-SI-4(23).  
│ │ │ -00092b90: 2d20 5043 492d 4453 532d 5265 712d 3130  - PCI-DSS-Req-10
│ │ │ -00092ba0: 2e31 0a20 202d 2050 4349 2d44 5353 7634  .1.  - PCI-DSSv4
│ │ │ -00092bb0: 2d31 302e 320a 2020 2d20 5043 492d 4453  -10.2.  - PCI-DS
│ │ │ -00092bc0: 5376 342d 3130 2e32 2e31 0a20 202d 2065  Sv4-10.2.1.  - e
│ │ │ -00092bd0: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -00092be0: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -00092bf0: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -00092c00: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -00092c10: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -00092c20: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -00092c30: 2d20 7365 7276 6963 655f 6175 6469 7464  - service_auditd
│ │ │ -00092c40: 5f65 6e61 626c 6564 0a3c 2f63 6f64 653e  _enabled.</code>
│ │ │ +00092140: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ +00092150: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ +00092160: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00092170: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00092180: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00092190: 6964 6d31 3336 3130 223e 3c74 6162 6c65  idm13610"><table
│ │ │ +000921a0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +000921b0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +000921c0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +000921d0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +000921e0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +000921f0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00092200: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00092210: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00092220: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00092230: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00092240: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00092250: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00092260: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +00092270: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +00092280: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00092290: 653e 2d20 6e61 6d65 3a20 4761 7468 6572  e>- name: Gather
│ │ │ +000922a0: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ +000922b0: 7473 0a20 2070 6163 6b61 6765 5f66 6163  ts.  package_fac
│ │ │ +000922c0: 7473 3a0a 2020 2020 6d61 6e61 6765 723a  ts:.    manager:
│ │ │ +000922d0: 2061 7574 6f0a 2020 7461 6773 3a0a 2020   auto.  tags:.  
│ │ │ +000922e0: 2d20 434a 4953 2d35 2e34 2e31 2e31 0a20  - CJIS-5.4.1.1. 
│ │ │ +000922f0: 202d 204e 4953 542d 3830 302d 3137 312d   - NIST-800-171-
│ │ │ +00092300: 332e 332e 310a 2020 2d20 4e49 5354 2d38  3.3.1.  - NIST-8
│ │ │ +00092310: 3030 2d31 3731 2d33 2e33 2e32 0a20 202d  00-171-3.3.2.  -
│ │ │ +00092320: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ +00092330: 332e 360a 2020 2d20 4e49 5354 2d38 3030  3.6.  - NIST-800
│ │ │ +00092340: 2d35 332d 4143 2d32 2867 290a 2020 2d20  -53-AC-2(g).  - 
│ │ │ +00092350: 4e49 5354 2d38 3030 2d35 332d 4143 2d36  NIST-800-53-AC-6
│ │ │ +00092360: 2839 290a 2020 2d20 4e49 5354 2d38 3030  (9).  - NIST-800
│ │ │ +00092370: 2d35 332d 4155 2d31 300a 2020 2d20 4e49  -53-AU-10.  - NI
│ │ │ +00092380: 5354 2d38 3030 2d35 332d 4155 2d31 3228  ST-800-53-AU-12(
│ │ │ +00092390: 6329 0a20 202d 204e 4953 542d 3830 302d  c).  - NIST-800-
│ │ │ +000923a0: 3533 2d41 552d 3134 2831 290a 2020 2d20  53-AU-14(1).  - 
│ │ │ +000923b0: 4e49 5354 2d38 3030 2d35 332d 4155 2d32  NIST-800-53-AU-2
│ │ │ +000923c0: 2864 290a 2020 2d20 4e49 5354 2d38 3030  (d).  - NIST-800
│ │ │ +000923d0: 2d35 332d 4155 2d33 0a20 202d 204e 4953  -53-AU-3.  - NIS
│ │ │ +000923e0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +000923f0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00092400: 2d53 492d 3428 3233 290a 2020 2d20 5043  -SI-4(23).  - PC
│ │ │ +00092410: 492d 4453 532d 5265 712d 3130 2e31 0a20  I-DSS-Req-10.1. 
│ │ │ +00092420: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ +00092430: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ +00092440: 3130 2e32 2e31 0a20 202d 2065 6e61 626c  10.2.1.  - enabl
│ │ │ +00092450: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +00092460: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +00092470: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +00092480: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ +00092490: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ +000924a0: 6f74 5f6e 6565 6465 640a 2020 2d20 7365  ot_needed.  - se
│ │ │ +000924b0: 7276 6963 655f 6175 6469 7464 5f65 6e61  rvice_auditd_ena
│ │ │ +000924c0: 626c 6564 0a0a 2d20 6e61 6d65 3a20 456e  bled..- name: En
│ │ │ +000924d0: 6162 6c65 2061 7564 6974 6420 5365 7276  able auditd Serv
│ │ │ +000924e0: 6963 6520 2d20 456e 6162 6c65 2073 6572  ice - Enable ser
│ │ │ +000924f0: 7669 6365 2061 7564 6974 640a 2020 626c  vice auditd.  bl
│ │ │ +00092500: 6f63 6b3a 0a0a 2020 2d20 6e61 6d65 3a20  ock:..  - name: 
│ │ │ +00092510: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ +00092520: 6765 2066 6163 7473 0a20 2020 2070 6163  ge facts.    pac
│ │ │ +00092530: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ +00092540: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ +00092550: 0a20 202d 206e 616d 653a 2045 6e61 626c  .  - name: Enabl
│ │ │ +00092560: 6520 6175 6469 7464 2053 6572 7669 6365  e auditd Service
│ │ │ +00092570: 202d 2045 6e61 626c 6520 5365 7276 6963   - Enable Servic
│ │ │ +00092580: 6520 6175 6469 7464 0a20 2020 2061 6e73  e auditd.    ans
│ │ │ +00092590: 6962 6c65 2e62 7569 6c74 696e 2e73 7973  ible.builtin.sys
│ │ │ +000925a0: 7465 6d64 3a0a 2020 2020 2020 6e61 6d65  temd:.      name
│ │ │ +000925b0: 3a20 6175 6469 7464 0a20 2020 2020 2065  : auditd.      e
│ │ │ +000925c0: 6e61 626c 6564 3a20 7472 7565 0a20 2020  nabled: true.   
│ │ │ +000925d0: 2020 2073 7461 7465 3a20 7374 6172 7465     state: starte
│ │ │ +000925e0: 640a 2020 2020 2020 6d61 736b 6564 3a20  d.      masked: 
│ │ │ +000925f0: 6661 6c73 650a 2020 2020 7768 656e 3a0a  false.    when:.
│ │ │ +00092600: 2020 2020 2d20 2722 6175 6469 7464 2220      - '"auditd" 
│ │ │ +00092610: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ +00092620: 2e70 6163 6b61 6765 7327 0a20 2077 6865  .packages'.  whe
│ │ │ +00092630: 6e3a 0a20 202d 2027 226c 696e 7578 2d62  n:.  - '"linux-b
│ │ │ +00092640: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ +00092650: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +00092660: 2020 2d20 2722 6175 6469 7464 2220 696e    - '"auditd" in
│ │ │ +00092670: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ +00092680: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ +00092690: 0a20 202d 2043 4a49 532d 352e 342e 312e  .  - CJIS-5.4.1.
│ │ │ +000926a0: 310a 2020 2d20 4e49 5354 2d38 3030 2d31  1.  - NIST-800-1
│ │ │ +000926b0: 3731 2d33 2e33 2e31 0a20 202d 204e 4953  71-3.3.1.  - NIS
│ │ │ +000926c0: 542d 3830 302d 3137 312d 332e 332e 320a  T-800-171-3.3.2.
│ │ │ +000926d0: 2020 2d20 4e49 5354 2d38 3030 2d31 3731    - NIST-800-171
│ │ │ +000926e0: 2d33 2e33 2e36 0a20 202d 204e 4953 542d  -3.3.6.  - NIST-
│ │ │ +000926f0: 3830 302d 3533 2d41 432d 3228 6729 0a20  800-53-AC-2(g). 
│ │ │ +00092700: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +00092710: 432d 3628 3929 0a20 202d 204e 4953 542d  C-6(9).  - NIST-
│ │ │ +00092720: 3830 302d 3533 2d41 552d 3130 0a20 202d  800-53-AU-10.  -
│ │ │ +00092730: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +00092740: 3132 2863 290a 2020 2d20 4e49 5354 2d38  12(c).  - NIST-8
│ │ │ +00092750: 3030 2d35 332d 4155 2d31 3428 3129 0a20  00-53-AU-14(1). 
│ │ │ +00092760: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +00092770: 552d 3228 6429 0a20 202d 204e 4953 542d  U-2(d).  - NIST-
│ │ │ +00092780: 3830 302d 3533 2d41 552d 330a 2020 2d20  800-53-AU-3.  - 
│ │ │ +00092790: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ +000927a0: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ +000927b0: 2d35 332d 5349 2d34 2832 3329 0a20 202d  -53-SI-4(23).  -
│ │ │ +000927c0: 2050 4349 2d44 5353 2d52 6571 2d31 302e   PCI-DSS-Req-10.
│ │ │ +000927d0: 310a 2020 2d20 5043 492d 4453 5376 342d  1.  - PCI-DSSv4-
│ │ │ +000927e0: 3130 2e32 0a20 202d 2050 4349 2d44 5353  10.2.  - PCI-DSS
│ │ │ +000927f0: 7634 2d31 302e 322e 310a 2020 2d20 656e  v4-10.2.1.  - en
│ │ │ +00092800: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +00092810: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +00092820: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +00092830: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +00092840: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +00092850: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +00092860: 2073 6572 7669 6365 5f61 7564 6974 645f   service_auditd_
│ │ │ +00092870: 656e 6162 6c65 640a 3c2f 636f 6465 3e3c  enabled.</code><
│ │ │ +00092880: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +00092890: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +000928a0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +000928b0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +000928c0: 612d 7461 7267 6574 3d22 2369 646d 3133  a-target="#idm13
│ │ │ +000928d0: 3631 3122 2074 6162 696e 6465 783d 2230  611" tabindex="0
│ │ │ +000928e0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +000928f0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +00092900: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +00092910: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +00092920: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +00092930: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +00092940: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00092950: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00092960: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00092970: 6170 7365 2220 6964 3d22 6964 6d31 3336  apse" id="idm136
│ │ │ +00092980: 3131 223e 3c74 6162 6c65 2063 6c61 7373  11"><table class
│ │ │ +00092990: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +000929a0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +000929b0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +000929c0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +000929d0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +000929e0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +000929f0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00092a00: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00092a10: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00092a20: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00092a30: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00092a40: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00092a50: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +00092a60: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00092a70: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ +00092a80: 7564 6520 656e 6162 6c65 5f61 7564 6974  ude enable_audit
│ │ │ +00092a90: 640a 0a63 6c61 7373 2065 6e61 626c 655f  d..class enable_
│ │ │ +00092aa0: 6175 6469 7464 207b 0a20 2073 6572 7669  auditd {.  servi
│ │ │ +00092ab0: 6365 207b 2761 7564 6974 6427 3a0a 2020  ce {'auditd':.  
│ │ │ +00092ac0: 2020 656e 6162 6c65 203d 2667 743b 2074    enable =&gt; t
│ │ │ +00092ad0: 7275 652c 0a20 2020 2065 6e73 7572 6520  rue,.    ensure 
│ │ │ +00092ae0: 3d26 6774 3b20 2772 756e 6e69 6e67 272c  =&gt; 'running',
│ │ │ +00092af0: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │ +00092b00: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +00092b10: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +00092b20: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00092b30: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00092b40: 2d74 6172 6765 743d 2223 6964 6d31 3336  -target="#idm136
│ │ │ +00092b50: 3132 2220 7461 6269 6e64 6578 3d22 3022  12" tabindex="0"
│ │ │ +00092b60: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +00092b70: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +00092b80: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +00092b90: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +00092ba0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +00092bb0: 6174 696f 6e20 4f53 4275 696c 6420 426c  ation OSBuild Bl
│ │ │ +00092bc0: 7565 7072 696e 7420 736e 6970 7065 7420  ueprint snippet 
│ │ │ +00092bd0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00092be0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00092bf0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00092c00: 6964 3d22 6964 6d31 3336 3132 223e 3c70  id="idm13612"><p
│ │ │ +00092c10: 7265 3e3c 636f 6465 3e0a 5b63 7573 746f  re><code>.[custo
│ │ │ +00092c20: 6d69 7a61 7469 6f6e 732e 7365 7276 6963  mizations.servic
│ │ │ +00092c30: 6573 5d0a 656e 6162 6c65 6420 3d20 5b22  es].enabled = ["
│ │ │ +00092c40: 6175 6469 7464 225d 0a3c 2f63 6f64 653e  auditd"].</code>
│ │ │  00092c50: 3c2f 7072 653e 3c2f 6469 763e 3c2f 6469  </pre></div></di
│ │ │  00092c60: 763e 3c2f 7464 3e3c 2f74 723e 3c2f 7462  v></td></tr></tb
│ │ │  00092c70: 6f64 793e 3c2f 7461 626c 653e 3c2f 7464  ody></table></td
│ │ │  00092c80: 3e3c 2f74 723e 3c2f 7462 6f64 793e 3c2f  ></tr></tbody></
│ │ │  00092c90: 7461 626c 653e 3c2f 6469 763e 3c64 6976  table></div><div
│ │ │  00092ca0: 2069 643d 2272 6561 722d 6d61 7474 6572   id="rear-matter
│ │ │  00092cb0: 223e 3c64 6976 2063 6c61 7373 3d22 726f  "><div class="ro
│ │ │ ├── html2text {}
│ │ │ │ @@ -2008,31 +2008,14 @@
│ │ │ │              _d_i_s_a           CCI-001311, CCI-001312
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "syslog-ng"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_syslog-ng
│ │ │ │ -
│ │ │ │ -class install_syslog-ng {
│ │ │ │ -  package { 'syslog-ng':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2055,14 +2038,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_syslogng_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_syslog-ng
│ │ │ │ +
│ │ │ │ +class install_syslog-ng {
│ │ │ │ +  package { 'syslog-ng':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "syslog-ng"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -2092,31 +2092,14 @@
│ │ │ │                             4.4.2.2, 4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["syslog-ng"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_syslog-ng
│ │ │ │ -
│ │ │ │ -class enable_syslog-ng {
│ │ │ │ -  service {'syslog-ng':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2152,14 +2135,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_syslogng_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_syslog-ng
│ │ │ │ +
│ │ │ │ +class enable_syslog-ng {
│ │ │ │ +  service {'syslog-ng':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["syslog-ng"]
│ │ │ │  ****** RRuullee? ?  EEnnssuurree rrssyysslloogg iiss IInnssttaalllleedd ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Rsyslog is installed by default. The rsyslog package can be installed with the
│ │ │ │  following command:
│ │ │ │   $ apt-get install rsyslog
│ │ │ │  Rationale:  The rsyslog package provides the rsyslog daemon, which provides
│ │ │ │              system logging services.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -2172,31 +2172,14 @@
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000479-GPOS-00224, SRG-OS-000051-GPOS-00024,
│ │ │ │                             SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2219,14 +2202,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsyslog_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -2257,31 +2257,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2317,14 +2300,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]
│ │ │ │  Group   File Permissions and Masks   Group contains 5 groups and 17 rules
│ │ │ │  _[_r_e_f_]   Traditional Unix security relies heavily on file and directory
│ │ │ │  permissions to prevent unauthorized users from reading or modifying files to
│ │ │ │  which they should not have access.
│ │ │ │  
│ │ │ │  Several of the commands in this section search filesystems for files or
│ │ │ │  directories with certain characteristics, and are intended to be run on every
│ │ │ │ @@ -4128,31 +4128,14 @@
│ │ │ │                             SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3,
│ │ │ │                             A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _p_c_i_d_s_s_4        2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "cron"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_cron
│ │ │ │ -
│ │ │ │ -class install_cron {
│ │ │ │ -  package { 'cron':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4179,14 +4162,31 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_cron_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_cron
│ │ │ │ +
│ │ │ │ +class install_cron {
│ │ │ │ +  package { 'cron':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "cron"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -4224,26 +4224,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_inetutils-telnetd
│ │ │ │ -
│ │ │ │ -class remove_inetutils-telnetd {
│ │ │ │ -  package { 'inetutils-telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure inetutils-telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -4255,14 +4243,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_inetutils-telnetd_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_inetutils-telnetd
│ │ │ │ +
│ │ │ │ +class remove_inetutils-telnetd {
│ │ │ │ +  package { 'inetutils-telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove inetutils-telnetd
│ │ │ │ @@ -4275,26 +4275,14 @@
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The support for Yellowpages should not be installed unless it is required.
│ │ │ │             NIS is the historical SUN service for central account management,
│ │ │ │  Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │             security constraints, ACL, etc. and should not be used.
│ │ │ │  Severity:  low
│ │ │ │  Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_nis
│ │ │ │ -
│ │ │ │ -class remove_nis {
│ │ │ │ -  package { 'nis':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure nis is removed
│ │ │ │    package:
│ │ │ │ @@ -4303,14 +4291,26 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_nis_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_nis
│ │ │ │ +
│ │ │ │ +class remove_nis {
│ │ │ │ +  package { 'nis':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove nis
│ │ │ │ @@ -4324,26 +4324,14 @@
│ │ │ │  ntpdate is a historical ntp synchronization client for unixes. It sould be
│ │ │ │  uninstalled.
│ │ │ │             ntpdate is an old not security-compliant ntp client. It should be
│ │ │ │  Rationale: replaced by modern ntp clients such as ntpd, able to use
│ │ │ │             cryptographic mechanisms integrated in NTP.
│ │ │ │  Severity:  low
│ │ │ │  Rule ID:   xccdf_org.ssgproject.content_rule_package_ntpdate_removed
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ntpdate
│ │ │ │ -
│ │ │ │ -class remove_ntpdate {
│ │ │ │ -  package { 'ntpdate':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ntpdate is removed
│ │ │ │    package:
│ │ │ │ @@ -4352,14 +4340,26 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ntpdate_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ntpdate
│ │ │ │ +
│ │ │ │ +class remove_ntpdate {
│ │ │ │ +  package { 'ntpdate':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove ntpdate
│ │ │ │ @@ -4390,26 +4390,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd-ssl
│ │ │ │ -
│ │ │ │ -class remove_telnetd-ssl {
│ │ │ │ -  package { 'telnetd-ssl':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd-ssl is removed
│ │ │ │    package:
│ │ │ │ @@ -4421,14 +4409,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd-ssl_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd-ssl
│ │ │ │ +
│ │ │ │ +class remove_telnetd-ssl {
│ │ │ │ +  package { 'telnetd-ssl':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnetd-ssl
│ │ │ │ @@ -4460,26 +4460,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd
│ │ │ │ -
│ │ │ │ -class remove_telnetd {
│ │ │ │ -  package { 'telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -4491,14 +4479,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd
│ │ │ │ +
│ │ │ │ +class remove_telnetd {
│ │ │ │ +  package { 'telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnetd
│ │ │ │ @@ -4573,31 +4573,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "ntp"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_ntp
│ │ │ │ -
│ │ │ │ -class install_ntp {
│ │ │ │ -  package { 'ntp':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4622,14 +4605,31 @@
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ntp_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_ntp
│ │ │ │ +
│ │ │ │ +class install_ntp {
│ │ │ │ +  package { 'ntp':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "ntp"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -4663,31 +4663,14 @@
│ │ │ │                             4.4.2.4
│ │ │ │  References: _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-8(1)(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │              _p_c_i_d_s_s_4        10.6.1, 10.6
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["ntp"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_ntp
│ │ │ │ -
│ │ │ │ -class enable_ntp {
│ │ │ │ -  service {'ntp':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4731,14 +4714,31 @@
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ntp_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_ntp
│ │ │ │ +
│ │ │ │ +class enable_ntp {
│ │ │ │ +  service {'ntp':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["ntp"]
│ │ │ │  Group   SSH Server   Group contains 1 group and 5 rules
│ │ │ │  _[_r_e_f_]   The SSH protocol is recommended for remote login and remote file
│ │ │ │  transfer. SSH provides confidentiality and integrity for data exchanged between
│ │ │ │  two systems, as well as server authentication, through the use of public key
│ │ │ │  cryptography. The implementation included with the system is called OpenSSH,
│ │ │ │  and more detailed documentation is available from its website, _h_t_t_p_s_:_/_/
│ │ │ │  _w_w_w_._o_p_e_n_s_s_h_._c_o_m. Its server program is called sshd and provided by the RPM
│ │ │ │ @@ -5621,31 +5621,14 @@
│ │ │ │                       000349-GPOS-00137, SRG-OS-000350-GPOS-00138, SRG-OS-
│ │ │ │                       000351-GPOS-00139, SRG-OS-000352-GPOS-00140, SRG-OS-
│ │ │ │                       000353-GPOS-00141, SRG-OS-000354-GPOS-00142, SRG-OS-
│ │ │ │                       000358-GPOS-00145, SRG-OS-000365-GPOS-00152, SRG-OS-
│ │ │ │                       000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │              _a_n_s_s_i    R33, R73
│ │ │ │              _p_c_i_d_s_s_4  10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "auditd"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_auditd
│ │ │ │ -
│ │ │ │ -class install_auditd {
│ │ │ │ -  package { 'auditd':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -5686,14 +5669,31 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_audit_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_auditd
│ │ │ │ +
│ │ │ │ +class install_auditd {
│ │ │ │ +  package { 'auditd':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "auditd"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -5769,31 +5769,14 @@
│ │ │ │                             SRG-OS-000358-GPOS-00145, SRG-OS-000365-GPOS-00152,
│ │ │ │                             SRG-OS-000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │                             SRG-APP-000095-CTR-000170, SRG-APP-000409-CTR-
│ │ │ │              _a_p_p_-_s_r_g_-_c_t_r    000990, SRG-APP-000508-CTR-001300, SRG-APP-000510-
│ │ │ │                             CTR-001310
│ │ │ │              _a_n_s_s_i          R33, R73
│ │ │ │              _p_c_i_d_s_s_4        10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["auditd"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_auditd
│ │ │ │ -
│ │ │ │ -class enable_auditd {
│ │ │ │ -  service {'auditd':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -5859,11 +5842,28 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_auditd_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_auditd
│ │ │ │ +
│ │ │ │ +class enable_auditd {
│ │ │ │ +  service {'auditd':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["auditd"]
│ │ │ │  Red Hat and Red Hat Enterprise Linux are either registered trademarks or
│ │ │ │  trademarks of Red Hat, Inc. in the United States and other countries. All other
│ │ │ │  names are registered trademarks or trademarks of their respective companies.
│ │ │ │  Generated using _O_p_e_n_S_C_A_P 1.4.1
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian11-guide-anssi_np_nt28_minimal.html
│ │ │ @@ -15651,129 +15651,129 @@
│ │ │  0003d220: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │  0003d230: 743d 2223 6964 6d35 3337 3622 2074 6162  t="#idm5376" tab
│ │ │  0003d240: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │  0003d250: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │  0003d260: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │  0003d270: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │  0003d280: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -0003d290: 2122 3e52 656d 6564 6961 7469 6f6e 204f  !">Remediation O
│ │ │ -0003d2a0: 5342 7569 6c64 2042 6c75 6570 7269 6e74  SBuild Blueprint
│ │ │ -0003d2b0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -0003d2c0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -0003d2d0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -0003d2e0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -0003d2f0: 3533 3736 223e 3c70 7265 3e3c 636f 6465  5376"><pre><code
│ │ │ -0003d300: 3e0a 5b5b 7061 636b 6167 6573 5d5d 0a6e  >.[[packages]].n
│ │ │ -0003d310: 616d 6520 3d20 2273 7973 6c6f 672d 6e67  ame = "syslog-ng
│ │ │ -0003d320: 220a 7665 7273 696f 6e20 3d20 222a 220a  ".version = "*".
│ │ │ -0003d330: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -0003d340: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -0003d350: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -0003d360: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -0003d370: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -0003d380: 3d22 2369 646d 3533 3737 2220 7461 6269  ="#idm5377" tabi
│ │ │ -0003d390: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -0003d3a0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -0003d3b0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -0003d3c0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -0003d3d0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -0003d3e0: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ -0003d3f0: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ -0003d400: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -0003d410: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -0003d420: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -0003d430: 2269 646d 3533 3737 223e 3c74 6162 6c65  "idm5377"><table
│ │ │ -0003d440: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -0003d450: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -0003d460: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -0003d470: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -0003d480: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -0003d490: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0003d4a0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -0003d4b0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -0003d4c0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0003d4d0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -0003d4e0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -0003d4f0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -0003d500: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ -0003d510: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ -0003d520: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -0003d530: 653e 696e 636c 7564 6520 696e 7374 616c  e>include instal
│ │ │ -0003d540: 6c5f 7379 736c 6f67 2d6e 670a 0a63 6c61  l_syslog-ng..cla
│ │ │ -0003d550: 7373 2069 6e73 7461 6c6c 5f73 7973 6c6f  ss install_syslo
│ │ │ -0003d560: 672d 6e67 207b 0a20 2070 6163 6b61 6765  g-ng {.  package
│ │ │ -0003d570: 207b 2027 7379 736c 6f67 2d6e 6727 3a0a   { 'syslog-ng':.
│ │ │ -0003d580: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ -0003d590: 2027 696e 7374 616c 6c65 6427 2c0a 2020   'installed',.  
│ │ │ -0003d5a0: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -0003d5b0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -0003d5c0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -0003d5d0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -0003d5e0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -0003d5f0: 7267 6574 3d22 2369 646d 3533 3738 2220  rget="#idm5378" 
│ │ │ -0003d600: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -0003d610: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -0003d620: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -0003d630: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -0003d640: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -0003d650: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0003d660: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -0003d670: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0003d680: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0003d690: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0003d6a0: 2220 6964 3d22 6964 6d35 3337 3822 3e3c  " id="idm5378"><
│ │ │ -0003d6b0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -0003d6c0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -0003d6d0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -0003d6e0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -0003d6f0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -0003d700: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -0003d710: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0003d720: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -0003d730: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0003d740: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -0003d750: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -0003d760: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0003d770: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -0003d780: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -0003d790: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -0003d7a0: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ -0003d7b0: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ -0003d7c0: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ -0003d7d0: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ -0003d7e0: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ -0003d7f0: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -0003d800: 3533 2d43 4d2d 3628 6129 0a20 202d 2065  53-CM-6(a).  - e
│ │ │ -0003d810: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -0003d820: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -0003d830: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -0003d840: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -0003d850: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -0003d860: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -0003d870: 2d20 7061 636b 6167 655f 7379 736c 6f67  - package_syslog
│ │ │ -0003d880: 6e67 5f69 6e73 7461 6c6c 6564 0a0a 2d20  ng_installed..- 
│ │ │ -0003d890: 6e61 6d65 3a20 456e 7375 7265 2073 7973  name: Ensure sys
│ │ │ -0003d8a0: 6c6f 672d 6e67 2069 7320 696e 7374 616c  log-ng is instal
│ │ │ -0003d8b0: 6c65 640a 2020 7061 636b 6167 653a 0a20  led.  package:. 
│ │ │ -0003d8c0: 2020 206e 616d 653a 2073 7973 6c6f 672d     name: syslog-
│ │ │ -0003d8d0: 6e67 0a20 2020 2073 7461 7465 3a20 7072  ng.    state: pr
│ │ │ -0003d8e0: 6573 656e 740a 2020 7768 656e 3a20 2722  esent.  when: '"
│ │ │ -0003d8f0: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ -0003d900: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ -0003d910: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ -0003d920: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -0003d930: 4d2d 3628 6129 0a20 202d 2065 6e61 626c  M-6(a).  - enabl
│ │ │ -0003d940: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -0003d950: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -0003d960: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -0003d970: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -0003d980: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -0003d990: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -0003d9a0: 636b 6167 655f 7379 736c 6f67 6e67 5f69  ckage_syslogng_i
│ │ │ -0003d9b0: 6e73 7461 6c6c 6564 0a3c 2f63 6f64 653e  nstalled.</code>
│ │ │ +0003d290: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ +0003d2a0: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ +0003d2b0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +0003d2c0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +0003d2d0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +0003d2e0: 643d 2269 646d 3533 3736 223e 3c74 6162  d="idm5376"><tab
│ │ │ +0003d2f0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +0003d300: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +0003d310: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +0003d320: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +0003d330: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +0003d340: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0003d350: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +0003d360: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +0003d370: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0003d380: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +0003d390: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +0003d3a0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +0003d3b0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +0003d3c0: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +0003d3d0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +0003d3e0: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ +0003d3f0: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ +0003d400: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ +0003d410: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ +0003d420: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ +0003d430: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0003d440: 434d 2d36 2861 290a 2020 2d20 656e 6162  CM-6(a).  - enab
│ │ │ +0003d450: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +0003d460: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +0003d470: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +0003d480: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +0003d490: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +0003d4a0: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +0003d4b0: 6163 6b61 6765 5f73 7973 6c6f 676e 675f  ackage_syslogng_
│ │ │ +0003d4c0: 696e 7374 616c 6c65 640a 0a2d 206e 616d  installed..- nam
│ │ │ +0003d4d0: 653a 2045 6e73 7572 6520 7379 736c 6f67  e: Ensure syslog
│ │ │ +0003d4e0: 2d6e 6720 6973 2069 6e73 7461 6c6c 6564  -ng is installed
│ │ │ +0003d4f0: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ +0003d500: 6e61 6d65 3a20 7379 736c 6f67 2d6e 670a  name: syslog-ng.
│ │ │ +0003d510: 2020 2020 7374 6174 653a 2070 7265 7365      state: prese
│ │ │ +0003d520: 6e74 0a20 2077 6865 6e3a 2027 226c 696e  nt.  when: '"lin
│ │ │ +0003d530: 7578 2d62 6173 6522 2069 6e20 616e 7369  ux-base" in ansi
│ │ │ +0003d540: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ +0003d550: 6573 270a 2020 7461 6773 3a0a 2020 2d20  es'.  tags:.  - 
│ │ │ +0003d560: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ +0003d570: 2861 290a 2020 2d20 656e 6162 6c65 5f73  (a).  - enable_s
│ │ │ +0003d580: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +0003d590: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +0003d5a0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +0003d5b0: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ +0003d5c0: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +0003d5d0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ +0003d5e0: 6765 5f73 7973 6c6f 676e 675f 696e 7374  ge_syslogng_inst
│ │ │ +0003d5f0: 616c 6c65 640a 3c2f 636f 6465 3e3c 2f70  alled.</code></p
│ │ │ +0003d600: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +0003d610: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +0003d620: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +0003d630: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +0003d640: 7461 7267 6574 3d22 2369 646d 3533 3737  target="#idm5377
│ │ │ +0003d650: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +0003d660: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +0003d670: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +0003d680: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +0003d690: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +0003d6a0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +0003d6b0: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +0003d6c0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +0003d6d0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +0003d6e0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +0003d6f0: 6522 2069 643d 2269 646d 3533 3737 223e  e" id="idm5377">
│ │ │ +0003d700: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +0003d710: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +0003d720: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +0003d730: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +0003d740: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +0003d750: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +0003d760: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0003d770: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +0003d780: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0003d790: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +0003d7a0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +0003d7b0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +0003d7c0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +0003d7d0: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +0003d7e0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +0003d7f0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +0003d800: 696e 7374 616c 6c5f 7379 736c 6f67 2d6e  install_syslog-n
│ │ │ +0003d810: 670a 0a63 6c61 7373 2069 6e73 7461 6c6c  g..class install
│ │ │ +0003d820: 5f73 7973 6c6f 672d 6e67 207b 0a20 2070  _syslog-ng {.  p
│ │ │ +0003d830: 6163 6b61 6765 207b 2027 7379 736c 6f67  ackage { 'syslog
│ │ │ +0003d840: 2d6e 6727 3a0a 2020 2020 656e 7375 7265  -ng':.    ensure
│ │ │ +0003d850: 203d 2667 743b 2027 696e 7374 616c 6c65   =&gt; 'installe
│ │ │ +0003d860: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │ +0003d870: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +0003d880: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +0003d890: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +0003d8a0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +0003d8b0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +0003d8c0: 3533 3738 2220 7461 6269 6e64 6578 3d22  5378" tabindex="
│ │ │ +0003d8d0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +0003d8e0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +0003d8f0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +0003d900: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +0003d910: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +0003d920: 6469 6174 696f 6e20 4f53 4275 696c 6420  diation OSBuild 
│ │ │ +0003d930: 426c 7565 7072 696e 7420 736e 6970 7065  Blueprint snippe
│ │ │ +0003d940: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +0003d950: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +0003d960: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +0003d970: 2220 6964 3d22 6964 6d35 3337 3822 3e3c  " id="idm5378"><
│ │ │ +0003d980: 7072 653e 3c63 6f64 653e 0a5b 5b70 6163  pre><code>.[[pac
│ │ │ +0003d990: 6b61 6765 735d 5d0a 6e61 6d65 203d 2022  kages]].name = "
│ │ │ +0003d9a0: 7379 736c 6f67 2d6e 6722 0a76 6572 7369  syslog-ng".versi
│ │ │ +0003d9b0: 6f6e 203d 2022 2a22 0a3c 2f63 6f64 653e  on = "*".</code>
│ │ │  0003d9c0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │  0003d9d0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │  0003d9e0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │  0003d9f0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │  0003da00: 7461 2d74 6172 6765 743d 2223 6964 6d35  ta-target="#idm5
│ │ │  0003da10: 3337 3922 2074 6162 696e 6465 783d 2230  379" tabindex="0
│ │ │  0003da20: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ @@ -16039,151 +16039,151 @@
│ │ │  0003ea60: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  0003ea70: 6d35 3436 3322 2074 6162 696e 6465 783d  m5463" tabindex=
│ │ │  0003ea80: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │  0003ea90: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │  0003eaa0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │  0003eab0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │  0003eac0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -0003ead0: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ -0003eae0: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ -0003eaf0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -0003eb00: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -0003eb10: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -0003eb20: 6522 2069 643d 2269 646d 3534 3633 223e  e" id="idm5463">
│ │ │ -0003eb30: 3c70 7265 3e3c 636f 6465 3e0a 5b63 7573  <pre><code>.[cus
│ │ │ -0003eb40: 746f 6d69 7a61 7469 6f6e 732e 7365 7276  tomizations.serv
│ │ │ -0003eb50: 6963 6573 5d0a 656e 6162 6c65 6420 3d20  ices].enabled = 
│ │ │ -0003eb60: 5b22 7379 736c 6f67 2d6e 6722 5d0a 3c2f  ["syslog-ng"].</
│ │ │ -0003eb70: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -0003eb80: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -0003eb90: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -0003eba0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -0003ebb0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -0003ebc0: 2369 646d 3534 3634 2220 7461 6269 6e64  #idm5464" tabind
│ │ │ -0003ebd0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -0003ebe0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -0003ebf0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -0003ec00: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -0003ec10: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -0003ec20: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ -0003ec30: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ -0003ec40: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0003ec50: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0003ec60: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0003ec70: 646d 3534 3634 223e 3c74 6162 6c65 2063  dm5464"><table c
│ │ │ -0003ec80: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -0003ec90: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -0003eca0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -0003ecb0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -0003ecc0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -0003ecd0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0003ece0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -0003ecf0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -0003ed00: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0003ed10: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -0003ed20: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -0003ed30: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -0003ed40: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -0003ed50: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -0003ed60: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -0003ed70: 696e 636c 7564 6520 656e 6162 6c65 5f73  include enable_s
│ │ │ -0003ed80: 7973 6c6f 672d 6e67 0a0a 636c 6173 7320  yslog-ng..class 
│ │ │ -0003ed90: 656e 6162 6c65 5f73 7973 6c6f 672d 6e67  enable_syslog-ng
│ │ │ -0003eda0: 207b 0a20 2073 6572 7669 6365 207b 2773   {.  service {'s
│ │ │ -0003edb0: 7973 6c6f 672d 6e67 273a 0a20 2020 2065  yslog-ng':.    e
│ │ │ -0003edc0: 6e61 626c 6520 3d26 6774 3b20 7472 7565  nable =&gt; true
│ │ │ -0003edd0: 2c0a 2020 2020 656e 7375 7265 203d 2667  ,.    ensure =&g
│ │ │ -0003ede0: 743b 2027 7275 6e6e 696e 6727 2c0a 2020  t; 'running',.  
│ │ │ -0003edf0: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -0003ee00: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -0003ee10: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -0003ee20: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -0003ee30: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -0003ee40: 7267 6574 3d22 2369 646d 3534 3635 2220  rget="#idm5465" 
│ │ │ -0003ee50: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -0003ee60: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -0003ee70: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -0003ee80: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -0003ee90: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -0003eea0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0003eeb0: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -0003eec0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0003eed0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0003eee0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0003eef0: 2220 6964 3d22 6964 6d35 3436 3522 3e3c  " id="idm5465"><
│ │ │ -0003ef00: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -0003ef10: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -0003ef20: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -0003ef30: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -0003ef40: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -0003ef50: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -0003ef60: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0003ef70: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -0003ef80: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0003ef90: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -0003efa0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -0003efb0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0003efc0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -0003efd0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -0003efe0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -0003eff0: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ -0003f000: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ -0003f010: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ -0003f020: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ -0003f030: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ -0003f040: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -0003f050: 3533 2d41 552d 3428 3129 0a20 202d 204e  53-AU-4(1).  - N
│ │ │ -0003f060: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -0003f070: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ -0003f080: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -0003f090: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -0003f0a0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -0003f0b0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -0003f0c0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -0003f0d0: 6565 6465 640a 2020 2d20 7365 7276 6963  eeded.  - servic
│ │ │ -0003f0e0: 655f 7379 736c 6f67 6e67 5f65 6e61 626c  e_syslogng_enabl
│ │ │ -0003f0f0: 6564 0a0a 2d20 6e61 6d65 3a20 456e 6162  ed..- name: Enab
│ │ │ -0003f100: 6c65 2073 7973 6c6f 672d 6e67 2053 6572  le syslog-ng Ser
│ │ │ -0003f110: 7669 6365 202d 2045 6e61 626c 6520 7365  vice - Enable se
│ │ │ -0003f120: 7276 6963 6520 7379 736c 6f67 2d6e 670a  rvice syslog-ng.
│ │ │ -0003f130: 2020 626c 6f63 6b3a 0a0a 2020 2d20 6e61    block:..  - na
│ │ │ -0003f140: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ -0003f150: 6163 6b61 6765 2066 6163 7473 0a20 2020  ackage facts.   
│ │ │ -0003f160: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ -0003f170: 2020 2020 2020 6d61 6e61 6765 723a 2061        manager: a
│ │ │ -0003f180: 7574 6f0a 0a20 202d 206e 616d 653a 2045  uto..  - name: E
│ │ │ -0003f190: 6e61 626c 6520 7379 736c 6f67 2d6e 6720  nable syslog-ng 
│ │ │ -0003f1a0: 5365 7276 6963 6520 2d20 456e 6162 6c65  Service - Enable
│ │ │ -0003f1b0: 2053 6572 7669 6365 2073 7973 6c6f 672d   Service syslog-
│ │ │ -0003f1c0: 6e67 0a20 2020 2061 6e73 6962 6c65 2e62  ng.    ansible.b
│ │ │ -0003f1d0: 7569 6c74 696e 2e73 7973 7465 6d64 3a0a  uiltin.systemd:.
│ │ │ -0003f1e0: 2020 2020 2020 6e61 6d65 3a20 7379 736c        name: sysl
│ │ │ -0003f1f0: 6f67 2d6e 670a 2020 2020 2020 656e 6162  og-ng.      enab
│ │ │ -0003f200: 6c65 643a 2074 7275 650a 2020 2020 2020  led: true.      
│ │ │ -0003f210: 7374 6174 653a 2073 7461 7274 6564 0a20  state: started. 
│ │ │ -0003f220: 2020 2020 206d 6173 6b65 643a 2066 616c       masked: fal
│ │ │ -0003f230: 7365 0a20 2020 2077 6865 6e3a 0a20 2020  se.    when:.   
│ │ │ -0003f240: 202d 2027 2273 7973 6c6f 672d 6e67 2220   - '"syslog-ng" 
│ │ │ -0003f250: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ -0003f260: 2e70 6163 6b61 6765 7327 0a20 2077 6865  .packages'.  whe
│ │ │ -0003f270: 6e3a 2027 226c 696e 7578 2d62 6173 6522  n: '"linux-base"
│ │ │ -0003f280: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ -0003f290: 732e 7061 636b 6167 6573 270a 2020 7461  s.packages'.  ta
│ │ │ -0003f2a0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ -0003f2b0: 2d35 332d 4155 2d34 2831 290a 2020 2d20  -53-AU-4(1).  - 
│ │ │ -0003f2c0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -0003f2d0: 2861 290a 2020 2d20 656e 6162 6c65 5f73  (a).  - enable_s
│ │ │ -0003f2e0: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -0003f2f0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -0003f300: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -0003f310: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -0003f320: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -0003f330: 6e65 6564 6564 0a20 202d 2073 6572 7669  needed.  - servi
│ │ │ -0003f340: 6365 5f73 7973 6c6f 676e 675f 656e 6162  ce_syslogng_enab
│ │ │ -0003f350: 6c65 640a 3c2f 636f 6465 3e3c 2f70 7265  led.</code></pre
│ │ │ +0003ead0: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ +0003eae0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +0003eaf0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +0003eb00: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +0003eb10: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +0003eb20: 3534 3633 223e 3c74 6162 6c65 2063 6c61  5463"><table cla
│ │ │ +0003eb30: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +0003eb40: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +0003eb50: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +0003eb60: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +0003eb70: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +0003eb80: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0003eb90: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +0003eba0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +0003ebb0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0003ebc0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +0003ebd0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +0003ebe0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +0003ebf0: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ +0003ec00: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +0003ec10: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ +0003ec20: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ +0003ec30: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ +0003ec40: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ +0003ec50: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ +0003ec60: 6f0a 2020 7461 6773 3a0a 2020 2d20 4e49  o.  tags:.  - NI
│ │ │ +0003ec70: 5354 2d38 3030 2d35 332d 4155 2d34 2831  ST-800-53-AU-4(1
│ │ │ +0003ec80: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +0003ec90: 332d 434d 2d36 2861 290a 2020 2d20 656e  3-CM-6(a).  - en
│ │ │ +0003eca0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +0003ecb0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +0003ecc0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +0003ecd0: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +0003ece0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +0003ecf0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +0003ed00: 2073 6572 7669 6365 5f73 7973 6c6f 676e   service_syslogn
│ │ │ +0003ed10: 675f 656e 6162 6c65 640a 0a2d 206e 616d  g_enabled..- nam
│ │ │ +0003ed20: 653a 2045 6e61 626c 6520 7379 736c 6f67  e: Enable syslog
│ │ │ +0003ed30: 2d6e 6720 5365 7276 6963 6520 2d20 456e  -ng Service - En
│ │ │ +0003ed40: 6162 6c65 2073 6572 7669 6365 2073 7973  able service sys
│ │ │ +0003ed50: 6c6f 672d 6e67 0a20 2062 6c6f 636b 3a0a  log-ng.  block:.
│ │ │ +0003ed60: 0a20 202d 206e 616d 653a 2047 6174 6865  .  - name: Gathe
│ │ │ +0003ed70: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ +0003ed80: 6374 730a 2020 2020 7061 636b 6167 655f  cts.    package_
│ │ │ +0003ed90: 6661 6374 733a 0a20 2020 2020 206d 616e  facts:.      man
│ │ │ +0003eda0: 6167 6572 3a20 6175 746f 0a0a 2020 2d20  ager: auto..  - 
│ │ │ +0003edb0: 6e61 6d65 3a20 456e 6162 6c65 2073 7973  name: Enable sys
│ │ │ +0003edc0: 6c6f 672d 6e67 2053 6572 7669 6365 202d  log-ng Service -
│ │ │ +0003edd0: 2045 6e61 626c 6520 5365 7276 6963 6520   Enable Service 
│ │ │ +0003ede0: 7379 736c 6f67 2d6e 670a 2020 2020 616e  syslog-ng.    an
│ │ │ +0003edf0: 7369 626c 652e 6275 696c 7469 6e2e 7379  sible.builtin.sy
│ │ │ +0003ee00: 7374 656d 643a 0a20 2020 2020 206e 616d  stemd:.      nam
│ │ │ +0003ee10: 653a 2073 7973 6c6f 672d 6e67 0a20 2020  e: syslog-ng.   
│ │ │ +0003ee20: 2020 2065 6e61 626c 6564 3a20 7472 7565     enabled: true
│ │ │ +0003ee30: 0a20 2020 2020 2073 7461 7465 3a20 7374  .      state: st
│ │ │ +0003ee40: 6172 7465 640a 2020 2020 2020 6d61 736b  arted.      mask
│ │ │ +0003ee50: 6564 3a20 6661 6c73 650a 2020 2020 7768  ed: false.    wh
│ │ │ +0003ee60: 656e 3a0a 2020 2020 2d20 2722 7379 736c  en:.    - '"sysl
│ │ │ +0003ee70: 6f67 2d6e 6722 2069 6e20 616e 7369 626c  og-ng" in ansibl
│ │ │ +0003ee80: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ +0003ee90: 270a 2020 7768 656e 3a20 2722 6c69 6e75  '.  when: '"linu
│ │ │ +0003eea0: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ +0003eeb0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ +0003eec0: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ +0003eed0: 4953 542d 3830 302d 3533 2d41 552d 3428  IST-800-53-AU-4(
│ │ │ +0003eee0: 3129 0a20 202d 204e 4953 542d 3830 302d  1).  - NIST-800-
│ │ │ +0003eef0: 3533 2d43 4d2d 3628 6129 0a20 202d 2065  53-CM-6(a).  - e
│ │ │ +0003ef00: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ +0003ef10: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +0003ef20: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +0003ef30: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ +0003ef40: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ +0003ef50: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +0003ef60: 2d20 7365 7276 6963 655f 7379 736c 6f67  - service_syslog
│ │ │ +0003ef70: 6e67 5f65 6e61 626c 6564 0a3c 2f63 6f64  ng_enabled.</cod
│ │ │ +0003ef80: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +0003ef90: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +0003efa0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +0003efb0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +0003efc0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +0003efd0: 6d35 3436 3422 2074 6162 696e 6465 783d  m5464" tabindex=
│ │ │ +0003efe0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +0003eff0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +0003f000: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +0003f010: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +0003f020: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +0003f030: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ +0003f040: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +0003f050: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +0003f060: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +0003f070: 6c6c 6170 7365 2220 6964 3d22 6964 6d35  llapse" id="idm5
│ │ │ +0003f080: 3436 3422 3e3c 7461 626c 6520 636c 6173  464"><table clas
│ │ │ +0003f090: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +0003f0a0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +0003f0b0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +0003f0c0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +0003f0d0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +0003f0e0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0003f0f0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +0003f100: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +0003f110: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0003f120: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +0003f130: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +0003f140: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +0003f150: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +0003f160: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0003f170: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +0003f180: 6c75 6465 2065 6e61 626c 655f 7379 736c  lude enable_sysl
│ │ │ +0003f190: 6f67 2d6e 670a 0a63 6c61 7373 2065 6e61  og-ng..class ena
│ │ │ +0003f1a0: 626c 655f 7379 736c 6f67 2d6e 6720 7b0a  ble_syslog-ng {.
│ │ │ +0003f1b0: 2020 7365 7276 6963 6520 7b27 7379 736c    service {'sysl
│ │ │ +0003f1c0: 6f67 2d6e 6727 3a0a 2020 2020 656e 6162  og-ng':.    enab
│ │ │ +0003f1d0: 6c65 203d 2667 743b 2074 7275 652c 0a20  le =&gt; true,. 
│ │ │ +0003f1e0: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ +0003f1f0: 2772 756e 6e69 6e67 272c 0a20 207d 0a7d  'running',.  }.}
│ │ │ +0003f200: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +0003f210: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +0003f220: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +0003f230: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +0003f240: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +0003f250: 743d 2223 6964 6d35 3436 3522 2074 6162  t="#idm5465" tab
│ │ │ +0003f260: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +0003f270: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +0003f280: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +0003f290: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +0003f2a0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +0003f2b0: 2122 3e52 656d 6564 6961 7469 6f6e 204f  !">Remediation O
│ │ │ +0003f2c0: 5342 7569 6c64 2042 6c75 6570 7269 6e74  SBuild Blueprint
│ │ │ +0003f2d0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +0003f2e0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +0003f2f0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +0003f300: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +0003f310: 3534 3635 223e 3c70 7265 3e3c 636f 6465  5465"><pre><code
│ │ │ +0003f320: 3e0a 5b63 7573 746f 6d69 7a61 7469 6f6e  >.[customization
│ │ │ +0003f330: 732e 7365 7276 6963 6573 5d0a 656e 6162  s.services].enab
│ │ │ +0003f340: 6c65 6420 3d20 5b22 7379 736c 6f67 2d6e  led = ["syslog-n
│ │ │ +0003f350: 6722 5d0a 3c2f 636f 6465 3e3c 2f70 7265  g"].</code></pre
│ │ │  0003f360: 3e3c 2f64 6976 3e3c 2f64 6976 3e3c 2f74  ></div></div></t
│ │ │  0003f370: 643e 3c2f 7472 3e3c 2f74 626f 6479 3e3c  d></tr></tbody><
│ │ │  0003f380: 2f74 6162 6c65 3e3c 2f74 643e 3c2f 7472  /table></td></tr
│ │ │  0003f390: 3e3c 7472 2064 6174 612d 7474 2d69 643d  ><tr data-tt-id=
│ │ │  0003f3a0: 2278 6363 6466 5f6f 7267 2e73 7367 7072  "xccdf_org.ssgpr
│ │ │  0003f3b0: 6f6a 6563 742e 636f 6e74 656e 745f 7275  oject.content_ru
│ │ │  0003f3c0: 6c65 5f70 6163 6b61 6765 5f72 7379 736c  le_package_rsysl
│ │ │ @@ -16391,127 +16391,127 @@
│ │ │  00040060: 6574 3d22 2369 646d 3438 3337 2220 7461  et="#idm4837" ta
│ │ │  00040070: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  00040080: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │  00040090: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │  000400a0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │  000400b0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │  000400c0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -000400d0: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ -000400e0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -000400f0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00040100: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00040110: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00040120: 6d34 3833 3722 3e3c 7072 653e 3c63 6f64  m4837"><pre><cod
│ │ │ -00040130: 653e 0a5b 5b70 6163 6b61 6765 735d 5d0a  e>.[[packages]].
│ │ │ -00040140: 6e61 6d65 203d 2022 7273 7973 6c6f 6722  name = "rsyslog"
│ │ │ -00040150: 0a76 6572 7369 6f6e 203d 2022 2a22 0a3c  .version = "*".<
│ │ │ -00040160: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -00040170: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -00040180: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -00040190: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -000401a0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -000401b0: 2223 6964 6d34 3833 3822 2074 6162 696e  "#idm4838" tabin
│ │ │ -000401c0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -000401d0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -000401e0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -000401f0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00040200: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00040210: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ -00040220: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ -00040230: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00040240: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00040250: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00040260: 6964 6d34 3833 3822 3e3c 7461 626c 6520  idm4838"><table 
│ │ │ -00040270: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -00040280: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -00040290: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -000402a0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -000402b0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -000402c0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -000402d0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -000402e0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -000402f0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00040300: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -00040310: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -00040320: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -00040330: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -00040340: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00040350: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00040360: 3e69 6e63 6c75 6465 2069 6e73 7461 6c6c  >include install
│ │ │ -00040370: 5f72 7379 736c 6f67 0a0a 636c 6173 7320  _rsyslog..class 
│ │ │ -00040380: 696e 7374 616c 6c5f 7273 7973 6c6f 6720  install_rsyslog 
│ │ │ -00040390: 7b0a 2020 7061 636b 6167 6520 7b20 2772  {.  package { 'r
│ │ │ -000403a0: 7379 736c 6f67 273a 0a20 2020 2065 6e73  syslog':.    ens
│ │ │ -000403b0: 7572 6520 3d26 6774 3b20 2769 6e73 7461  ure =&gt; 'insta
│ │ │ -000403c0: 6c6c 6564 272c 0a20 207d 0a7d 0a3c 2f63  lled',.  }.}.</c
│ │ │ -000403d0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -000403e0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -000403f0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -00040400: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -00040410: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -00040420: 6964 6d34 3833 3922 2074 6162 696e 6465  idm4839" tabinde
│ │ │ -00040430: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -00040440: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -00040450: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -00040460: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -00040470: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00040480: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -00040490: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -000404a0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -000404b0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -000404c0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -000404d0: 646d 3438 3339 223e 3c74 6162 6c65 2063  dm4839"><table c
│ │ │ -000404e0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -000404f0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00040500: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00040510: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00040520: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00040530: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00040540: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00040550: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00040560: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00040570: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00040580: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00040590: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -000405a0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -000405b0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -000405c0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -000405d0: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ -000405e0: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ -000405f0: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ -00040600: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ -00040610: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ -00040620: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -00040630: 2861 290a 2020 2d20 656e 6162 6c65 5f73  (a).  - enable_s
│ │ │ -00040640: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -00040650: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -00040660: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -00040670: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -00040680: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -00040690: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -000406a0: 6765 5f72 7379 736c 6f67 5f69 6e73 7461  ge_rsyslog_insta
│ │ │ -000406b0: 6c6c 6564 0a0a 2d20 6e61 6d65 3a20 456e  lled..- name: En
│ │ │ -000406c0: 7375 7265 2072 7379 736c 6f67 2069 7320  sure rsyslog is 
│ │ │ -000406d0: 696e 7374 616c 6c65 640a 2020 7061 636b  installed.  pack
│ │ │ -000406e0: 6167 653a 0a20 2020 206e 616d 653a 2072  age:.    name: r
│ │ │ -000406f0: 7379 736c 6f67 0a20 2020 2073 7461 7465  syslog.    state
│ │ │ -00040700: 3a20 7072 6573 656e 740a 2020 7768 656e  : present.  when
│ │ │ -00040710: 3a20 2722 6c69 6e75 782d 6261 7365 2220  : '"linux-base" 
│ │ │ -00040720: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ -00040730: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ -00040740: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -00040750: 3533 2d43 4d2d 3628 6129 0a20 202d 2065  53-CM-6(a).  - e
│ │ │ -00040760: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -00040770: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -00040780: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -00040790: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -000407a0: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -000407b0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -000407c0: 2d20 7061 636b 6167 655f 7273 7973 6c6f  - package_rsyslo
│ │ │ -000407d0: 675f 696e 7374 616c 6c65 640a 3c2f 636f  g_installed.</co
│ │ │ +000400d0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ +000400e0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +000400f0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00040100: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00040110: 6964 3d22 6964 6d34 3833 3722 3e3c 7461  id="idm4837"><ta
│ │ │ +00040120: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +00040130: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +00040140: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +00040150: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00040160: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +00040170: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +00040180: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00040190: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +000401a0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +000401b0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +000401c0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +000401d0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +000401e0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +000401f0: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ +00040200: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +00040210: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ +00040220: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ +00040230: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ +00040240: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ +00040250: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ +00040260: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00040270: 2d43 4d2d 3628 6129 0a20 202d 2065 6e61  -CM-6(a).  - ena
│ │ │ +00040280: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +00040290: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +000402a0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +000402b0: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ +000402c0: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +000402d0: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +000402e0: 7061 636b 6167 655f 7273 7973 6c6f 675f  package_rsyslog_
│ │ │ +000402f0: 696e 7374 616c 6c65 640a 0a2d 206e 616d  installed..- nam
│ │ │ +00040300: 653a 2045 6e73 7572 6520 7273 7973 6c6f  e: Ensure rsyslo
│ │ │ +00040310: 6720 6973 2069 6e73 7461 6c6c 6564 0a20  g is installed. 
│ │ │ +00040320: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +00040330: 6d65 3a20 7273 7973 6c6f 670a 2020 2020  me: rsyslog.    
│ │ │ +00040340: 7374 6174 653a 2070 7265 7365 6e74 0a20  state: present. 
│ │ │ +00040350: 2077 6865 6e3a 2027 226c 696e 7578 2d62   when: '"linux-b
│ │ │ +00040360: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ +00040370: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +00040380: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +00040390: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +000403a0: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ +000403b0: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ +000403c0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +000403d0: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ +000403e0: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ +000403f0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +00040400: 6564 0a20 202d 2070 6163 6b61 6765 5f72  ed.  - package_r
│ │ │ +00040410: 7379 736c 6f67 5f69 6e73 7461 6c6c 6564  syslog_installed
│ │ │ +00040420: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +00040430: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +00040440: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +00040450: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +00040460: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +00040470: 743d 2223 6964 6d34 3833 3822 2074 6162  t="#idm4838" tab
│ │ │ +00040480: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +00040490: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +000404a0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +000404b0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +000404c0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +000404d0: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ +000404e0: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ +000404f0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00040500: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00040510: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00040520: 3d22 6964 6d34 3833 3822 3e3c 7461 626c  ="idm4838"><tabl
│ │ │ +00040530: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +00040540: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +00040550: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +00040560: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +00040570: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +00040580: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00040590: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +000405a0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +000405b0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +000405c0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +000405d0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +000405e0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +000405f0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00040600: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ +00040610: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00040620: 6465 3e69 6e63 6c75 6465 2069 6e73 7461  de>include insta
│ │ │ +00040630: 6c6c 5f72 7379 736c 6f67 0a0a 636c 6173  ll_rsyslog..clas
│ │ │ +00040640: 7320 696e 7374 616c 6c5f 7273 7973 6c6f  s install_rsyslo
│ │ │ +00040650: 6720 7b0a 2020 7061 636b 6167 6520 7b20  g {.  package { 
│ │ │ +00040660: 2772 7379 736c 6f67 273a 0a20 2020 2065  'rsyslog':.    e
│ │ │ +00040670: 6e73 7572 6520 3d26 6774 3b20 2769 6e73  nsure =&gt; 'ins
│ │ │ +00040680: 7461 6c6c 6564 272c 0a20 207d 0a7d 0a3c  talled',.  }.}.<
│ │ │ +00040690: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +000406a0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +000406b0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +000406c0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +000406d0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +000406e0: 2223 6964 6d34 3833 3922 2074 6162 696e  "#idm4839" tabin
│ │ │ +000406f0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00040700: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00040710: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00040720: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00040730: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00040740: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ +00040750: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ +00040760: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00040770: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00040780: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00040790: 6c61 7073 6522 2069 643d 2269 646d 3438  lapse" id="idm48
│ │ │ +000407a0: 3339 223e 3c70 7265 3e3c 636f 6465 3e0a  39"><pre><code>.
│ │ │ +000407b0: 5b5b 7061 636b 6167 6573 5d5d 0a6e 616d  [[packages]].nam
│ │ │ +000407c0: 6520 3d20 2272 7379 736c 6f67 220a 7665  e = "rsyslog".ve
│ │ │ +000407d0: 7273 696f 6e20 3d20 222a 220a 3c2f 636f  rsion = "*".</co
│ │ │  000407e0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  000407f0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │  00040800: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │  00040810: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │  00040820: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  00040830: 646d 3438 3430 2220 7461 6269 6e64 6578  dm4840" tabindex
│ │ │  00040840: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ @@ -16791,149 +16791,149 @@
│ │ │  00041960: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  00041970: 6964 6d34 3932 3322 2074 6162 696e 6465  idm4923" tabinde
│ │ │  00041980: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  00041990: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  000419a0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  000419b0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  000419c0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -000419d0: 656d 6564 6961 7469 6f6e 204f 5342 7569  emediation OSBui
│ │ │ -000419e0: 6c64 2042 6c75 6570 7269 6e74 2073 6e69  ld Blueprint sni
│ │ │ -000419f0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00041a00: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00041a10: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00041a20: 7073 6522 2069 643d 2269 646d 3439 3233  pse" id="idm4923
│ │ │ -00041a30: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b63  "><pre><code>.[c
│ │ │ -00041a40: 7573 746f 6d69 7a61 7469 6f6e 732e 7365  ustomizations.se
│ │ │ -00041a50: 7276 6963 6573 5d0a 656e 6162 6c65 6420  rvices].enabled 
│ │ │ -00041a60: 3d20 5b22 7273 7973 6c6f 6722 5d0a 3c2f  = ["rsyslog"].</
│ │ │ -00041a70: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00041a80: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00041a90: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00041aa0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00041ab0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00041ac0: 2369 646d 3439 3234 2220 7461 6269 6e64  #idm4924" tabind
│ │ │ -00041ad0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -00041ae0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -00041af0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -00041b00: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -00041b10: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -00041b20: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ -00041b30: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ -00041b40: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -00041b50: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -00041b60: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -00041b70: 646d 3439 3234 223e 3c74 6162 6c65 2063  dm4924"><table c
│ │ │ -00041b80: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00041b90: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00041ba0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00041bb0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00041bc0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00041bd0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00041be0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00041bf0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00041c00: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00041c10: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00041c20: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00041c30: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00041c40: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -00041c50: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00041c60: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00041c70: 696e 636c 7564 6520 656e 6162 6c65 5f72  include enable_r
│ │ │ -00041c80: 7379 736c 6f67 0a0a 636c 6173 7320 656e  syslog..class en
│ │ │ -00041c90: 6162 6c65 5f72 7379 736c 6f67 207b 0a20  able_rsyslog {. 
│ │ │ -00041ca0: 2073 6572 7669 6365 207b 2772 7379 736c   service {'rsysl
│ │ │ -00041cb0: 6f67 273a 0a20 2020 2065 6e61 626c 6520  og':.    enable 
│ │ │ -00041cc0: 3d26 6774 3b20 7472 7565 2c0a 2020 2020  =&gt; true,.    
│ │ │ -00041cd0: 656e 7375 7265 203d 2667 743b 2027 7275  ensure =&gt; 'ru
│ │ │ -00041ce0: 6e6e 696e 6727 2c0a 2020 7d0a 7d0a 3c2f  nning',.  }.}.</
│ │ │ -00041cf0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00041d00: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00041d10: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00041d20: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00041d30: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00041d40: 2369 646d 3439 3235 2220 7461 6269 6e64  #idm4925" tabind
│ │ │ -00041d50: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -00041d60: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -00041d70: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -00041d80: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -00041d90: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -00041da0: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ -00041db0: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ -00041dc0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00041dd0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00041de0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00041df0: 6964 6d34 3932 3522 3e3c 7461 626c 6520  idm4925"><table 
│ │ │ -00041e00: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -00041e10: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -00041e20: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -00041e30: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -00041e40: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -00041e50: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00041e60: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -00041e70: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -00041e80: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00041e90: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -00041ea0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -00041eb0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -00041ec0: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -00041ed0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00041ee0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00041ef0: 3e2d 206e 616d 653a 2047 6174 6865 7220  >- name: Gather 
│ │ │ -00041f00: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ -00041f10: 730a 2020 7061 636b 6167 655f 6661 6374  s.  package_fact
│ │ │ -00041f20: 733a 0a20 2020 206d 616e 6167 6572 3a20  s:.    manager: 
│ │ │ -00041f30: 6175 746f 0a20 2074 6167 733a 0a20 202d  auto.  tags:.  -
│ │ │ -00041f40: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -00041f50: 3428 3129 0a20 202d 204e 4953 542d 3830  4(1).  - NIST-80
│ │ │ -00041f60: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ -00041f70: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -00041f80: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -00041f90: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -00041fa0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ -00041fb0: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ -00041fc0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -00041fd0: 2020 2d20 7365 7276 6963 655f 7273 7973    - service_rsys
│ │ │ -00041fe0: 6c6f 675f 656e 6162 6c65 640a 0a2d 206e  log_enabled..- n
│ │ │ -00041ff0: 616d 653a 2045 6e61 626c 6520 7273 7973  ame: Enable rsys
│ │ │ -00042000: 6c6f 6720 5365 7276 6963 6520 2d20 456e  log Service - En
│ │ │ -00042010: 6162 6c65 2073 6572 7669 6365 2072 7379  able service rsy
│ │ │ -00042020: 736c 6f67 0a20 2062 6c6f 636b 3a0a 0a20  slog.  block:.. 
│ │ │ -00042030: 202d 206e 616d 653a 2047 6174 6865 7220   - name: Gather 
│ │ │ -00042040: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ -00042050: 730a 2020 2020 7061 636b 6167 655f 6661  s.    package_fa
│ │ │ -00042060: 6374 733a 0a20 2020 2020 206d 616e 6167  cts:.      manag
│ │ │ -00042070: 6572 3a20 6175 746f 0a0a 2020 2d20 6e61  er: auto..  - na
│ │ │ -00042080: 6d65 3a20 456e 6162 6c65 2072 7379 736c  me: Enable rsysl
│ │ │ -00042090: 6f67 2053 6572 7669 6365 202d 2045 6e61  og Service - Ena
│ │ │ -000420a0: 626c 6520 5365 7276 6963 6520 7273 7973  ble Service rsys
│ │ │ -000420b0: 6c6f 670a 2020 2020 616e 7369 626c 652e  log.    ansible.
│ │ │ -000420c0: 6275 696c 7469 6e2e 7379 7374 656d 643a  builtin.systemd:
│ │ │ -000420d0: 0a20 2020 2020 206e 616d 653a 2072 7379  .      name: rsy
│ │ │ -000420e0: 736c 6f67 0a20 2020 2020 2065 6e61 626c  slog.      enabl
│ │ │ -000420f0: 6564 3a20 7472 7565 0a20 2020 2020 2073  ed: true.      s
│ │ │ -00042100: 7461 7465 3a20 7374 6172 7465 640a 2020  tate: started.  
│ │ │ -00042110: 2020 2020 6d61 736b 6564 3a20 6661 6c73      masked: fals
│ │ │ -00042120: 650a 2020 2020 7768 656e 3a0a 2020 2020  e.    when:.    
│ │ │ -00042130: 2d20 2722 7273 7973 6c6f 6722 2069 6e20  - '"rsyslog" in 
│ │ │ -00042140: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ -00042150: 636b 6167 6573 270a 2020 7768 656e 3a20  ckages'.  when: 
│ │ │ -00042160: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ -00042170: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -00042180: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ -00042190: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -000421a0: 2d41 552d 3428 3129 0a20 202d 204e 4953  -AU-4(1).  - NIS
│ │ │ -000421b0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -000421c0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ -000421d0: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -000421e0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -000421f0: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ -00042200: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ -00042210: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -00042220: 6465 640a 2020 2d20 7365 7276 6963 655f  ded.  - service_
│ │ │ -00042230: 7273 7973 6c6f 675f 656e 6162 6c65 640a  rsyslog_enabled.
│ │ │ +000419d0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +000419e0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +000419f0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00041a00: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00041a10: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00041a20: 646d 3439 3233 223e 3c74 6162 6c65 2063  dm4923"><table c
│ │ │ +00041a30: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00041a40: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00041a50: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00041a60: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00041a70: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00041a80: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00041a90: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00041aa0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00041ab0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00041ac0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00041ad0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00041ae0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00041af0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +00041b00: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00041b10: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00041b20: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ +00041b30: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ +00041b40: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ +00041b50: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ +00041b60: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ +00041b70: 4e49 5354 2d38 3030 2d35 332d 4155 2d34  NIST-800-53-AU-4
│ │ │ +00041b80: 2831 290a 2020 2d20 4e49 5354 2d38 3030  (1).  - NIST-800
│ │ │ +00041b90: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +00041ba0: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +00041bb0: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +00041bc0: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +00041bd0: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +00041be0: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +00041bf0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +00041c00: 202d 2073 6572 7669 6365 5f72 7379 736c   - service_rsysl
│ │ │ +00041c10: 6f67 5f65 6e61 626c 6564 0a0a 2d20 6e61  og_enabled..- na
│ │ │ +00041c20: 6d65 3a20 456e 6162 6c65 2072 7379 736c  me: Enable rsysl
│ │ │ +00041c30: 6f67 2053 6572 7669 6365 202d 2045 6e61  og Service - Ena
│ │ │ +00041c40: 626c 6520 7365 7276 6963 6520 7273 7973  ble service rsys
│ │ │ +00041c50: 6c6f 670a 2020 626c 6f63 6b3a 0a0a 2020  log.  block:..  
│ │ │ +00041c60: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ +00041c70: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ +00041c80: 0a20 2020 2070 6163 6b61 6765 5f66 6163  .    package_fac
│ │ │ +00041c90: 7473 3a0a 2020 2020 2020 6d61 6e61 6765  ts:.      manage
│ │ │ +00041ca0: 723a 2061 7574 6f0a 0a20 202d 206e 616d  r: auto..  - nam
│ │ │ +00041cb0: 653a 2045 6e61 626c 6520 7273 7973 6c6f  e: Enable rsyslo
│ │ │ +00041cc0: 6720 5365 7276 6963 6520 2d20 456e 6162  g Service - Enab
│ │ │ +00041cd0: 6c65 2053 6572 7669 6365 2072 7379 736c  le Service rsysl
│ │ │ +00041ce0: 6f67 0a20 2020 2061 6e73 6962 6c65 2e62  og.    ansible.b
│ │ │ +00041cf0: 7569 6c74 696e 2e73 7973 7465 6d64 3a0a  uiltin.systemd:.
│ │ │ +00041d00: 2020 2020 2020 6e61 6d65 3a20 7273 7973        name: rsys
│ │ │ +00041d10: 6c6f 670a 2020 2020 2020 656e 6162 6c65  log.      enable
│ │ │ +00041d20: 643a 2074 7275 650a 2020 2020 2020 7374  d: true.      st
│ │ │ +00041d30: 6174 653a 2073 7461 7274 6564 0a20 2020  ate: started.   
│ │ │ +00041d40: 2020 206d 6173 6b65 643a 2066 616c 7365     masked: false
│ │ │ +00041d50: 0a20 2020 2077 6865 6e3a 0a20 2020 202d  .    when:.    -
│ │ │ +00041d60: 2027 2272 7379 736c 6f67 2220 696e 2061   '"rsyslog" in a
│ │ │ +00041d70: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ +00041d80: 6b61 6765 7327 0a20 2077 6865 6e3a 2027  kages'.  when: '
│ │ │ +00041d90: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ +00041da0: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ +00041db0: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ +00041dc0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00041dd0: 4155 2d34 2831 290a 2020 2d20 4e49 5354  AU-4(1).  - NIST
│ │ │ +00041de0: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +00041df0: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ +00041e00: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ +00041e10: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +00041e20: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ +00041e30: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ +00041e40: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +00041e50: 6564 0a20 202d 2073 6572 7669 6365 5f72  ed.  - service_r
│ │ │ +00041e60: 7379 736c 6f67 5f65 6e61 626c 6564 0a3c  syslog_enabled.<
│ │ │ +00041e70: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +00041e80: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +00041e90: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +00041ea0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +00041eb0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +00041ec0: 2223 6964 6d34 3932 3422 2074 6162 696e  "#idm4924" tabin
│ │ │ +00041ed0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00041ee0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00041ef0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00041f00: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00041f10: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00041f20: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +00041f30: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +00041f40: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00041f50: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00041f60: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00041f70: 6964 6d34 3932 3422 3e3c 7461 626c 6520  idm4924"><table 
│ │ │ +00041f80: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +00041f90: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +00041fa0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +00041fb0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +00041fc0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +00041fd0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00041fe0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +00041ff0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +00042000: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00042010: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +00042020: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +00042030: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +00042040: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ +00042050: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00042060: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +00042070: 3e69 6e63 6c75 6465 2065 6e61 626c 655f  >include enable_
│ │ │ +00042080: 7273 7973 6c6f 670a 0a63 6c61 7373 2065  rsyslog..class e
│ │ │ +00042090: 6e61 626c 655f 7273 7973 6c6f 6720 7b0a  nable_rsyslog {.
│ │ │ +000420a0: 2020 7365 7276 6963 6520 7b27 7273 7973    service {'rsys
│ │ │ +000420b0: 6c6f 6727 3a0a 2020 2020 656e 6162 6c65  log':.    enable
│ │ │ +000420c0: 203d 2667 743b 2074 7275 652c 0a20 2020   =&gt; true,.   
│ │ │ +000420d0: 2065 6e73 7572 6520 3d26 6774 3b20 2772   ensure =&gt; 'r
│ │ │ +000420e0: 756e 6e69 6e67 272c 0a20 207d 0a7d 0a3c  unning',.  }.}.<
│ │ │ +000420f0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +00042100: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +00042110: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +00042120: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +00042130: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +00042140: 2223 6964 6d34 3932 3522 2074 6162 696e  "#idm4925" tabin
│ │ │ +00042150: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00042160: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00042170: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00042180: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00042190: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +000421a0: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ +000421b0: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ +000421c0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +000421d0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +000421e0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +000421f0: 6c61 7073 6522 2069 643d 2269 646d 3439  lapse" id="idm49
│ │ │ +00042200: 3235 223e 3c70 7265 3e3c 636f 6465 3e0a  25"><pre><code>.
│ │ │ +00042210: 5b63 7573 746f 6d69 7a61 7469 6f6e 732e  [customizations.
│ │ │ +00042220: 7365 7276 6963 6573 5d0a 656e 6162 6c65  services].enable
│ │ │ +00042230: 6420 3d20 5b22 7273 7973 6c6f 6722 5d0a  d = ["rsyslog"].
│ │ │  00042240: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  00042250: 6976 3e3c 2f64 6976 3e3c 2f74 643e 3c2f  iv></div></td></
│ │ │  00042260: 7472 3e3c 2f74 626f 6479 3e3c 2f74 6162  tr></tbody></tab
│ │ │  00042270: 6c65 3e3c 2f74 643e 3c2f 7472 3e3c 7472  le></td></tr><tr
│ │ │  00042280: 2064 6174 612d 7474 2d69 643d 2263 6869   data-tt-id="chi
│ │ │  00042290: 6c64 7265 6e2d 7863 6364 665f 6f72 672e  ldren-xccdf_org.
│ │ │  000422a0: 7373 6770 726f 6a65 6374 2e63 6f6e 7465  ssgproject.conte
│ │ │ @@ -22145,95 +22145,95 @@
│ │ │  00056800: 6574 3d22 2369 646d 3937 3236 2220 7461  et="#idm9726" ta
│ │ │  00056810: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  00056820: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │  00056830: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │  00056840: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │  00056850: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │  00056860: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00056870: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ -00056880: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00056890: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -000568a0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -000568b0: 643d 2269 646d 3937 3236 223e 3c74 6162  d="idm9726"><tab
│ │ │ -000568c0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -000568d0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -000568e0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -000568f0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00056900: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00056910: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00056920: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00056930: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -00056940: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00056950: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -00056960: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -00056970: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -00056980: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00056990: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -000569a0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -000569b0: 636f 6465 3e69 6e63 6c75 6465 2072 656d  code>include rem
│ │ │ -000569c0: 6f76 655f 696e 6574 7574 696c 732d 7465  ove_inetutils-te
│ │ │ -000569d0: 6c6e 6574 640a 0a63 6c61 7373 2072 656d  lnetd..class rem
│ │ │ -000569e0: 6f76 655f 696e 6574 7574 696c 732d 7465  ove_inetutils-te
│ │ │ -000569f0: 6c6e 6574 6420 7b0a 2020 7061 636b 6167  lnetd {.  packag
│ │ │ -00056a00: 6520 7b20 2769 6e65 7475 7469 6c73 2d74  e { 'inetutils-t
│ │ │ -00056a10: 656c 6e65 7464 273a 0a20 2020 2065 6e73  elnetd':.    ens
│ │ │ -00056a20: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ -00056a30: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │ -00056a40: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -00056a50: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -00056a60: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -00056a70: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -00056a80: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -00056a90: 3937 3237 2220 7461 6269 6e64 6578 3d22  9727" tabindex="
│ │ │ -00056aa0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -00056ab0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -00056ac0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -00056ad0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -00056ae0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00056af0: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -00056b00: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00056b10: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00056b20: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00056b30: 6c6c 6170 7365 2220 6964 3d22 6964 6d39  llapse" id="idm9
│ │ │ -00056b40: 3732 3722 3e3c 7461 626c 6520 636c 6173  727"><table clas
│ │ │ -00056b50: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -00056b60: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -00056b70: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -00056b80: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00056b90: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00056ba0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00056bb0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00056bc0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00056bd0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00056be0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -00056bf0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -00056c00: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -00056c10: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ -00056c20: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00056c30: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ -00056c40: 6e61 6d65 3a20 456e 7375 7265 2069 6e65  name: Ensure ine
│ │ │ -00056c50: 7475 7469 6c73 2d74 656c 6e65 7464 2069  tutils-telnetd i
│ │ │ -00056c60: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ -00056c70: 6167 653a 0a20 2020 206e 616d 653a 2069  age:.    name: i
│ │ │ -00056c80: 6e65 7475 7469 6c73 2d74 656c 6e65 7464  netutils-telnetd
│ │ │ -00056c90: 0a20 2020 2073 7461 7465 3a20 6162 7365  .    state: abse
│ │ │ -00056ca0: 6e74 0a20 2074 6167 733a 0a20 202d 204e  nt.  tags:.  - N
│ │ │ -00056cb0: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -00056cc0: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ -00056cd0: 3533 2d43 4d2d 3728 6129 0a20 202d 204e  53-CM-7(a).  - N
│ │ │ -00056ce0: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ -00056cf0: 6229 0a20 202d 2064 6973 6162 6c65 5f73  b).  - disable_s
│ │ │ -00056d00: 7472 6174 6567 790a 2020 2d20 6869 6768  trategy.  - high
│ │ │ -00056d10: 5f73 6576 6572 6974 790a 2020 2d20 6c6f  _severity.  - lo
│ │ │ -00056d20: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -00056d30: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -00056d40: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -00056d50: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -00056d60: 5f69 6e65 7475 7469 6c73 2d74 656c 6e65  _inetutils-telne
│ │ │ -00056d70: 7464 5f72 656d 6f76 6564 0a3c 2f63 6f64  td_removed.</cod
│ │ │ +00056870: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ +00056880: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00056890: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +000568a0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +000568b0: 6964 3d22 6964 6d39 3732 3622 3e3c 7461  id="idm9726"><ta
│ │ │ +000568c0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +000568d0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +000568e0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +000568f0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00056900: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +00056910: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +00056920: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00056930: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +00056940: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00056950: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +00056960: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +00056970: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00056980: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +00056990: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +000569a0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +000569b0: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ +000569c0: 7375 7265 2069 6e65 7475 7469 6c73 2d74  sure inetutils-t
│ │ │ +000569d0: 656c 6e65 7464 2069 7320 7265 6d6f 7665  elnetd is remove
│ │ │ +000569e0: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ +000569f0: 206e 616d 653a 2069 6e65 7475 7469 6c73   name: inetutils
│ │ │ +00056a00: 2d74 656c 6e65 7464 0a20 2020 2073 7461  -telnetd.    sta
│ │ │ +00056a10: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ +00056a20: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +00056a30: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ +00056a40: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ +00056a50: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +00056a60: 3533 2d43 4d2d 3728 6229 0a20 202d 2064  53-CM-7(b).  - d
│ │ │ +00056a70: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ +00056a80: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ +00056a90: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00056aa0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00056ab0: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ +00056ac0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +00056ad0: 2070 6163 6b61 6765 5f69 6e65 7475 7469   package_inetuti
│ │ │ +00056ae0: 6c73 2d74 656c 6e65 7464 5f72 656d 6f76  ls-telnetd_remov
│ │ │ +00056af0: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +00056b00: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00056b10: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00056b20: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00056b30: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00056b40: 6765 743d 2223 6964 6d39 3732 3722 2074  get="#idm9727" t
│ │ │ +00056b50: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +00056b60: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +00056b70: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +00056b80: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +00056b90: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +00056ba0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +00056bb0: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ +00056bc0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00056bd0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00056be0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00056bf0: 6964 3d22 6964 6d39 3732 3722 3e3c 7461  id="idm9727"><ta
│ │ │ +00056c00: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +00056c10: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +00056c20: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +00056c30: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00056c40: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +00056c50: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +00056c60: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00056c70: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +00056c80: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00056c90: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +00056ca0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +00056cb0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00056cc0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +00056cd0: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +00056ce0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +00056cf0: 3c63 6f64 653e 696e 636c 7564 6520 7265  <code>include re
│ │ │ +00056d00: 6d6f 7665 5f69 6e65 7475 7469 6c73 2d74  move_inetutils-t
│ │ │ +00056d10: 656c 6e65 7464 0a0a 636c 6173 7320 7265  elnetd..class re
│ │ │ +00056d20: 6d6f 7665 5f69 6e65 7475 7469 6c73 2d74  move_inetutils-t
│ │ │ +00056d30: 656c 6e65 7464 207b 0a20 2070 6163 6b61  elnetd {.  packa
│ │ │ +00056d40: 6765 207b 2027 696e 6574 7574 696c 732d  ge { 'inetutils-
│ │ │ +00056d50: 7465 6c6e 6574 6427 3a0a 2020 2020 656e  telnetd':.    en
│ │ │ +00056d60: 7375 7265 203d 2667 743b 2027 7075 7267  sure =&gt; 'purg
│ │ │ +00056d70: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │  00056d80: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │  00056d90: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │  00056da0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │  00056db0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │  00056dc0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  00056dd0: 6d39 3732 3822 2074 6162 696e 6465 783d  m9728" tabindex=
│ │ │  00056de0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ @@ -22379,86 +22379,86 @@
│ │ │  000576a0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  000576b0: 3937 3335 2220 7461 6269 6e64 6578 3d22  9735" tabindex="
│ │ │  000576c0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │  000576d0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │  000576e0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │  000576f0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │  00057700: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00057710: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ -00057720: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00057730: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00057740: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -00057750: 6c61 7073 6522 2069 643d 2269 646d 3937  lapse" id="idm97
│ │ │ -00057760: 3335 223e 3c74 6162 6c65 2063 6c61 7373  35"><table class
│ │ │ -00057770: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -00057780: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -00057790: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -000577a0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -000577b0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -000577c0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -000577d0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -000577e0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -000577f0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00057800: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -00057810: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -00057820: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -00057830: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ -00057840: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -00057850: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ -00057860: 6c75 6465 2072 656d 6f76 655f 6e69 730a  lude remove_nis.
│ │ │ -00057870: 0a63 6c61 7373 2072 656d 6f76 655f 6e69  .class remove_ni
│ │ │ -00057880: 7320 7b0a 2020 7061 636b 6167 6520 7b20  s {.  package { 
│ │ │ -00057890: 276e 6973 273a 0a20 2020 2065 6e73 7572  'nis':.    ensur
│ │ │ -000578a0: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ -000578b0: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │ -000578c0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -000578d0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -000578e0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -000578f0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -00057900: 612d 7461 7267 6574 3d22 2369 646d 3937  a-target="#idm97
│ │ │ -00057910: 3336 2220 7461 6269 6e64 6578 3d22 3022  36" tabindex="0"
│ │ │ -00057920: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -00057930: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -00057940: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -00057950: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -00057960: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00057970: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ -00057980: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -00057990: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -000579a0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -000579b0: 6170 7365 2220 6964 3d22 6964 6d39 3733  apse" id="idm973
│ │ │ -000579c0: 3622 3e3c 7461 626c 6520 636c 6173 733d  6"><table class=
│ │ │ -000579d0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -000579e0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -000579f0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -00057a00: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -00057a10: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -00057a20: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00057a30: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -00057a40: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00057a50: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00057a60: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00057a70: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00057a80: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00057a90: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -00057aa0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -00057ab0: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ -00057ac0: 6d65 3a20 456e 7375 7265 206e 6973 2069  me: Ensure nis i
│ │ │ -00057ad0: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ -00057ae0: 6167 653a 0a20 2020 206e 616d 653a 206e  age:.    name: n
│ │ │ -00057af0: 6973 0a20 2020 2073 7461 7465 3a20 6162  is.    state: ab
│ │ │ -00057b00: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ -00057b10: 2064 6973 6162 6c65 5f73 7472 6174 6567   disable_strateg
│ │ │ -00057b20: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -00057b30: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -00057b40: 7275 7074 696f 6e0a 2020 2d20 6c6f 775f  ruption.  - low_
│ │ │ -00057b50: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -00057b60: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -00057b70: 2d20 7061 636b 6167 655f 6e69 735f 7265  - package_nis_re
│ │ │ -00057b80: 6d6f 7665 640a 3c2f 636f 6465 3e3c 2f70  moved.</code></p
│ │ │ +00057710: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ +00057720: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00057730: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00057740: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00057750: 6c6c 6170 7365 2220 6964 3d22 6964 6d39  llapse" id="idm9
│ │ │ +00057760: 3733 3522 3e3c 7461 626c 6520 636c 6173  735"><table clas
│ │ │ +00057770: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00057780: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00057790: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +000577a0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +000577b0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +000577c0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +000577d0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +000577e0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +000577f0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00057800: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00057810: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00057820: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00057830: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +00057840: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00057850: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ +00057860: 6e61 6d65 3a20 456e 7375 7265 206e 6973  name: Ensure nis
│ │ │ +00057870: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ +00057880: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ +00057890: 206e 6973 0a20 2020 2073 7461 7465 3a20   nis.    state: 
│ │ │ +000578a0: 6162 7365 6e74 0a20 2074 6167 733a 0a20  absent.  tags:. 
│ │ │ +000578b0: 202d 2064 6973 6162 6c65 5f73 7472 6174   - disable_strat
│ │ │ +000578c0: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ +000578d0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +000578e0: 6973 7275 7074 696f 6e0a 2020 2d20 6c6f  isruption.  - lo
│ │ │ +000578f0: 775f 7365 7665 7269 7479 0a20 202d 206e  w_severity.  - n
│ │ │ +00057900: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +00057910: 2020 2d20 7061 636b 6167 655f 6e69 735f    - package_nis_
│ │ │ +00057920: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ +00057930: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +00057940: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +00057950: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +00057960: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +00057970: 612d 7461 7267 6574 3d22 2369 646d 3937  a-target="#idm97
│ │ │ +00057980: 3336 2220 7461 6269 6e64 6578 3d22 3022  36" tabindex="0"
│ │ │ +00057990: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +000579a0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +000579b0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +000579c0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +000579d0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +000579e0: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ +000579f0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00057a00: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00057a10: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00057a20: 7073 6522 2069 643d 2269 646d 3937 3336  pse" id="idm9736
│ │ │ +00057a30: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +00057a40: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +00057a50: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +00057a60: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +00057a70: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +00057a80: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +00057a90: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00057aa0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +00057ab0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00057ac0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +00057ad0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +00057ae0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +00057af0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +00057b00: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ +00057b10: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +00057b20: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ +00057b30: 6465 2072 656d 6f76 655f 6e69 730a 0a63  de remove_nis..c
│ │ │ +00057b40: 6c61 7373 2072 656d 6f76 655f 6e69 7320  lass remove_nis 
│ │ │ +00057b50: 7b0a 2020 7061 636b 6167 6520 7b20 276e  {.  package { 'n
│ │ │ +00057b60: 6973 273a 0a20 2020 2065 6e73 7572 6520  is':.    ensure 
│ │ │ +00057b70: 3d26 6774 3b20 2770 7572 6765 6427 2c0a  =&gt; 'purged',.
│ │ │ +00057b80: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │  00057b90: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │  00057ba0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │  00057bb0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │  00057bc0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │  00057bd0: 7461 7267 6574 3d22 2369 646d 3937 3337  target="#idm9737
│ │ │  00057be0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │  00057bf0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ @@ -22718,93 +22718,93 @@
│ │ │  00058bd0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  00058be0: 3938 3435 2220 7461 6269 6e64 6578 3d22  9845" tabindex="
│ │ │  00058bf0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │  00058c00: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │  00058c10: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │  00058c20: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │  00058c30: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00058c40: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ -00058c50: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00058c60: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00058c70: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -00058c80: 6c61 7073 6522 2069 643d 2269 646d 3938  lapse" id="idm98
│ │ │ -00058c90: 3435 223e 3c74 6162 6c65 2063 6c61 7373  45"><table class
│ │ │ -00058ca0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -00058cb0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -00058cc0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -00058cd0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -00058ce0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -00058cf0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00058d00: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -00058d10: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -00058d20: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00058d30: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -00058d40: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -00058d50: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -00058d60: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ -00058d70: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -00058d80: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ -00058d90: 6c75 6465 2072 656d 6f76 655f 7465 6c6e  lude remove_teln
│ │ │ -00058da0: 6574 642d 7373 6c0a 0a63 6c61 7373 2072  etd-ssl..class r
│ │ │ -00058db0: 656d 6f76 655f 7465 6c6e 6574 642d 7373  emove_telnetd-ss
│ │ │ -00058dc0: 6c20 7b0a 2020 7061 636b 6167 6520 7b20  l {.  package { 
│ │ │ -00058dd0: 2774 656c 6e65 7464 2d73 736c 273a 0a20  'telnetd-ssl':. 
│ │ │ -00058de0: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -00058df0: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │ -00058e00: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00058e10: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00058e20: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00058e30: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00058e40: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00058e50: 3d22 2369 646d 3938 3436 2220 7461 6269  ="#idm9846" tabi
│ │ │ -00058e60: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -00058e70: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -00058e80: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -00058e90: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -00058ea0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00058eb0: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -00058ec0: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -00058ed0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00058ee0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00058ef0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00058f00: 3d22 6964 6d39 3834 3622 3e3c 7461 626c  ="idm9846"><tabl
│ │ │ -00058f10: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00058f20: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00058f30: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00058f40: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00058f50: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00058f60: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00058f70: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00058f80: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00058f90: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00058fa0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00058fb0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00058fc0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00058fd0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00058fe0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -00058ff0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00059000: 6f64 653e 2d20 6e61 6d65 3a20 456e 7375  ode>- name: Ensu
│ │ │ -00059010: 7265 2074 656c 6e65 7464 2d73 736c 2069  re telnetd-ssl i
│ │ │ -00059020: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ -00059030: 6167 653a 0a20 2020 206e 616d 653a 2074  age:.    name: t
│ │ │ -00059040: 656c 6e65 7464 2d73 736c 0a20 2020 2073  elnetd-ssl.    s
│ │ │ -00059050: 7461 7465 3a20 6162 7365 6e74 0a20 2074  tate: absent.  t
│ │ │ -00059060: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ -00059070: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ -00059080: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -00059090: 3728 6129 0a20 202d 204e 4953 542d 3830  7(a).  - NIST-80
│ │ │ -000590a0: 302d 3533 2d43 4d2d 3728 6229 0a20 202d  0-53-CM-7(b).  -
│ │ │ -000590b0: 2064 6973 6162 6c65 5f73 7472 6174 6567   disable_strateg
│ │ │ -000590c0: 790a 2020 2d20 6869 6768 5f73 6576 6572  y.  - high_sever
│ │ │ -000590d0: 6974 790a 2020 2d20 6c6f 775f 636f 6d70  ity.  - low_comp
│ │ │ -000590e0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -000590f0: 6973 7275 7074 696f 6e0a 2020 2d20 6e6f  isruption.  - no
│ │ │ -00059100: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -00059110: 202d 2070 6163 6b61 6765 5f74 656c 6e65   - package_telne
│ │ │ -00059120: 7464 2d73 736c 5f72 656d 6f76 6564 0a3c  td-ssl_removed.<
│ │ │ +00058c40: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ +00058c50: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00058c60: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00058c70: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00058c80: 6c6c 6170 7365 2220 6964 3d22 6964 6d39  llapse" id="idm9
│ │ │ +00058c90: 3834 3522 3e3c 7461 626c 6520 636c 6173  845"><table clas
│ │ │ +00058ca0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00058cb0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00058cc0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00058cd0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00058ce0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00058cf0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00058d00: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +00058d10: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +00058d20: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00058d30: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00058d40: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00058d50: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00058d60: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +00058d70: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00058d80: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ +00058d90: 6e61 6d65 3a20 456e 7375 7265 2074 656c  name: Ensure tel
│ │ │ +00058da0: 6e65 7464 2d73 736c 2069 7320 7265 6d6f  netd-ssl is remo
│ │ │ +00058db0: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ +00058dc0: 2020 206e 616d 653a 2074 656c 6e65 7464     name: telnetd
│ │ │ +00058dd0: 2d73 736c 0a20 2020 2073 7461 7465 3a20  -ssl.    state: 
│ │ │ +00058de0: 6162 7365 6e74 0a20 2074 6167 733a 0a20  absent.  tags:. 
│ │ │ +00058df0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +00058e00: 4d2d 3628 6129 0a20 202d 204e 4953 542d  M-6(a).  - NIST-
│ │ │ +00058e10: 3830 302d 3533 2d43 4d2d 3728 6129 0a20  800-53-CM-7(a). 
│ │ │ +00058e20: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +00058e30: 4d2d 3728 6229 0a20 202d 2064 6973 6162  M-7(b).  - disab
│ │ │ +00058e40: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +00058e50: 6869 6768 5f73 6576 6572 6974 790a 2020  high_severity.  
│ │ │ +00058e60: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +00058e70: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +00058e80: 696f 6e0a 2020 2d20 6e6f 5f72 6562 6f6f  ion.  - no_reboo
│ │ │ +00058e90: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ +00058ea0: 6b61 6765 5f74 656c 6e65 7464 2d73 736c  kage_telnetd-ssl
│ │ │ +00058eb0: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ +00058ec0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +00058ed0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +00058ee0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +00058ef0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +00058f00: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │ +00058f10: 3834 3622 2074 6162 696e 6465 783d 2230  846" tabindex="0
│ │ │ +00058f20: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +00058f30: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +00058f40: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +00058f50: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +00058f60: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +00058f70: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +00058f80: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00058f90: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00058fa0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00058fb0: 6170 7365 2220 6964 3d22 6964 6d39 3834  apse" id="idm984
│ │ │ +00058fc0: 3622 3e3c 7461 626c 6520 636c 6173 733d  6"><table class=
│ │ │ +00058fd0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +00058fe0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +00058ff0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00059000: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +00059010: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +00059020: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00059030: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +00059040: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00059050: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00059060: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00059070: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00059080: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00059090: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +000590a0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +000590b0: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ +000590c0: 7564 6520 7265 6d6f 7665 5f74 656c 6e65  ude remove_telne
│ │ │ +000590d0: 7464 2d73 736c 0a0a 636c 6173 7320 7265  td-ssl..class re
│ │ │ +000590e0: 6d6f 7665 5f74 656c 6e65 7464 2d73 736c  move_telnetd-ssl
│ │ │ +000590f0: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +00059100: 7465 6c6e 6574 642d 7373 6c27 3a0a 2020  telnetd-ssl':.  
│ │ │ +00059110: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +00059120: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │  00059130: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  00059140: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │  00059150: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │  00059160: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │  00059170: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  00059180: 2223 6964 6d39 3834 3722 2074 6162 696e  "#idm9847" tabin
│ │ │  00059190: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ @@ -23066,91 +23066,91 @@
│ │ │  0005a190: 6765 743d 2223 6964 6d39 3934 3522 2074  get="#idm9945" t
│ │ │  0005a1a0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  0005a1b0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  0005a1c0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  0005a1d0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  0005a1e0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  0005a1f0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -0005a200: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -0005a210: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -0005a220: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -0005a230: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -0005a240: 6964 3d22 6964 6d39 3934 3522 3e3c 7461  id="idm9945"><ta
│ │ │ -0005a250: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -0005a260: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -0005a270: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -0005a280: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -0005a290: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -0005a2a0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -0005a2b0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0005a2c0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -0005a2d0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0005a2e0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -0005a2f0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -0005a300: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0005a310: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -0005a320: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -0005a330: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -0005a340: 3c63 6f64 653e 696e 636c 7564 6520 7265  <code>include re
│ │ │ -0005a350: 6d6f 7665 5f74 656c 6e65 7464 0a0a 636c  move_telnetd..cl
│ │ │ -0005a360: 6173 7320 7265 6d6f 7665 5f74 656c 6e65  ass remove_telne
│ │ │ -0005a370: 7464 207b 0a20 2070 6163 6b61 6765 207b  td {.  package {
│ │ │ -0005a380: 2027 7465 6c6e 6574 6427 3a0a 2020 2020   'telnetd':.    
│ │ │ -0005a390: 656e 7375 7265 203d 2667 743b 2027 7075  ensure =&gt; 'pu
│ │ │ -0005a3a0: 7267 6564 272c 0a20 207d 0a7d 0a3c 2f63  rged',.  }.}.</c
│ │ │ -0005a3b0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -0005a3c0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -0005a3d0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -0005a3e0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -0005a3f0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -0005a400: 6964 6d39 3934 3622 2074 6162 696e 6465  idm9946" tabinde
│ │ │ -0005a410: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -0005a420: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -0005a430: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -0005a440: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -0005a450: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0005a460: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -0005a470: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -0005a480: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0005a490: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0005a4a0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0005a4b0: 646d 3939 3436 223e 3c74 6162 6c65 2063  dm9946"><table c
│ │ │ -0005a4c0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -0005a4d0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -0005a4e0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -0005a4f0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -0005a500: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -0005a510: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0005a520: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -0005a530: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -0005a540: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0005a550: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -0005a560: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -0005a570: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -0005a580: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -0005a590: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0005a5a0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0005a5b0: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ -0005a5c0: 7465 6c6e 6574 6420 6973 2072 656d 6f76  telnetd is remov
│ │ │ -0005a5d0: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ -0005a5e0: 2020 6e61 6d65 3a20 7465 6c6e 6574 640a    name: telnetd.
│ │ │ -0005a5f0: 2020 2020 7374 6174 653a 2061 6273 656e      state: absen
│ │ │ -0005a600: 740a 2020 7461 6773 3a0a 2020 2d20 4e49  t.  tags:.  - NI
│ │ │ -0005a610: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -0005a620: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -0005a630: 332d 434d 2d37 2861 290a 2020 2d20 4e49  3-CM-7(a).  - NI
│ │ │ -0005a640: 5354 2d38 3030 2d35 332d 434d 2d37 2862  ST-800-53-CM-7(b
│ │ │ -0005a650: 290a 2020 2d20 6469 7361 626c 655f 7374  ).  - disable_st
│ │ │ -0005a660: 7261 7465 6779 0a20 202d 2068 6967 685f  rategy.  - high_
│ │ │ -0005a670: 7365 7665 7269 7479 0a20 202d 206c 6f77  severity.  - low
│ │ │ -0005a680: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -0005a690: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -0005a6a0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -0005a6b0: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ -0005a6c0: 7465 6c6e 6574 645f 7265 6d6f 7665 640a  telnetd_removed.
│ │ │ +0005a200: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +0005a210: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +0005a220: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +0005a230: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +0005a240: 2069 643d 2269 646d 3939 3435 223e 3c74   id="idm9945"><t
│ │ │ +0005a250: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +0005a260: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +0005a270: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +0005a280: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +0005a290: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +0005a2a0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +0005a2b0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0005a2c0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +0005a2d0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0005a2e0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +0005a2f0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +0005a300: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0005a310: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +0005a320: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +0005a330: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +0005a340: 3e3c 636f 6465 3e2d 206e 616d 653a 2045  ><code>- name: E
│ │ │ +0005a350: 6e73 7572 6520 7465 6c6e 6574 6420 6973  nsure telnetd is
│ │ │ +0005a360: 2072 656d 6f76 6564 0a20 2070 6163 6b61   removed.  packa
│ │ │ +0005a370: 6765 3a0a 2020 2020 6e61 6d65 3a20 7465  ge:.    name: te
│ │ │ +0005a380: 6c6e 6574 640a 2020 2020 7374 6174 653a  lnetd.    state:
│ │ │ +0005a390: 2061 6273 656e 740a 2020 7461 6773 3a0a   absent.  tags:.
│ │ │ +0005a3a0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0005a3b0: 434d 2d36 2861 290a 2020 2d20 4e49 5354  CM-6(a).  - NIST
│ │ │ +0005a3c0: 2d38 3030 2d35 332d 434d 2d37 2861 290a  -800-53-CM-7(a).
│ │ │ +0005a3d0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0005a3e0: 434d 2d37 2862 290a 2020 2d20 6469 7361  CM-7(b).  - disa
│ │ │ +0005a3f0: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +0005a400: 2068 6967 685f 7365 7665 7269 7479 0a20   high_severity. 
│ │ │ +0005a410: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +0005a420: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +0005a430: 7469 6f6e 0a20 202d 206e 6f5f 7265 626f  tion.  - no_rebo
│ │ │ +0005a440: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ +0005a450: 636b 6167 655f 7465 6c6e 6574 645f 7265  ckage_telnetd_re
│ │ │ +0005a460: 6d6f 7665 640a 3c2f 636f 6465 3e3c 2f70  moved.</code></p
│ │ │ +0005a470: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +0005a480: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +0005a490: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +0005a4a0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +0005a4b0: 7461 7267 6574 3d22 2369 646d 3939 3436  target="#idm9946
│ │ │ +0005a4c0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +0005a4d0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +0005a4e0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +0005a4f0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +0005a500: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +0005a510: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +0005a520: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +0005a530: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +0005a540: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +0005a550: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +0005a560: 6522 2069 643d 2269 646d 3939 3436 223e  e" id="idm9946">
│ │ │ +0005a570: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +0005a580: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +0005a590: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +0005a5a0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +0005a5b0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +0005a5c0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +0005a5d0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0005a5e0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +0005a5f0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0005a600: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +0005a610: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +0005a620: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +0005a630: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +0005a640: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +0005a650: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +0005a660: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +0005a670: 2072 656d 6f76 655f 7465 6c6e 6574 640a   remove_telnetd.
│ │ │ +0005a680: 0a63 6c61 7373 2072 656d 6f76 655f 7465  .class remove_te
│ │ │ +0005a690: 6c6e 6574 6420 7b0a 2020 7061 636b 6167  lnetd {.  packag
│ │ │ +0005a6a0: 6520 7b20 2774 656c 6e65 7464 273a 0a20  e { 'telnetd':. 
│ │ │ +0005a6b0: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ +0005a6c0: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │  0005a6d0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  0005a6e0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │  0005a6f0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │  0005a700: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │  0005a710: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  0005a720: 3d22 2369 646d 3939 3437 2220 7461 6269  ="#idm9947" tabi
│ │ │  0005a730: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ ├── html2text {}
│ │ │ │ @@ -276,31 +276,14 @@
│ │ │ │              _d_i_s_a           CCI-001311, CCI-001312
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "syslog-ng"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_syslog-ng
│ │ │ │ -
│ │ │ │ -class install_syslog-ng {
│ │ │ │ -  package { 'syslog-ng':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -323,14 +306,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_syslogng_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_syslog-ng
│ │ │ │ +
│ │ │ │ +class install_syslog-ng {
│ │ │ │ +  package { 'syslog-ng':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "syslog-ng"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -360,31 +360,14 @@
│ │ │ │                             4.4.2.2, 4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["syslog-ng"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_syslog-ng
│ │ │ │ -
│ │ │ │ -class enable_syslog-ng {
│ │ │ │ -  service {'syslog-ng':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -420,14 +403,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_syslogng_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_syslog-ng
│ │ │ │ +
│ │ │ │ +class enable_syslog-ng {
│ │ │ │ +  service {'syslog-ng':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["syslog-ng"]
│ │ │ │  ****** RRuullee? ?  EEnnssuurree rrssyysslloogg iiss IInnssttaalllleedd ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Rsyslog is installed by default. The rsyslog package can be installed with the
│ │ │ │  following command:
│ │ │ │   $ apt-get install rsyslog
│ │ │ │  Rationale:  The rsyslog package provides the rsyslog daemon, which provides
│ │ │ │              system logging services.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -440,31 +440,14 @@
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000479-GPOS-00224, SRG-OS-000051-GPOS-00024,
│ │ │ │                             SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -487,14 +470,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsyslog_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -525,31 +525,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -585,14 +568,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]
│ │ │ │  Group   File Permissions and Masks   Group contains 2 groups and 12 rules
│ │ │ │  _[_r_e_f_]   Traditional Unix security relies heavily on file and directory
│ │ │ │  permissions to prevent unauthorized users from reading or modifying files to
│ │ │ │  which they should not have access.
│ │ │ │  
│ │ │ │  Several of the commands in this section search filesystems for files or
│ │ │ │  directories with certain characteristics, and are intended to be run on every
│ │ │ │ @@ -1566,26 +1566,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_inetutils-telnetd
│ │ │ │ -
│ │ │ │ -class remove_inetutils-telnetd {
│ │ │ │ -  package { 'inetutils-telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure inetutils-telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -1597,14 +1585,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_inetutils-telnetd_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_inetutils-telnetd
│ │ │ │ +
│ │ │ │ +class remove_inetutils-telnetd {
│ │ │ │ +  package { 'inetutils-telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove inetutils-telnetd
│ │ │ │ @@ -1617,26 +1617,14 @@
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The support for Yellowpages should not be installed unless it is required.
│ │ │ │             NIS is the historical SUN service for central account management,
│ │ │ │  Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │             security constraints, ACL, etc. and should not be used.
│ │ │ │  Severity:  low
│ │ │ │  Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_nis
│ │ │ │ -
│ │ │ │ -class remove_nis {
│ │ │ │ -  package { 'nis':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure nis is removed
│ │ │ │    package:
│ │ │ │ @@ -1645,14 +1633,26 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_nis_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_nis
│ │ │ │ +
│ │ │ │ +class remove_nis {
│ │ │ │ +  package { 'nis':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove nis
│ │ │ │ @@ -1683,26 +1683,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd-ssl
│ │ │ │ -
│ │ │ │ -class remove_telnetd-ssl {
│ │ │ │ -  package { 'telnetd-ssl':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd-ssl is removed
│ │ │ │    package:
│ │ │ │ @@ -1714,14 +1702,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd-ssl_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd-ssl
│ │ │ │ +
│ │ │ │ +class remove_telnetd-ssl {
│ │ │ │ +  package { 'telnetd-ssl':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnetd-ssl
│ │ │ │ @@ -1753,26 +1753,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd
│ │ │ │ -
│ │ │ │ -class remove_telnetd {
│ │ │ │ -  package { 'telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -1784,14 +1772,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd
│ │ │ │ +
│ │ │ │ +class remove_telnetd {
│ │ │ │ +  package { 'telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnetd
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian11-guide-anssi_np_nt28_restrictive.html
│ │ │ @@ -20663,129 +20663,129 @@
│ │ │  00050b60: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  00050b70: 2223 6964 6d35 3337 3622 2074 6162 696e  "#idm5376" tabin
│ │ │  00050b80: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  00050b90: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  00050ba0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  00050bb0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  00050bc0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00050bd0: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ -00050be0: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ -00050bf0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00050c00: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00050c10: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -00050c20: 6c61 7073 6522 2069 643d 2269 646d 3533  lapse" id="idm53
│ │ │ -00050c30: 3736 223e 3c70 7265 3e3c 636f 6465 3e0a  76"><pre><code>.
│ │ │ -00050c40: 5b5b 7061 636b 6167 6573 5d5d 0a6e 616d  [[packages]].nam
│ │ │ -00050c50: 6520 3d20 2273 7973 6c6f 672d 6e67 220a  e = "syslog-ng".
│ │ │ -00050c60: 7665 7273 696f 6e20 3d20 222a 220a 3c2f  version = "*".</
│ │ │ -00050c70: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00050c80: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00050c90: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00050ca0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00050cb0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00050cc0: 2369 646d 3533 3737 2220 7461 6269 6e64  #idm5377" tabind
│ │ │ -00050cd0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -00050ce0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -00050cf0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -00050d00: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -00050d10: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -00050d20: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ -00050d30: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ -00050d40: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -00050d50: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -00050d60: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -00050d70: 646d 3533 3737 223e 3c74 6162 6c65 2063  dm5377"><table c
│ │ │ -00050d80: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00050d90: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00050da0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00050db0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00050dc0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00050dd0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00050de0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00050df0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00050e00: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00050e10: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00050e20: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00050e30: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00050e40: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -00050e50: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00050e60: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00050e70: 696e 636c 7564 6520 696e 7374 616c 6c5f  include install_
│ │ │ -00050e80: 7379 736c 6f67 2d6e 670a 0a63 6c61 7373  syslog-ng..class
│ │ │ -00050e90: 2069 6e73 7461 6c6c 5f73 7973 6c6f 672d   install_syslog-
│ │ │ -00050ea0: 6e67 207b 0a20 2070 6163 6b61 6765 207b  ng {.  package {
│ │ │ -00050eb0: 2027 7379 736c 6f67 2d6e 6727 3a0a 2020   'syslog-ng':.  
│ │ │ -00050ec0: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -00050ed0: 696e 7374 616c 6c65 6427 2c0a 2020 7d0a  installed',.  }.
│ │ │ -00050ee0: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │ -00050ef0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -00050f00: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -00050f10: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -00050f20: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -00050f30: 6574 3d22 2369 646d 3533 3738 2220 7461  et="#idm5378" ta
│ │ │ -00050f40: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -00050f50: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -00050f60: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -00050f70: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -00050f80: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -00050f90: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00050fa0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ -00050fb0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00050fc0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00050fd0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00050fe0: 6964 3d22 6964 6d35 3337 3822 3e3c 7461  id="idm5378"><ta
│ │ │ -00050ff0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00051000: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00051010: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00051020: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00051030: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -00051040: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -00051050: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00051060: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -00051070: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00051080: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -00051090: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -000510a0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -000510b0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -000510c0: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ -000510d0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -000510e0: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ -000510f0: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ -00051100: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ -00051110: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ -00051120: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ -00051130: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00051140: 2d43 4d2d 3628 6129 0a20 202d 2065 6e61  -CM-6(a).  - ena
│ │ │ -00051150: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -00051160: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00051170: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00051180: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ -00051190: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ -000511a0: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -000511b0: 7061 636b 6167 655f 7379 736c 6f67 6e67  package_syslogng
│ │ │ -000511c0: 5f69 6e73 7461 6c6c 6564 0a0a 2d20 6e61  _installed..- na
│ │ │ -000511d0: 6d65 3a20 456e 7375 7265 2073 7973 6c6f  me: Ensure syslo
│ │ │ -000511e0: 672d 6e67 2069 7320 696e 7374 616c 6c65  g-ng is installe
│ │ │ -000511f0: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ -00051200: 206e 616d 653a 2073 7973 6c6f 672d 6e67   name: syslog-ng
│ │ │ -00051210: 0a20 2020 2073 7461 7465 3a20 7072 6573  .    state: pres
│ │ │ -00051220: 656e 740a 2020 7768 656e 3a20 2722 6c69  ent.  when: '"li
│ │ │ -00051230: 6e75 782d 6261 7365 2220 696e 2061 6e73  nux-base" in ans
│ │ │ -00051240: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ -00051250: 6765 7327 0a20 2074 6167 733a 0a20 202d  ges'.  tags:.  -
│ │ │ -00051260: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -00051270: 3628 6129 0a20 202d 2065 6e61 626c 655f  6(a).  - enable_
│ │ │ -00051280: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -00051290: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -000512a0: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -000512b0: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ -000512c0: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -000512d0: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -000512e0: 6167 655f 7379 736c 6f67 6e67 5f69 6e73  age_syslogng_ins
│ │ │ -000512f0: 7461 6c6c 6564 0a3c 2f63 6f64 653e 3c2f  talled.</code></
│ │ │ +00050bd0: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +00050be0: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +00050bf0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00050c00: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00050c10: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00050c20: 2269 646d 3533 3736 223e 3c74 6162 6c65  "idm5376"><table
│ │ │ +00050c30: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00050c40: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00050c50: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00050c60: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00050c70: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00050c80: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00050c90: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00050ca0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00050cb0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00050cc0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00050cd0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00050ce0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00050cf0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +00050d00: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +00050d10: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00050d20: 653e 2d20 6e61 6d65 3a20 4761 7468 6572  e>- name: Gather
│ │ │ +00050d30: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ +00050d40: 7473 0a20 2070 6163 6b61 6765 5f66 6163  ts.  package_fac
│ │ │ +00050d50: 7473 3a0a 2020 2020 6d61 6e61 6765 723a  ts:.    manager:
│ │ │ +00050d60: 2061 7574 6f0a 2020 7461 6773 3a0a 2020   auto.  tags:.  
│ │ │ +00050d70: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +00050d80: 2d36 2861 290a 2020 2d20 656e 6162 6c65  -6(a).  - enable
│ │ │ +00050d90: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +00050da0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +00050db0: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +00050dc0: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ +00050dd0: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ +00050de0: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ +00050df0: 6b61 6765 5f73 7973 6c6f 676e 675f 696e  kage_syslogng_in
│ │ │ +00050e00: 7374 616c 6c65 640a 0a2d 206e 616d 653a  stalled..- name:
│ │ │ +00050e10: 2045 6e73 7572 6520 7379 736c 6f67 2d6e   Ensure syslog-n
│ │ │ +00050e20: 6720 6973 2069 6e73 7461 6c6c 6564 0a20  g is installed. 
│ │ │ +00050e30: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +00050e40: 6d65 3a20 7379 736c 6f67 2d6e 670a 2020  me: syslog-ng.  
│ │ │ +00050e50: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ +00050e60: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ +00050e70: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ +00050e80: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ +00050e90: 270a 2020 7461 6773 3a0a 2020 2d20 4e49  '.  tags:.  - NI
│ │ │ +00050ea0: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +00050eb0: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ +00050ec0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +00050ed0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +00050ee0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +00050ef0: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +00050f00: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +00050f10: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +00050f20: 5f73 7973 6c6f 676e 675f 696e 7374 616c  _syslogng_instal
│ │ │ +00050f30: 6c65 640a 3c2f 636f 6465 3e3c 2f70 7265  led.</code></pre
│ │ │ +00050f40: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +00050f50: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +00050f60: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +00050f70: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +00050f80: 7267 6574 3d22 2369 646d 3533 3737 2220  rget="#idm5377" 
│ │ │ +00050f90: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +00050fa0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +00050fb0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +00050fc0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +00050fd0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +00050fe0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +00050ff0: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ +00051000: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00051010: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00051020: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00051030: 2069 643d 2269 646d 3533 3737 223e 3c74   id="idm5377"><t
│ │ │ +00051040: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +00051050: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00051060: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +00051070: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00051080: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00051090: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +000510a0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +000510b0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +000510c0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +000510d0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +000510e0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +000510f0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00051100: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00051110: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +00051120: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +00051130: 3c63 6f64 653e 696e 636c 7564 6520 696e  <code>include in
│ │ │ +00051140: 7374 616c 6c5f 7379 736c 6f67 2d6e 670a  stall_syslog-ng.
│ │ │ +00051150: 0a63 6c61 7373 2069 6e73 7461 6c6c 5f73  .class install_s
│ │ │ +00051160: 7973 6c6f 672d 6e67 207b 0a20 2070 6163  yslog-ng {.  pac
│ │ │ +00051170: 6b61 6765 207b 2027 7379 736c 6f67 2d6e  kage { 'syslog-n
│ │ │ +00051180: 6727 3a0a 2020 2020 656e 7375 7265 203d  g':.    ensure =
│ │ │ +00051190: 2667 743b 2027 696e 7374 616c 6c65 6427  &gt; 'installed'
│ │ │ +000511a0: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │ +000511b0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +000511c0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +000511d0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +000511e0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +000511f0: 612d 7461 7267 6574 3d22 2369 646d 3533  a-target="#idm53
│ │ │ +00051200: 3738 2220 7461 6269 6e64 6578 3d22 3022  78" tabindex="0"
│ │ │ +00051210: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +00051220: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +00051230: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +00051240: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +00051250: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +00051260: 6174 696f 6e20 4f53 4275 696c 6420 426c  ation OSBuild Bl
│ │ │ +00051270: 7565 7072 696e 7420 736e 6970 7065 7420  ueprint snippet 
│ │ │ +00051280: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00051290: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +000512a0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +000512b0: 6964 3d22 6964 6d35 3337 3822 3e3c 7072  id="idm5378"><pr
│ │ │ +000512c0: 653e 3c63 6f64 653e 0a5b 5b70 6163 6b61  e><code>.[[packa
│ │ │ +000512d0: 6765 735d 5d0a 6e61 6d65 203d 2022 7379  ges]].name = "sy
│ │ │ +000512e0: 736c 6f67 2d6e 6722 0a76 6572 7369 6f6e  slog-ng".version
│ │ │ +000512f0: 203d 2022 2a22 0a3c 2f63 6f64 653e 3c2f   = "*".</code></
│ │ │  00051300: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │  00051310: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │  00051320: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │  00051330: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │  00051340: 2d74 6172 6765 743d 2223 6964 6d35 3337  -target="#idm537
│ │ │  00051350: 3922 2074 6162 696e 6465 783d 2230 2220  9" tabindex="0" 
│ │ │  00051360: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ @@ -21051,151 +21051,151 @@
│ │ │  000523a0: 7461 2d74 6172 6765 743d 2223 6964 6d35  ta-target="#idm5
│ │ │  000523b0: 3436 3322 2074 6162 696e 6465 783d 2230  463" tabindex="0
│ │ │  000523c0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  000523d0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  000523e0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  000523f0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  00052400: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00052410: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ -00052420: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ -00052430: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00052440: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00052450: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00052460: 2069 643d 2269 646d 3534 3633 223e 3c70   id="idm5463"><p
│ │ │ -00052470: 7265 3e3c 636f 6465 3e0a 5b63 7573 746f  re><code>.[custo
│ │ │ -00052480: 6d69 7a61 7469 6f6e 732e 7365 7276 6963  mizations.servic
│ │ │ -00052490: 6573 5d0a 656e 6162 6c65 6420 3d20 5b22  es].enabled = ["
│ │ │ -000524a0: 7379 736c 6f67 2d6e 6722 5d0a 3c2f 636f  syslog-ng"].</co
│ │ │ -000524b0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -000524c0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -000524d0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -000524e0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -000524f0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00052500: 646d 3534 3634 2220 7461 6269 6e64 6578  dm5464" tabindex
│ │ │ -00052510: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00052520: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00052530: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00052540: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00052550: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00052560: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -00052570: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00052580: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00052590: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -000525a0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -000525b0: 3534 3634 223e 3c74 6162 6c65 2063 6c61  5464"><table cla
│ │ │ -000525c0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -000525d0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -000525e0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -000525f0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00052600: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00052610: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00052620: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00052630: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00052640: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00052650: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00052660: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00052670: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00052680: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -00052690: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -000526a0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -000526b0: 636c 7564 6520 656e 6162 6c65 5f73 7973  clude enable_sys
│ │ │ -000526c0: 6c6f 672d 6e67 0a0a 636c 6173 7320 656e  log-ng..class en
│ │ │ -000526d0: 6162 6c65 5f73 7973 6c6f 672d 6e67 207b  able_syslog-ng {
│ │ │ -000526e0: 0a20 2073 6572 7669 6365 207b 2773 7973  .  service {'sys
│ │ │ -000526f0: 6c6f 672d 6e67 273a 0a20 2020 2065 6e61  log-ng':.    ena
│ │ │ -00052700: 626c 6520 3d26 6774 3b20 7472 7565 2c0a  ble =&gt; true,.
│ │ │ -00052710: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ -00052720: 2027 7275 6e6e 696e 6727 2c0a 2020 7d0a   'running',.  }.
│ │ │ -00052730: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │ -00052740: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -00052750: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -00052760: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -00052770: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -00052780: 6574 3d22 2369 646d 3534 3635 2220 7461  et="#idm5465" ta
│ │ │ -00052790: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -000527a0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -000527b0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -000527c0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -000527d0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -000527e0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -000527f0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ -00052800: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00052810: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00052820: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00052830: 6964 3d22 6964 6d35 3436 3522 3e3c 7461  id="idm5465"><ta
│ │ │ -00052840: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00052850: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00052860: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00052870: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00052880: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -00052890: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -000528a0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -000528b0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -000528c0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -000528d0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -000528e0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -000528f0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00052900: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -00052910: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ -00052920: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -00052930: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ -00052940: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ -00052950: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ -00052960: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ -00052970: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ -00052980: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00052990: 2d41 552d 3428 3129 0a20 202d 204e 4953  -AU-4(1).  - NIS
│ │ │ -000529a0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -000529b0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ -000529c0: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -000529d0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -000529e0: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ -000529f0: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ -00052a00: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -00052a10: 6465 640a 2020 2d20 7365 7276 6963 655f  ded.  - service_
│ │ │ -00052a20: 7379 736c 6f67 6e67 5f65 6e61 626c 6564  syslogng_enabled
│ │ │ -00052a30: 0a0a 2d20 6e61 6d65 3a20 456e 6162 6c65  ..- name: Enable
│ │ │ -00052a40: 2073 7973 6c6f 672d 6e67 2053 6572 7669   syslog-ng Servi
│ │ │ -00052a50: 6365 202d 2045 6e61 626c 6520 7365 7276  ce - Enable serv
│ │ │ -00052a60: 6963 6520 7379 736c 6f67 2d6e 670a 2020  ice syslog-ng.  
│ │ │ -00052a70: 626c 6f63 6b3a 0a0a 2020 2d20 6e61 6d65  block:..  - name
│ │ │ -00052a80: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ -00052a90: 6b61 6765 2066 6163 7473 0a20 2020 2070  kage facts.    p
│ │ │ -00052aa0: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ -00052ab0: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ -00052ac0: 6f0a 0a20 202d 206e 616d 653a 2045 6e61  o..  - name: Ena
│ │ │ -00052ad0: 626c 6520 7379 736c 6f67 2d6e 6720 5365  ble syslog-ng Se
│ │ │ -00052ae0: 7276 6963 6520 2d20 456e 6162 6c65 2053  rvice - Enable S
│ │ │ -00052af0: 6572 7669 6365 2073 7973 6c6f 672d 6e67  ervice syslog-ng
│ │ │ -00052b00: 0a20 2020 2061 6e73 6962 6c65 2e62 7569  .    ansible.bui
│ │ │ -00052b10: 6c74 696e 2e73 7973 7465 6d64 3a0a 2020  ltin.systemd:.  
│ │ │ -00052b20: 2020 2020 6e61 6d65 3a20 7379 736c 6f67      name: syslog
│ │ │ -00052b30: 2d6e 670a 2020 2020 2020 656e 6162 6c65  -ng.      enable
│ │ │ -00052b40: 643a 2074 7275 650a 2020 2020 2020 7374  d: true.      st
│ │ │ -00052b50: 6174 653a 2073 7461 7274 6564 0a20 2020  ate: started.   
│ │ │ -00052b60: 2020 206d 6173 6b65 643a 2066 616c 7365     masked: false
│ │ │ -00052b70: 0a20 2020 2077 6865 6e3a 0a20 2020 202d  .    when:.    -
│ │ │ -00052b80: 2027 2273 7973 6c6f 672d 6e67 2220 696e   '"syslog-ng" in
│ │ │ -00052b90: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -00052ba0: 6163 6b61 6765 7327 0a20 2077 6865 6e3a  ackages'.  when:
│ │ │ -00052bb0: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ -00052bc0: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ -00052bd0: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ -00052be0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -00052bf0: 332d 4155 2d34 2831 290a 2020 2d20 4e49  3-AU-4(1).  - NI
│ │ │ -00052c00: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -00052c10: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ -00052c20: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -00052c30: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -00052c40: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -00052c50: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -00052c60: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -00052c70: 6564 6564 0a20 202d 2073 6572 7669 6365  eded.  - service
│ │ │ -00052c80: 5f73 7973 6c6f 676e 675f 656e 6162 6c65  _syslogng_enable
│ │ │ -00052c90: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +00052410: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +00052420: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00052430: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00052440: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00052450: 6c61 7073 6522 2069 643d 2269 646d 3534  lapse" id="idm54
│ │ │ +00052460: 3633 223e 3c74 6162 6c65 2063 6c61 7373  63"><table class
│ │ │ +00052470: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00052480: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00052490: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +000524a0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +000524b0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +000524c0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +000524d0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +000524e0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +000524f0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00052500: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00052510: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00052520: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00052530: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +00052540: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00052550: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +00052560: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ +00052570: 6163 6b61 6765 2066 6163 7473 0a20 2070  ackage facts.  p
│ │ │ +00052580: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ +00052590: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ +000525a0: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +000525b0: 2d38 3030 2d35 332d 4155 2d34 2831 290a  -800-53-AU-4(1).
│ │ │ +000525c0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +000525d0: 434d 2d36 2861 290a 2020 2d20 656e 6162  CM-6(a).  - enab
│ │ │ +000525e0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +000525f0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +00052600: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +00052610: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +00052620: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +00052630: 6f6f 745f 6e65 6564 6564 0a20 202d 2073  oot_needed.  - s
│ │ │ +00052640: 6572 7669 6365 5f73 7973 6c6f 676e 675f  ervice_syslogng_
│ │ │ +00052650: 656e 6162 6c65 640a 0a2d 206e 616d 653a  enabled..- name:
│ │ │ +00052660: 2045 6e61 626c 6520 7379 736c 6f67 2d6e   Enable syslog-n
│ │ │ +00052670: 6720 5365 7276 6963 6520 2d20 456e 6162  g Service - Enab
│ │ │ +00052680: 6c65 2073 6572 7669 6365 2073 7973 6c6f  le service syslo
│ │ │ +00052690: 672d 6e67 0a20 2062 6c6f 636b 3a0a 0a20  g-ng.  block:.. 
│ │ │ +000526a0: 202d 206e 616d 653a 2047 6174 6865 7220   - name: Gather 
│ │ │ +000526b0: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ +000526c0: 730a 2020 2020 7061 636b 6167 655f 6661  s.    package_fa
│ │ │ +000526d0: 6374 733a 0a20 2020 2020 206d 616e 6167  cts:.      manag
│ │ │ +000526e0: 6572 3a20 6175 746f 0a0a 2020 2d20 6e61  er: auto..  - na
│ │ │ +000526f0: 6d65 3a20 456e 6162 6c65 2073 7973 6c6f  me: Enable syslo
│ │ │ +00052700: 672d 6e67 2053 6572 7669 6365 202d 2045  g-ng Service - E
│ │ │ +00052710: 6e61 626c 6520 5365 7276 6963 6520 7379  nable Service sy
│ │ │ +00052720: 736c 6f67 2d6e 670a 2020 2020 616e 7369  slog-ng.    ansi
│ │ │ +00052730: 626c 652e 6275 696c 7469 6e2e 7379 7374  ble.builtin.syst
│ │ │ +00052740: 656d 643a 0a20 2020 2020 206e 616d 653a  emd:.      name:
│ │ │ +00052750: 2073 7973 6c6f 672d 6e67 0a20 2020 2020   syslog-ng.     
│ │ │ +00052760: 2065 6e61 626c 6564 3a20 7472 7565 0a20   enabled: true. 
│ │ │ +00052770: 2020 2020 2073 7461 7465 3a20 7374 6172       state: star
│ │ │ +00052780: 7465 640a 2020 2020 2020 6d61 736b 6564  ted.      masked
│ │ │ +00052790: 3a20 6661 6c73 650a 2020 2020 7768 656e  : false.    when
│ │ │ +000527a0: 3a0a 2020 2020 2d20 2722 7379 736c 6f67  :.    - '"syslog
│ │ │ +000527b0: 2d6e 6722 2069 6e20 616e 7369 626c 655f  -ng" in ansible_
│ │ │ +000527c0: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +000527d0: 2020 7768 656e 3a20 2722 6c69 6e75 782d    when: '"linux-
│ │ │ +000527e0: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ +000527f0: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ +00052800: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +00052810: 542d 3830 302d 3533 2d41 552d 3428 3129  T-800-53-AU-4(1)
│ │ │ +00052820: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00052830: 2d43 4d2d 3628 6129 0a20 202d 2065 6e61  -CM-6(a).  - ena
│ │ │ +00052840: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +00052850: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +00052860: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +00052870: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ +00052880: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +00052890: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +000528a0: 7365 7276 6963 655f 7379 736c 6f67 6e67  service_syslogng
│ │ │ +000528b0: 5f65 6e61 626c 6564 0a3c 2f63 6f64 653e  _enabled.</code>
│ │ │ +000528c0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +000528d0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +000528e0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +000528f0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +00052900: 7461 2d74 6172 6765 743d 2223 6964 6d35  ta-target="#idm5
│ │ │ +00052910: 3436 3422 2074 6162 696e 6465 783d 2230  464" tabindex="0
│ │ │ +00052920: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +00052930: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +00052940: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +00052950: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +00052960: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +00052970: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +00052980: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00052990: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +000529a0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +000529b0: 6170 7365 2220 6964 3d22 6964 6d35 3436  apse" id="idm546
│ │ │ +000529c0: 3422 3e3c 7461 626c 6520 636c 6173 733d  4"><table class=
│ │ │ +000529d0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +000529e0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +000529f0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00052a00: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +00052a10: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +00052a20: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00052a30: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +00052a40: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00052a50: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00052a60: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00052a70: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00052a80: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00052a90: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ +00052aa0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +00052ab0: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ +00052ac0: 6465 2065 6e61 626c 655f 7379 736c 6f67  de enable_syslog
│ │ │ +00052ad0: 2d6e 670a 0a63 6c61 7373 2065 6e61 626c  -ng..class enabl
│ │ │ +00052ae0: 655f 7379 736c 6f67 2d6e 6720 7b0a 2020  e_syslog-ng {.  
│ │ │ +00052af0: 7365 7276 6963 6520 7b27 7379 736c 6f67  service {'syslog
│ │ │ +00052b00: 2d6e 6727 3a0a 2020 2020 656e 6162 6c65  -ng':.    enable
│ │ │ +00052b10: 203d 2667 743b 2074 7275 652c 0a20 2020   =&gt; true,.   
│ │ │ +00052b20: 2065 6e73 7572 6520 3d26 6774 3b20 2772   ensure =&gt; 'r
│ │ │ +00052b30: 756e 6e69 6e67 272c 0a20 207d 0a7d 0a3c  unning',.  }.}.<
│ │ │ +00052b40: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +00052b50: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +00052b60: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +00052b70: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +00052b80: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +00052b90: 2223 6964 6d35 3436 3522 2074 6162 696e  "#idm5465" tabin
│ │ │ +00052ba0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00052bb0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00052bc0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00052bd0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00052be0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00052bf0: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ +00052c00: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ +00052c10: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00052c20: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00052c30: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00052c40: 6c61 7073 6522 2069 643d 2269 646d 3534  lapse" id="idm54
│ │ │ +00052c50: 3635 223e 3c70 7265 3e3c 636f 6465 3e0a  65"><pre><code>.
│ │ │ +00052c60: 5b63 7573 746f 6d69 7a61 7469 6f6e 732e  [customizations.
│ │ │ +00052c70: 7365 7276 6963 6573 5d0a 656e 6162 6c65  services].enable
│ │ │ +00052c80: 6420 3d20 5b22 7379 736c 6f67 2d6e 6722  d = ["syslog-ng"
│ │ │ +00052c90: 5d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ].</code></pre><
│ │ │  00052ca0: 2f64 6976 3e3c 2f64 6976 3e3c 2f74 643e  /div></div></td>
│ │ │  00052cb0: 3c2f 7472 3e3c 2f74 626f 6479 3e3c 2f74  </tr></tbody></t
│ │ │  00052cc0: 6162 6c65 3e3c 2f74 643e 3c2f 7472 3e3c  able></td></tr><
│ │ │  00052cd0: 7472 2064 6174 612d 7474 2d69 643d 2278  tr data-tt-id="x
│ │ │  00052ce0: 6363 6466 5f6f 7267 2e73 7367 7072 6f6a  ccdf_org.ssgproj
│ │ │  00052cf0: 6563 742e 636f 6e74 656e 745f 7275 6c65  ect.content_rule
│ │ │  00052d00: 5f70 6163 6b61 6765 5f72 7379 736c 6f67  _package_rsyslog
│ │ │ @@ -21402,128 +21402,128 @@
│ │ │  00053990: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  000539a0: 3d22 2369 646d 3438 3337 2220 7461 6269  ="#idm4837" tabi
│ │ │  000539b0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │  000539c0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │  000539d0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │  000539e0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │  000539f0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00053a00: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ -00053a10: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ -00053a20: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00053a30: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00053a40: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00053a50: 6c6c 6170 7365 2220 6964 3d22 6964 6d34  llapse" id="idm4
│ │ │ -00053a60: 3833 3722 3e3c 7072 653e 3c63 6f64 653e  837"><pre><code>
│ │ │ -00053a70: 0a5b 5b70 6163 6b61 6765 735d 5d0a 6e61  .[[packages]].na
│ │ │ -00053a80: 6d65 203d 2022 7273 7973 6c6f 6722 0a76  me = "rsyslog".v
│ │ │ -00053a90: 6572 7369 6f6e 203d 2022 2a22 0a3c 2f63  ersion = "*".</c
│ │ │ -00053aa0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -00053ab0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -00053ac0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -00053ad0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -00053ae0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -00053af0: 6964 6d34 3833 3822 2074 6162 696e 6465  idm4838" tabinde
│ │ │ -00053b00: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -00053b10: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -00053b20: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -00053b30: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -00053b40: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00053b50: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -00053b60: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -00053b70: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00053b80: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00053b90: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00053ba0: 6d34 3833 3822 3e3c 7461 626c 6520 636c  m4838"><table cl
│ │ │ -00053bb0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00053bc0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00053bd0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00053be0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00053bf0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00053c00: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00053c10: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00053c20: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00053c30: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00053c40: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00053c50: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00053c60: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00053c70: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -00053c80: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00053c90: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ -00053ca0: 6e63 6c75 6465 2069 6e73 7461 6c6c 5f72  nclude install_r
│ │ │ -00053cb0: 7379 736c 6f67 0a0a 636c 6173 7320 696e  syslog..class in
│ │ │ -00053cc0: 7374 616c 6c5f 7273 7973 6c6f 6720 7b0a  stall_rsyslog {.
│ │ │ -00053cd0: 2020 7061 636b 6167 6520 7b20 2772 7379    package { 'rsy
│ │ │ -00053ce0: 736c 6f67 273a 0a20 2020 2065 6e73 7572  slog':.    ensur
│ │ │ -00053cf0: 6520 3d26 6774 3b20 2769 6e73 7461 6c6c  e =&gt; 'install
│ │ │ -00053d00: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ -00053d10: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -00053d20: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -00053d30: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -00053d40: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -00053d50: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -00053d60: 6d34 3833 3922 2074 6162 696e 6465 783d  m4839" tabindex=
│ │ │ -00053d70: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -00053d80: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -00053d90: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00053da0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00053db0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00053dc0: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ -00053dd0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00053de0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00053df0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00053e00: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00053e10: 3438 3339 223e 3c74 6162 6c65 2063 6c61  4839"><table cla
│ │ │ -00053e20: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00053e30: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00053e40: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00053e50: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00053e60: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00053e70: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00053e80: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00053e90: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00053ea0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00053eb0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00053ec0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00053ed0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00053ee0: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -00053ef0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00053f00: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ -00053f10: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ -00053f20: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ -00053f30: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ -00053f40: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ -00053f50: 6f0a 2020 7461 6773 3a0a 2020 2d20 4e49  o.  tags:.  - NI
│ │ │ -00053f60: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -00053f70: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ -00053f80: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -00053f90: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -00053fa0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -00053fb0: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -00053fc0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -00053fd0: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -00053fe0: 5f72 7379 736c 6f67 5f69 6e73 7461 6c6c  _rsyslog_install
│ │ │ -00053ff0: 6564 0a0a 2d20 6e61 6d65 3a20 456e 7375  ed..- name: Ensu
│ │ │ -00054000: 7265 2072 7379 736c 6f67 2069 7320 696e  re rsyslog is in
│ │ │ -00054010: 7374 616c 6c65 640a 2020 7061 636b 6167  stalled.  packag
│ │ │ -00054020: 653a 0a20 2020 206e 616d 653a 2072 7379  e:.    name: rsy
│ │ │ -00054030: 736c 6f67 0a20 2020 2073 7461 7465 3a20  slog.    state: 
│ │ │ -00054040: 7072 6573 656e 740a 2020 7768 656e 3a20  present.  when: 
│ │ │ -00054050: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ -00054060: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -00054070: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ -00054080: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00054090: 2d43 4d2d 3628 6129 0a20 202d 2065 6e61  -CM-6(a).  - ena
│ │ │ -000540a0: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -000540b0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -000540c0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -000540d0: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ -000540e0: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ -000540f0: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -00054100: 7061 636b 6167 655f 7273 7973 6c6f 675f  package_rsyslog_
│ │ │ -00054110: 696e 7374 616c 6c65 640a 3c2f 636f 6465  installed.</code
│ │ │ +00053a00: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ +00053a10: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ +00053a20: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00053a30: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00053a40: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00053a50: 3d22 6964 6d34 3833 3722 3e3c 7461 626c  ="idm4837"><tabl
│ │ │ +00053a60: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +00053a70: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +00053a80: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +00053a90: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +00053aa0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +00053ab0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00053ac0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +00053ad0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +00053ae0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00053af0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +00053b00: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +00053b10: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +00053b20: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00053b30: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ +00053b40: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00053b50: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ +00053b60: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ +00053b70: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ +00053b80: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ +00053b90: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ +00053ba0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +00053bb0: 4d2d 3628 6129 0a20 202d 2065 6e61 626c  M-6(a).  - enabl
│ │ │ +00053bc0: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +00053bd0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +00053be0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +00053bf0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ +00053c00: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ +00053c10: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ +00053c20: 636b 6167 655f 7273 7973 6c6f 675f 696e  ckage_rsyslog_in
│ │ │ +00053c30: 7374 616c 6c65 640a 0a2d 206e 616d 653a  stalled..- name:
│ │ │ +00053c40: 2045 6e73 7572 6520 7273 7973 6c6f 6720   Ensure rsyslog 
│ │ │ +00053c50: 6973 2069 6e73 7461 6c6c 6564 0a20 2070  is installed.  p
│ │ │ +00053c60: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ +00053c70: 3a20 7273 7973 6c6f 670a 2020 2020 7374  : rsyslog.    st
│ │ │ +00053c80: 6174 653a 2070 7265 7365 6e74 0a20 2077  ate: present.  w
│ │ │ +00053c90: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ +00053ca0: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ +00053cb0: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ +00053cc0: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +00053cd0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +00053ce0: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +00053cf0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00053d00: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00053d10: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +00053d20: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +00053d30: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +00053d40: 0a20 202d 2070 6163 6b61 6765 5f72 7379  .  - package_rsy
│ │ │ +00053d50: 736c 6f67 5f69 6e73 7461 6c6c 6564 0a3c  slog_installed.<
│ │ │ +00053d60: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +00053d70: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +00053d80: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +00053d90: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +00053da0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +00053db0: 2223 6964 6d34 3833 3822 2074 6162 696e  "#idm4838" tabin
│ │ │ +00053dc0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00053dd0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00053de0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00053df0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00053e00: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00053e10: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +00053e20: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +00053e30: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00053e40: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00053e50: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00053e60: 6964 6d34 3833 3822 3e3c 7461 626c 6520  idm4838"><table 
│ │ │ +00053e70: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +00053e80: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +00053e90: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +00053ea0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +00053eb0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +00053ec0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00053ed0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +00053ee0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +00053ef0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00053f00: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +00053f10: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +00053f20: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +00053f30: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ +00053f40: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00053f50: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +00053f60: 3e69 6e63 6c75 6465 2069 6e73 7461 6c6c  >include install
│ │ │ +00053f70: 5f72 7379 736c 6f67 0a0a 636c 6173 7320  _rsyslog..class 
│ │ │ +00053f80: 696e 7374 616c 6c5f 7273 7973 6c6f 6720  install_rsyslog 
│ │ │ +00053f90: 7b0a 2020 7061 636b 6167 6520 7b20 2772  {.  package { 'r
│ │ │ +00053fa0: 7379 736c 6f67 273a 0a20 2020 2065 6e73  syslog':.    ens
│ │ │ +00053fb0: 7572 6520 3d26 6774 3b20 2769 6e73 7461  ure =&gt; 'insta
│ │ │ +00053fc0: 6c6c 6564 272c 0a20 207d 0a7d 0a3c 2f63  lled',.  }.}.</c
│ │ │ +00053fd0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +00053fe0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +00053ff0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +00054000: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +00054010: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +00054020: 6964 6d34 3833 3922 2074 6162 696e 6465  idm4839" tabinde
│ │ │ +00054030: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +00054040: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +00054050: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +00054060: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +00054070: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +00054080: 656d 6564 6961 7469 6f6e 204f 5342 7569  emediation OSBui
│ │ │ +00054090: 6c64 2042 6c75 6570 7269 6e74 2073 6e69  ld Blueprint sni
│ │ │ +000540a0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +000540b0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +000540c0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +000540d0: 7073 6522 2069 643d 2269 646d 3438 3339  pse" id="idm4839
│ │ │ +000540e0: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b5b  "><pre><code>.[[
│ │ │ +000540f0: 7061 636b 6167 6573 5d5d 0a6e 616d 6520  packages]].name 
│ │ │ +00054100: 3d20 2272 7379 736c 6f67 220a 7665 7273  = "rsyslog".vers
│ │ │ +00054110: 696f 6e20 3d20 222a 220a 3c2f 636f 6465  ion = "*".</code
│ │ │  00054120: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │  00054130: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │  00054140: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │  00054150: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │  00054160: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  00054170: 3438 3430 2220 7461 6269 6e64 6578 3d22  4840" tabindex="
│ │ │  00054180: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ @@ -21803,149 +21803,149 @@
│ │ │  000552a0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  000552b0: 6d34 3932 3322 2074 6162 696e 6465 783d  m4923" tabindex=
│ │ │  000552c0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │  000552d0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │  000552e0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │  000552f0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │  00055300: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00055310: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ -00055320: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ -00055330: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -00055340: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00055350: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -00055360: 6522 2069 643d 2269 646d 3439 3233 223e  e" id="idm4923">
│ │ │ -00055370: 3c70 7265 3e3c 636f 6465 3e0a 5b63 7573  <pre><code>.[cus
│ │ │ -00055380: 746f 6d69 7a61 7469 6f6e 732e 7365 7276  tomizations.serv
│ │ │ -00055390: 6963 6573 5d0a 656e 6162 6c65 6420 3d20  ices].enabled = 
│ │ │ -000553a0: 5b22 7273 7973 6c6f 6722 5d0a 3c2f 636f  ["rsyslog"].</co
│ │ │ -000553b0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -000553c0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -000553d0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -000553e0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -000553f0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00055400: 646d 3439 3234 2220 7461 6269 6e64 6578  dm4924" tabindex
│ │ │ -00055410: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00055420: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00055430: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00055440: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00055450: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00055460: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -00055470: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00055480: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00055490: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -000554a0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -000554b0: 3439 3234 223e 3c74 6162 6c65 2063 6c61  4924"><table cla
│ │ │ -000554c0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -000554d0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -000554e0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -000554f0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00055500: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00055510: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00055520: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00055530: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00055540: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00055550: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00055560: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00055570: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00055580: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -00055590: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -000555a0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -000555b0: 636c 7564 6520 656e 6162 6c65 5f72 7379  clude enable_rsy
│ │ │ -000555c0: 736c 6f67 0a0a 636c 6173 7320 656e 6162  slog..class enab
│ │ │ -000555d0: 6c65 5f72 7379 736c 6f67 207b 0a20 2073  le_rsyslog {.  s
│ │ │ -000555e0: 6572 7669 6365 207b 2772 7379 736c 6f67  ervice {'rsyslog
│ │ │ -000555f0: 273a 0a20 2020 2065 6e61 626c 6520 3d26  ':.    enable =&
│ │ │ -00055600: 6774 3b20 7472 7565 2c0a 2020 2020 656e  gt; true,.    en
│ │ │ -00055610: 7375 7265 203d 2667 743b 2027 7275 6e6e  sure =&gt; 'runn
│ │ │ -00055620: 696e 6727 2c0a 2020 7d0a 7d0a 3c2f 636f  ing',.  }.}.</co
│ │ │ -00055630: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -00055640: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -00055650: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -00055660: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -00055670: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00055680: 646d 3439 3235 2220 7461 6269 6e64 6578  dm4925" tabindex
│ │ │ -00055690: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -000556a0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -000556b0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -000556c0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -000556d0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -000556e0: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -000556f0: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -00055700: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00055710: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00055720: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00055730: 6d34 3932 3522 3e3c 7461 626c 6520 636c  m4925"><table cl
│ │ │ -00055740: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00055750: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00055760: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00055770: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00055780: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00055790: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -000557a0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -000557b0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -000557c0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -000557d0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -000557e0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -000557f0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00055800: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -00055810: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00055820: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -00055830: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ -00055840: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ -00055850: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ -00055860: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ -00055870: 746f 0a20 2074 6167 733a 0a20 202d 204e  to.  tags:.  - N
│ │ │ -00055880: 4953 542d 3830 302d 3533 2d41 552d 3428  IST-800-53-AU-4(
│ │ │ -00055890: 3129 0a20 202d 204e 4953 542d 3830 302d  1).  - NIST-800-
│ │ │ -000558a0: 3533 2d43 4d2d 3628 6129 0a20 202d 2065  53-CM-6(a).  - e
│ │ │ -000558b0: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -000558c0: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -000558d0: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -000558e0: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -000558f0: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -00055900: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -00055910: 2d20 7365 7276 6963 655f 7273 7973 6c6f  - service_rsyslo
│ │ │ -00055920: 675f 656e 6162 6c65 640a 0a2d 206e 616d  g_enabled..- nam
│ │ │ -00055930: 653a 2045 6e61 626c 6520 7273 7973 6c6f  e: Enable rsyslo
│ │ │ -00055940: 6720 5365 7276 6963 6520 2d20 456e 6162  g Service - Enab
│ │ │ -00055950: 6c65 2073 6572 7669 6365 2072 7379 736c  le service rsysl
│ │ │ -00055960: 6f67 0a20 2062 6c6f 636b 3a0a 0a20 202d  og.  block:..  -
│ │ │ -00055970: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ -00055980: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ -00055990: 2020 2020 7061 636b 6167 655f 6661 6374      package_fact
│ │ │ -000559a0: 733a 0a20 2020 2020 206d 616e 6167 6572  s:.      manager
│ │ │ -000559b0: 3a20 6175 746f 0a0a 2020 2d20 6e61 6d65  : auto..  - name
│ │ │ -000559c0: 3a20 456e 6162 6c65 2072 7379 736c 6f67  : Enable rsyslog
│ │ │ -000559d0: 2053 6572 7669 6365 202d 2045 6e61 626c   Service - Enabl
│ │ │ -000559e0: 6520 5365 7276 6963 6520 7273 7973 6c6f  e Service rsyslo
│ │ │ -000559f0: 670a 2020 2020 616e 7369 626c 652e 6275  g.    ansible.bu
│ │ │ -00055a00: 696c 7469 6e2e 7379 7374 656d 643a 0a20  iltin.systemd:. 
│ │ │ -00055a10: 2020 2020 206e 616d 653a 2072 7379 736c       name: rsysl
│ │ │ -00055a20: 6f67 0a20 2020 2020 2065 6e61 626c 6564  og.      enabled
│ │ │ -00055a30: 3a20 7472 7565 0a20 2020 2020 2073 7461  : true.      sta
│ │ │ -00055a40: 7465 3a20 7374 6172 7465 640a 2020 2020  te: started.    
│ │ │ -00055a50: 2020 6d61 736b 6564 3a20 6661 6c73 650a    masked: false.
│ │ │ -00055a60: 2020 2020 7768 656e 3a0a 2020 2020 2d20      when:.    - 
│ │ │ -00055a70: 2722 7273 7973 6c6f 6722 2069 6e20 616e  '"rsyslog" in an
│ │ │ -00055a80: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ -00055a90: 6167 6573 270a 2020 7768 656e 3a20 2722  ages'.  when: '"
│ │ │ -00055aa0: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ -00055ab0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ -00055ac0: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ -00055ad0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -00055ae0: 552d 3428 3129 0a20 202d 204e 4953 542d  U-4(1).  - NIST-
│ │ │ -00055af0: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -00055b00: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ -00055b10: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -00055b20: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -00055b30: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ -00055b40: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ -00055b50: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -00055b60: 640a 2020 2d20 7365 7276 6963 655f 7273  d.  - service_rs
│ │ │ -00055b70: 7973 6c6f 675f 656e 6162 6c65 640a 3c2f  yslog_enabled.</
│ │ │ +00055310: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ +00055320: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +00055330: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +00055340: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00055350: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00055360: 3439 3233 223e 3c74 6162 6c65 2063 6c61  4923"><table cla
│ │ │ +00055370: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +00055380: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +00055390: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +000553a0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +000553b0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +000553c0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +000553d0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +000553e0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +000553f0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00055400: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +00055410: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +00055420: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +00055430: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ +00055440: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00055450: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ +00055460: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ +00055470: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ +00055480: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ +00055490: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ +000554a0: 6f0a 2020 7461 6773 3a0a 2020 2d20 4e49  o.  tags:.  - NI
│ │ │ +000554b0: 5354 2d38 3030 2d35 332d 4155 2d34 2831  ST-800-53-AU-4(1
│ │ │ +000554c0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +000554d0: 332d 434d 2d36 2861 290a 2020 2d20 656e  3-CM-6(a).  - en
│ │ │ +000554e0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +000554f0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +00055500: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +00055510: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +00055520: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +00055530: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +00055540: 2073 6572 7669 6365 5f72 7379 736c 6f67   service_rsyslog
│ │ │ +00055550: 5f65 6e61 626c 6564 0a0a 2d20 6e61 6d65  _enabled..- name
│ │ │ +00055560: 3a20 456e 6162 6c65 2072 7379 736c 6f67  : Enable rsyslog
│ │ │ +00055570: 2053 6572 7669 6365 202d 2045 6e61 626c   Service - Enabl
│ │ │ +00055580: 6520 7365 7276 6963 6520 7273 7973 6c6f  e service rsyslo
│ │ │ +00055590: 670a 2020 626c 6f63 6b3a 0a0a 2020 2d20  g.  block:..  - 
│ │ │ +000555a0: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ +000555b0: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ +000555c0: 2020 2070 6163 6b61 6765 5f66 6163 7473     package_facts
│ │ │ +000555d0: 3a0a 2020 2020 2020 6d61 6e61 6765 723a  :.      manager:
│ │ │ +000555e0: 2061 7574 6f0a 0a20 202d 206e 616d 653a   auto..  - name:
│ │ │ +000555f0: 2045 6e61 626c 6520 7273 7973 6c6f 6720   Enable rsyslog 
│ │ │ +00055600: 5365 7276 6963 6520 2d20 456e 6162 6c65  Service - Enable
│ │ │ +00055610: 2053 6572 7669 6365 2072 7379 736c 6f67   Service rsyslog
│ │ │ +00055620: 0a20 2020 2061 6e73 6962 6c65 2e62 7569  .    ansible.bui
│ │ │ +00055630: 6c74 696e 2e73 7973 7465 6d64 3a0a 2020  ltin.systemd:.  
│ │ │ +00055640: 2020 2020 6e61 6d65 3a20 7273 7973 6c6f      name: rsyslo
│ │ │ +00055650: 670a 2020 2020 2020 656e 6162 6c65 643a  g.      enabled:
│ │ │ +00055660: 2074 7275 650a 2020 2020 2020 7374 6174   true.      stat
│ │ │ +00055670: 653a 2073 7461 7274 6564 0a20 2020 2020  e: started.     
│ │ │ +00055680: 206d 6173 6b65 643a 2066 616c 7365 0a20   masked: false. 
│ │ │ +00055690: 2020 2077 6865 6e3a 0a20 2020 202d 2027     when:.    - '
│ │ │ +000556a0: 2272 7379 736c 6f67 2220 696e 2061 6e73  "rsyslog" in ans
│ │ │ +000556b0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ +000556c0: 6765 7327 0a20 2077 6865 6e3a 2027 226c  ges'.  when: '"l
│ │ │ +000556d0: 696e 7578 2d62 6173 6522 2069 6e20 616e  inux-base" in an
│ │ │ +000556e0: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ +000556f0: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ +00055700: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +00055710: 2d34 2831 290a 2020 2d20 4e49 5354 2d38  -4(1).  - NIST-8
│ │ │ +00055720: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +00055730: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +00055740: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00055750: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00055760: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +00055770: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +00055780: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +00055790: 0a20 202d 2073 6572 7669 6365 5f72 7379  .  - service_rsy
│ │ │ +000557a0: 736c 6f67 5f65 6e61 626c 6564 0a3c 2f63  slog_enabled.</c
│ │ │ +000557b0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +000557c0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +000557d0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +000557e0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +000557f0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +00055800: 6964 6d34 3932 3422 2074 6162 696e 6465  idm4924" tabinde
│ │ │ +00055810: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +00055820: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +00055830: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +00055840: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +00055850: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +00055860: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ +00055870: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +00055880: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00055890: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +000558a0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +000558b0: 6d34 3932 3422 3e3c 7461 626c 6520 636c  m4924"><table cl
│ │ │ +000558c0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +000558d0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +000558e0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +000558f0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +00055900: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +00055910: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00055920: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +00055930: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +00055940: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00055950: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +00055960: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +00055970: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +00055980: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ +00055990: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +000559a0: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ +000559b0: 6e63 6c75 6465 2065 6e61 626c 655f 7273  nclude enable_rs
│ │ │ +000559c0: 7973 6c6f 670a 0a63 6c61 7373 2065 6e61  yslog..class ena
│ │ │ +000559d0: 626c 655f 7273 7973 6c6f 6720 7b0a 2020  ble_rsyslog {.  
│ │ │ +000559e0: 7365 7276 6963 6520 7b27 7273 7973 6c6f  service {'rsyslo
│ │ │ +000559f0: 6727 3a0a 2020 2020 656e 6162 6c65 203d  g':.    enable =
│ │ │ +00055a00: 2667 743b 2074 7275 652c 0a20 2020 2065  &gt; true,.    e
│ │ │ +00055a10: 6e73 7572 6520 3d26 6774 3b20 2772 756e  nsure =&gt; 'run
│ │ │ +00055a20: 6e69 6e67 272c 0a20 207d 0a7d 0a3c 2f63  ning',.  }.}.</c
│ │ │ +00055a30: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +00055a40: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +00055a50: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +00055a60: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +00055a70: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +00055a80: 6964 6d34 3932 3522 2074 6162 696e 6465  idm4925" tabinde
│ │ │ +00055a90: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +00055aa0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +00055ab0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +00055ac0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +00055ad0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +00055ae0: 656d 6564 6961 7469 6f6e 204f 5342 7569  emediation OSBui
│ │ │ +00055af0: 6c64 2042 6c75 6570 7269 6e74 2073 6e69  ld Blueprint sni
│ │ │ +00055b00: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00055b10: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00055b20: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00055b30: 7073 6522 2069 643d 2269 646d 3439 3235  pse" id="idm4925
│ │ │ +00055b40: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b63  "><pre><code>.[c
│ │ │ +00055b50: 7573 746f 6d69 7a61 7469 6f6e 732e 7365  ustomizations.se
│ │ │ +00055b60: 7276 6963 6573 5d0a 656e 6162 6c65 6420  rvices].enabled 
│ │ │ +00055b70: 3d20 5b22 7273 7973 6c6f 6722 5d0a 3c2f  = ["rsyslog"].</
│ │ │  00055b80: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │  00055b90: 3e3c 2f64 6976 3e3c 2f74 643e 3c2f 7472  ></div></td></tr
│ │ │  00055ba0: 3e3c 2f74 626f 6479 3e3c 2f74 6162 6c65  ></tbody></table
│ │ │  00055bb0: 3e3c 2f74 643e 3c2f 7472 3e3c 7472 2064  ></td></tr><tr d
│ │ │  00055bc0: 6174 612d 7474 2d69 643d 2263 6869 6c64  ata-tt-id="child
│ │ │  00055bd0: 7265 6e2d 7863 6364 665f 6f72 672e 7373  ren-xccdf_org.ss
│ │ │  00055be0: 6770 726f 6a65 6374 2e63 6f6e 7465 6e74  gproject.content
│ │ │ @@ -29878,131 +29878,131 @@
│ │ │  00074b50: 612d 7461 7267 6574 3d22 2369 646d 3935  a-target="#idm95
│ │ │  00074b60: 3335 2220 7461 6269 6e64 6578 3d22 3022  35" tabindex="0"
│ │ │  00074b70: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  00074b80: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  00074b90: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  00074ba0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  00074bb0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00074bc0: 6174 696f 6e20 4f53 4275 696c 6420 426c  ation OSBuild Bl
│ │ │ -00074bd0: 7565 7072 696e 7420 736e 6970 7065 7420  ueprint snippet 
│ │ │ -00074be0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00074bf0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00074c00: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00074c10: 6964 3d22 6964 6d39 3533 3522 3e3c 7072  id="idm9535"><pr
│ │ │ -00074c20: 653e 3c63 6f64 653e 0a5b 5b70 6163 6b61  e><code>.[[packa
│ │ │ -00074c30: 6765 735d 5d0a 6e61 6d65 203d 2022 6372  ges]].name = "cr
│ │ │ -00074c40: 6f6e 220a 7665 7273 696f 6e20 3d20 222a  on".version = "*
│ │ │ -00074c50: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │ -00074c60: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -00074c70: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -00074c80: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -00074c90: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -00074ca0: 6574 3d22 2369 646d 3935 3336 2220 7461  et="#idm9536" ta
│ │ │ -00074cb0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -00074cc0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -00074cd0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -00074ce0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -00074cf0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -00074d00: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00074d10: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ -00074d20: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00074d30: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00074d40: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00074d50: 643d 2269 646d 3935 3336 223e 3c74 6162  d="idm9536"><tab
│ │ │ -00074d60: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00074d70: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00074d80: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00074d90: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00074da0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00074db0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00074dc0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00074dd0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -00074de0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00074df0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -00074e00: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -00074e10: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -00074e20: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00074e30: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -00074e40: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00074e50: 6f64 653e 696e 636c 7564 6520 696e 7374  ode>include inst
│ │ │ -00074e60: 616c 6c5f 6372 6f6e 0a0a 636c 6173 7320  all_cron..class 
│ │ │ -00074e70: 696e 7374 616c 6c5f 6372 6f6e 207b 0a20  install_cron {. 
│ │ │ -00074e80: 2070 6163 6b61 6765 207b 2027 6372 6f6e   package { 'cron
│ │ │ -00074e90: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ -00074ea0: 6774 3b20 2769 6e73 7461 6c6c 6564 272c  gt; 'installed',
│ │ │ -00074eb0: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │ -00074ec0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -00074ed0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -00074ee0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -00074ef0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -00074f00: 2d74 6172 6765 743d 2223 6964 6d39 3533  -target="#idm953
│ │ │ -00074f10: 3722 2074 6162 696e 6465 783d 2230 2220  7" tabindex="0" 
│ │ │ -00074f20: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00074f30: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00074f40: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00074f50: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00074f60: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00074f70: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -00074f80: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00074f90: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00074fa0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00074fb0: 7073 6522 2069 643d 2269 646d 3935 3337  pse" id="idm9537
│ │ │ -00074fc0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00074fd0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00074fe0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00074ff0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00075000: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00075010: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00075020: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00075030: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00075040: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00075050: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00075060: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00075070: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00075080: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00075090: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -000750a0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -000750b0: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -000750c0: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ -000750d0: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ -000750e0: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ -000750f0: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ -00075100: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -00075110: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ -00075120: 2d20 5043 492d 4453 5376 342d 322e 320a  - PCI-DSSv4-2.2.
│ │ │ -00075130: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ -00075140: 322e 360a 2020 2d20 656e 6162 6c65 5f73  2.6.  - enable_s
│ │ │ -00075150: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -00075160: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -00075170: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -00075180: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -00075190: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -000751a0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -000751b0: 6765 5f63 726f 6e5f 696e 7374 616c 6c65  ge_cron_installe
│ │ │ -000751c0: 640a 0a2d 206e 616d 653a 2045 6e73 7572  d..- name: Ensur
│ │ │ -000751d0: 6520 6372 6f6e 2069 7320 696e 7374 616c  e cron is instal
│ │ │ -000751e0: 6c65 640a 2020 7061 636b 6167 653a 0a20  led.  package:. 
│ │ │ -000751f0: 2020 206e 616d 653a 2063 726f 6e0a 2020     name: cron.  
│ │ │ -00075200: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ -00075210: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ -00075220: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ -00075230: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -00075240: 270a 2020 7461 6773 3a0a 2020 2d20 4e49  '.  tags:.  - NI
│ │ │ -00075250: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -00075260: 290a 2020 2d20 5043 492d 4453 5376 342d  ).  - PCI-DSSv4-
│ │ │ -00075270: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ -00075280: 342d 322e 322e 360a 2020 2d20 656e 6162  4-2.2.6.  - enab
│ │ │ -00075290: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -000752a0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -000752b0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -000752c0: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ -000752d0: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ -000752e0: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -000752f0: 6163 6b61 6765 5f63 726f 6e5f 696e 7374  ackage_cron_inst
│ │ │ -00075300: 616c 6c65 640a 3c2f 636f 6465 3e3c 2f70  alled.</code></p
│ │ │ +00074bc0: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +00074bd0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00074be0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00074bf0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00074c00: 6170 7365 2220 6964 3d22 6964 6d39 3533  apse" id="idm953
│ │ │ +00074c10: 3522 3e3c 7461 626c 6520 636c 6173 733d  5"><table class=
│ │ │ +00074c20: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +00074c30: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +00074c40: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00074c50: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +00074c60: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +00074c70: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00074c80: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +00074c90: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00074ca0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00074cb0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00074cc0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00074cd0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00074ce0: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ +00074cf0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +00074d00: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ +00074d10: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ +00074d20: 636b 6167 6520 6661 6374 730a 2020 7061  ckage facts.  pa
│ │ │ +00074d30: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ +00074d40: 206d 616e 6167 6572 3a20 6175 746f 0a20   manager: auto. 
│ │ │ +00074d50: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ +00074d60: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ +00074d70: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +00074d80: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ +00074d90: 2e32 2e36 0a20 202d 2065 6e61 626c 655f  .2.6.  - enable_
│ │ │ +00074da0: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ +00074db0: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +00074dc0: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +00074dd0: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ +00074de0: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +00074df0: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +00074e00: 6167 655f 6372 6f6e 5f69 6e73 7461 6c6c  age_cron_install
│ │ │ +00074e10: 6564 0a0a 2d20 6e61 6d65 3a20 456e 7375  ed..- name: Ensu
│ │ │ +00074e20: 7265 2063 726f 6e20 6973 2069 6e73 7461  re cron is insta
│ │ │ +00074e30: 6c6c 6564 0a20 2070 6163 6b61 6765 3a0a  lled.  package:.
│ │ │ +00074e40: 2020 2020 6e61 6d65 3a20 6372 6f6e 0a20      name: cron. 
│ │ │ +00074e50: 2020 2073 7461 7465 3a20 7072 6573 656e     state: presen
│ │ │ +00074e60: 740a 2020 7768 656e 3a20 2722 6c69 6e75  t.  when: '"linu
│ │ │ +00074e70: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ +00074e80: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ +00074e90: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ +00074ea0: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +00074eb0: 6129 0a20 202d 2050 4349 2d44 5353 7634  a).  - PCI-DSSv4
│ │ │ +00074ec0: 2d32 2e32 0a20 202d 2050 4349 2d44 5353  -2.2.  - PCI-DSS
│ │ │ +00074ed0: 7634 2d32 2e32 2e36 0a20 202d 2065 6e61  v4-2.2.6.  - ena
│ │ │ +00074ee0: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +00074ef0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +00074f00: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +00074f10: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ +00074f20: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +00074f30: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +00074f40: 7061 636b 6167 655f 6372 6f6e 5f69 6e73  package_cron_ins
│ │ │ +00074f50: 7461 6c6c 6564 0a3c 2f63 6f64 653e 3c2f  talled.</code></
│ │ │ +00074f60: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +00074f70: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +00074f80: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00074f90: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00074fa0: 2d74 6172 6765 743d 2223 6964 6d39 3533  -target="#idm953
│ │ │ +00074fb0: 3622 2074 6162 696e 6465 783d 2230 2220  6" tabindex="0" 
│ │ │ +00074fc0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +00074fd0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +00074fe0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +00074ff0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +00075000: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +00075010: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ +00075020: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00075030: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00075040: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00075050: 7365 2220 6964 3d22 6964 6d39 3533 3622  se" id="idm9536"
│ │ │ +00075060: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00075070: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00075080: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00075090: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +000750a0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +000750b0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +000750c0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +000750d0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +000750e0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +000750f0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00075100: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00075110: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00075120: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00075130: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +00075140: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00075150: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +00075160: 2069 6e73 7461 6c6c 5f63 726f 6e0a 0a63   install_cron..c
│ │ │ +00075170: 6c61 7373 2069 6e73 7461 6c6c 5f63 726f  lass install_cro
│ │ │ +00075180: 6e20 7b0a 2020 7061 636b 6167 6520 7b20  n {.  package { 
│ │ │ +00075190: 2763 726f 6e27 3a0a 2020 2020 656e 7375  'cron':.    ensu
│ │ │ +000751a0: 7265 203d 2667 743b 2027 696e 7374 616c  re =&gt; 'instal
│ │ │ +000751b0: 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  led',.  }.}.</co
│ │ │ +000751c0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +000751d0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +000751e0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +000751f0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +00075200: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +00075210: 646d 3935 3337 2220 7461 6269 6e64 6578  dm9537" tabindex
│ │ │ +00075220: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +00075230: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +00075240: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00075250: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +00075260: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00075270: 6d65 6469 6174 696f 6e20 4f53 4275 696c  mediation OSBuil
│ │ │ +00075280: 6420 426c 7565 7072 696e 7420 736e 6970  d Blueprint snip
│ │ │ +00075290: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +000752a0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +000752b0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +000752c0: 7365 2220 6964 3d22 6964 6d39 3533 3722  se" id="idm9537"
│ │ │ +000752d0: 3e3c 7072 653e 3c63 6f64 653e 0a5b 5b70  ><pre><code>.[[p
│ │ │ +000752e0: 6163 6b61 6765 735d 5d0a 6e61 6d65 203d  ackages]].name =
│ │ │ +000752f0: 2022 6372 6f6e 220a 7665 7273 696f 6e20   "cron".version 
│ │ │ +00075300: 3d20 222a 220a 3c2f 636f 6465 3e3c 2f70  = "*".</code></p
│ │ │  00075310: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │  00075320: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │  00075330: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │  00075340: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │  00075350: 7461 7267 6574 3d22 2369 646d 3935 3338  target="#idm9538
│ │ │  00075360: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │  00075370: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ @@ -30333,95 +30333,95 @@
│ │ │  000767c0: 6172 6765 743d 2223 6964 6d39 3732 3622  arget="#idm9726"
│ │ │  000767d0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  000767e0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  000767f0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  00076800: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  00076810: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  00076820: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00076830: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ -00076840: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -00076850: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00076860: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00076870: 2220 6964 3d22 6964 6d39 3732 3622 3e3c  " id="idm9726"><
│ │ │ -00076880: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00076890: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -000768a0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -000768b0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -000768c0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -000768d0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -000768e0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -000768f0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -00076900: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00076910: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -00076920: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -00076930: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00076940: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -00076950: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -00076960: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00076970: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -00076980: 7265 6d6f 7665 5f69 6e65 7475 7469 6c73  remove_inetutils
│ │ │ -00076990: 2d74 656c 6e65 7464 0a0a 636c 6173 7320  -telnetd..class 
│ │ │ -000769a0: 7265 6d6f 7665 5f69 6e65 7475 7469 6c73  remove_inetutils
│ │ │ -000769b0: 2d74 656c 6e65 7464 207b 0a20 2070 6163  -telnetd {.  pac
│ │ │ -000769c0: 6b61 6765 207b 2027 696e 6574 7574 696c  kage { 'inetutil
│ │ │ -000769d0: 732d 7465 6c6e 6574 6427 3a0a 2020 2020  s-telnetd':.    
│ │ │ -000769e0: 656e 7375 7265 203d 2667 743b 2027 7075  ensure =&gt; 'pu
│ │ │ -000769f0: 7267 6564 272c 0a20 207d 0a7d 0a3c 2f63  rged',.  }.}.</c
│ │ │ -00076a00: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -00076a10: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -00076a20: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -00076a30: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -00076a40: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -00076a50: 6964 6d39 3732 3722 2074 6162 696e 6465  idm9727" tabinde
│ │ │ -00076a60: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -00076a70: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -00076a80: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -00076a90: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -00076aa0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00076ab0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -00076ac0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -00076ad0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -00076ae0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -00076af0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -00076b00: 646d 3937 3237 223e 3c74 6162 6c65 2063  dm9727"><table c
│ │ │ -00076b10: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00076b20: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00076b30: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00076b40: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00076b50: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00076b60: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00076b70: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00076b80: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00076b90: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00076ba0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00076bb0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00076bc0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00076bd0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -00076be0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00076bf0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00076c00: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ -00076c10: 696e 6574 7574 696c 732d 7465 6c6e 6574  inetutils-telnet
│ │ │ -00076c20: 6420 6973 2072 656d 6f76 6564 0a20 2070  d is removed.  p
│ │ │ -00076c30: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -00076c40: 3a20 696e 6574 7574 696c 732d 7465 6c6e  : inetutils-teln
│ │ │ -00076c50: 6574 640a 2020 2020 7374 6174 653a 2061  etd.    state: a
│ │ │ -00076c60: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ -00076c70: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00076c80: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ -00076c90: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ -00076ca0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00076cb0: 2d37 2862 290a 2020 2d20 6469 7361 626c  -7(b).  - disabl
│ │ │ -00076cc0: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ -00076cd0: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ -00076ce0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00076cf0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00076d00: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ -00076d10: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -00076d20: 6167 655f 696e 6574 7574 696c 732d 7465  age_inetutils-te
│ │ │ -00076d30: 6c6e 6574 645f 7265 6d6f 7665 640a 3c2f  lnetd_removed.</
│ │ │ +00076830: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +00076840: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00076850: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00076860: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00076870: 6522 2069 643d 2269 646d 3937 3236 223e  e" id="idm9726">
│ │ │ +00076880: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00076890: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +000768a0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +000768b0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +000768c0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +000768d0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +000768e0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +000768f0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00076900: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00076910: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00076920: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00076930: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00076940: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00076950: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +00076960: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00076970: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +00076980: 2045 6e73 7572 6520 696e 6574 7574 696c   Ensure inetutil
│ │ │ +00076990: 732d 7465 6c6e 6574 6420 6973 2072 656d  s-telnetd is rem
│ │ │ +000769a0: 6f76 6564 0a20 2070 6163 6b61 6765 3a0a  oved.  package:.
│ │ │ +000769b0: 2020 2020 6e61 6d65 3a20 696e 6574 7574      name: inetut
│ │ │ +000769c0: 696c 732d 7465 6c6e 6574 640a 2020 2020  ils-telnetd.    
│ │ │ +000769d0: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ +000769e0: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +000769f0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +00076a00: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +00076a10: 2d37 2861 290a 2020 2d20 4e49 5354 2d38  -7(a).  - NIST-8
│ │ │ +00076a20: 3030 2d35 332d 434d 2d37 2862 290a 2020  00-53-CM-7(b).  
│ │ │ +00076a30: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ +00076a40: 6779 0a20 202d 2068 6967 685f 7365 7665  gy.  - high_seve
│ │ │ +00076a50: 7269 7479 0a20 202d 206c 6f77 5f63 6f6d  rity.  - low_com
│ │ │ +00076a60: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +00076a70: 6469 7372 7570 7469 6f6e 0a20 202d 206e  disruption.  - n
│ │ │ +00076a80: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +00076a90: 2020 2d20 7061 636b 6167 655f 696e 6574    - package_inet
│ │ │ +00076aa0: 7574 696c 732d 7465 6c6e 6574 645f 7265  utils-telnetd_re
│ │ │ +00076ab0: 6d6f 7665 640a 3c2f 636f 6465 3e3c 2f70  moved.</code></p
│ │ │ +00076ac0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +00076ad0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +00076ae0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +00076af0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +00076b00: 7461 7267 6574 3d22 2369 646d 3937 3237  target="#idm9727
│ │ │ +00076b10: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00076b20: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00076b30: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00076b40: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00076b50: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00076b60: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +00076b70: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +00076b80: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00076b90: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00076ba0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00076bb0: 6522 2069 643d 2269 646d 3937 3237 223e  e" id="idm9727">
│ │ │ +00076bc0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00076bd0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00076be0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00076bf0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00076c00: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00076c10: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00076c20: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00076c30: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00076c40: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00076c50: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00076c60: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00076c70: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00076c80: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00076c90: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +00076ca0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00076cb0: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +00076cc0: 2072 656d 6f76 655f 696e 6574 7574 696c   remove_inetutil
│ │ │ +00076cd0: 732d 7465 6c6e 6574 640a 0a63 6c61 7373  s-telnetd..class
│ │ │ +00076ce0: 2072 656d 6f76 655f 696e 6574 7574 696c   remove_inetutil
│ │ │ +00076cf0: 732d 7465 6c6e 6574 6420 7b0a 2020 7061  s-telnetd {.  pa
│ │ │ +00076d00: 636b 6167 6520 7b20 2769 6e65 7475 7469  ckage { 'inetuti
│ │ │ +00076d10: 6c73 2d74 656c 6e65 7464 273a 0a20 2020  ls-telnetd':.   
│ │ │ +00076d20: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ +00076d30: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │  00076d40: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │  00076d50: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │  00076d60: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │  00076d70: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │  00076d80: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  00076d90: 2369 646d 3937 3238 2220 7461 6269 6e64  #idm9728" tabind
│ │ │  00076da0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ @@ -30567,86 +30567,86 @@
│ │ │  00077660: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  00077670: 6964 6d39 3733 3522 2074 6162 696e 6465  idm9735" tabinde
│ │ │  00077680: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  00077690: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  000776a0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  000776b0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  000776c0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -000776d0: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -000776e0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -000776f0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00077700: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00077710: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00077720: 6d39 3733 3522 3e3c 7461 626c 6520 636c  m9735"><table cl
│ │ │ -00077730: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00077740: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00077750: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00077760: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00077770: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00077780: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00077790: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -000777a0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -000777b0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -000777c0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -000777d0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -000777e0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -000777f0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -00077800: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00077810: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00077820: 696e 636c 7564 6520 7265 6d6f 7665 5f6e  include remove_n
│ │ │ -00077830: 6973 0a0a 636c 6173 7320 7265 6d6f 7665  is..class remove
│ │ │ -00077840: 5f6e 6973 207b 0a20 2070 6163 6b61 6765  _nis {.  package
│ │ │ -00077850: 207b 2027 6e69 7327 3a0a 2020 2020 656e   { 'nis':.    en
│ │ │ -00077860: 7375 7265 203d 2667 743b 2027 7075 7267  sure =&gt; 'purg
│ │ │ -00077870: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ -00077880: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -00077890: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -000778a0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -000778b0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -000778c0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -000778d0: 6d39 3733 3622 2074 6162 696e 6465 783d  m9736" tabindex=
│ │ │ -000778e0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -000778f0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -00077900: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00077910: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00077920: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00077930: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ -00077940: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00077950: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00077960: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00077970: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00077980: 3937 3336 223e 3c74 6162 6c65 2063 6c61  9736"><table cla
│ │ │ -00077990: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -000779a0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -000779b0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -000779c0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -000779d0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -000779e0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -000779f0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00077a00: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00077a10: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00077a20: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00077a30: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00077a40: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00077a50: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -00077a60: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00077a70: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -00077a80: 206e 616d 653a 2045 6e73 7572 6520 6e69   name: Ensure ni
│ │ │ -00077a90: 7320 6973 2072 656d 6f76 6564 0a20 2070  s is removed.  p
│ │ │ -00077aa0: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -00077ab0: 3a20 6e69 730a 2020 2020 7374 6174 653a  : nis.    state:
│ │ │ -00077ac0: 2061 6273 656e 740a 2020 7461 6773 3a0a   absent.  tags:.
│ │ │ -00077ad0: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -00077ae0: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -00077af0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -00077b00: 6469 7372 7570 7469 6f6e 0a20 202d 206c  disruption.  - l
│ │ │ -00077b10: 6f77 5f73 6576 6572 6974 790a 2020 2d20  ow_severity.  - 
│ │ │ -00077b20: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -00077b30: 0a20 202d 2070 6163 6b61 6765 5f6e 6973  .  - package_nis
│ │ │ -00077b40: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ +000776d0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +000776e0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +000776f0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00077700: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00077710: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00077720: 646d 3937 3335 223e 3c74 6162 6c65 2063  dm9735"><table c
│ │ │ +00077730: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00077740: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00077750: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00077760: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00077770: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00077780: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00077790: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +000777a0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +000777b0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +000777c0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +000777d0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +000777e0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +000777f0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +00077800: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00077810: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +00077820: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ +00077830: 6e69 7320 6973 2072 656d 6f76 6564 0a20  nis is removed. 
│ │ │ +00077840: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +00077850: 6d65 3a20 6e69 730a 2020 2020 7374 6174  me: nis.    stat
│ │ │ +00077860: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ +00077870: 3a0a 2020 2d20 6469 7361 626c 655f 7374  :.  - disable_st
│ │ │ +00077880: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +00077890: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +000778a0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +000778b0: 206c 6f77 5f73 6576 6572 6974 790a 2020   low_severity.  
│ │ │ +000778c0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +000778d0: 6564 0a20 202d 2070 6163 6b61 6765 5f6e  ed.  - package_n
│ │ │ +000778e0: 6973 5f72 656d 6f76 6564 0a3c 2f63 6f64  is_removed.</cod
│ │ │ +000778f0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00077900: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00077910: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00077920: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00077930: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00077940: 6d39 3733 3622 2074 6162 696e 6465 783d  m9736" tabindex=
│ │ │ +00077950: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00077960: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00077970: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +00077980: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +00077990: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +000779a0: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ +000779b0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +000779c0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +000779d0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +000779e0: 6c6c 6170 7365 2220 6964 3d22 6964 6d39  llapse" id="idm9
│ │ │ +000779f0: 3733 3622 3e3c 7461 626c 6520 636c 6173  736"><table clas
│ │ │ +00077a00: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00077a10: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00077a20: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00077a30: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00077a40: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00077a50: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00077a60: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +00077a70: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +00077a80: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00077a90: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00077aa0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00077ab0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00077ac0: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +00077ad0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00077ae0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +00077af0: 636c 7564 6520 7265 6d6f 7665 5f6e 6973  clude remove_nis
│ │ │ +00077b00: 0a0a 636c 6173 7320 7265 6d6f 7665 5f6e  ..class remove_n
│ │ │ +00077b10: 6973 207b 0a20 2070 6163 6b61 6765 207b  is {.  package {
│ │ │ +00077b20: 2027 6e69 7327 3a0a 2020 2020 656e 7375   'nis':.    ensu
│ │ │ +00077b30: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ +00077b40: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │  00077b50: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │  00077b60: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │  00077b70: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │  00077b80: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │  00077b90: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │  00077ba0: 3733 3722 2074 6162 696e 6465 783d 2230  737" tabindex="0
│ │ │  00077bb0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ @@ -30790,88 +30790,88 @@
│ │ │  00078450: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  00078460: 2223 6964 6d39 3734 3422 2074 6162 696e  "#idm9744" tabin
│ │ │  00078470: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  00078480: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  00078490: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  000784a0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  000784b0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -000784c0: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ -000784d0: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ -000784e0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -000784f0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00078500: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00078510: 6964 6d39 3734 3422 3e3c 7461 626c 6520  idm9744"><table 
│ │ │ -00078520: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -00078530: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -00078540: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -00078550: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -00078560: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -00078570: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00078580: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -00078590: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -000785a0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -000785b0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -000785c0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -000785d0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -000785e0: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -000785f0: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -00078600: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -00078610: 653e 696e 636c 7564 6520 7265 6d6f 7665  e>include remove
│ │ │ -00078620: 5f6e 7470 6461 7465 0a0a 636c 6173 7320  _ntpdate..class 
│ │ │ -00078630: 7265 6d6f 7665 5f6e 7470 6461 7465 207b  remove_ntpdate {
│ │ │ -00078640: 0a20 2070 6163 6b61 6765 207b 2027 6e74  .  package { 'nt
│ │ │ -00078650: 7064 6174 6527 3a0a 2020 2020 656e 7375  pdate':.    ensu
│ │ │ -00078660: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ -00078670: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -00078680: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00078690: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -000786a0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -000786b0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -000786c0: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │ -000786d0: 3734 3522 2074 6162 696e 6465 783d 2230  745" tabindex="0
│ │ │ -000786e0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -000786f0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00078700: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00078710: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -00078720: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00078730: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ -00078740: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00078750: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00078760: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -00078770: 6c61 7073 6522 2069 643d 2269 646d 3937  lapse" id="idm97
│ │ │ -00078780: 3435 223e 3c74 6162 6c65 2063 6c61 7373  45"><table class
│ │ │ -00078790: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -000787a0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -000787b0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -000787c0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -000787d0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -000787e0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -000787f0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -00078800: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -00078810: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00078820: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -00078830: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -00078840: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -00078850: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ -00078860: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -00078870: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ -00078880: 616d 653a 2045 6e73 7572 6520 6e74 7064  ame: Ensure ntpd
│ │ │ -00078890: 6174 6520 6973 2072 656d 6f76 6564 0a20  ate is removed. 
│ │ │ -000788a0: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ -000788b0: 6d65 3a20 6e74 7064 6174 650a 2020 2020  me: ntpdate.    
│ │ │ -000788c0: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ -000788d0: 7461 6773 3a0a 2020 2d20 6469 7361 626c  tags:.  - disabl
│ │ │ -000788e0: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -000788f0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -00078900: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -00078910: 0a20 202d 206c 6f77 5f73 6576 6572 6974  .  - low_severit
│ │ │ -00078920: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -00078930: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -00078940: 6765 5f6e 7470 6461 7465 5f72 656d 6f76  ge_ntpdate_remov
│ │ │ -00078950: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +000784c0: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +000784d0: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +000784e0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +000784f0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00078500: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00078510: 2269 646d 3937 3434 223e 3c74 6162 6c65  "idm9744"><table
│ │ │ +00078520: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00078530: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00078540: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00078550: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00078560: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00078570: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00078580: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00078590: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +000785a0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +000785b0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +000785c0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +000785d0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +000785e0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +000785f0: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +00078600: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00078610: 6465 3e2d 206e 616d 653a 2045 6e73 7572  de>- name: Ensur
│ │ │ +00078620: 6520 6e74 7064 6174 6520 6973 2072 656d  e ntpdate is rem
│ │ │ +00078630: 6f76 6564 0a20 2070 6163 6b61 6765 3a0a  oved.  package:.
│ │ │ +00078640: 2020 2020 6e61 6d65 3a20 6e74 7064 6174      name: ntpdat
│ │ │ +00078650: 650a 2020 2020 7374 6174 653a 2061 6273  e.    state: abs
│ │ │ +00078660: 656e 740a 2020 7461 6773 3a0a 2020 2d20  ent.  tags:.  - 
│ │ │ +00078670: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ +00078680: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +00078690: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +000786a0: 7570 7469 6f6e 0a20 202d 206c 6f77 5f73  uption.  - low_s
│ │ │ +000786b0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +000786c0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +000786d0: 2070 6163 6b61 6765 5f6e 7470 6461 7465   package_ntpdate
│ │ │ +000786e0: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ +000786f0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +00078700: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +00078710: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +00078720: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +00078730: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │ +00078740: 3734 3522 2074 6162 696e 6465 783d 2230  745" tabindex="0
│ │ │ +00078750: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +00078760: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +00078770: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +00078780: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +00078790: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +000787a0: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +000787b0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +000787c0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +000787d0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +000787e0: 6170 7365 2220 6964 3d22 6964 6d39 3734  apse" id="idm974
│ │ │ +000787f0: 3522 3e3c 7461 626c 6520 636c 6173 733d  5"><table class=
│ │ │ +00078800: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +00078810: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +00078820: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00078830: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +00078840: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +00078850: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00078860: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +00078870: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00078880: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00078890: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +000788a0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +000788b0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +000788c0: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +000788d0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +000788e0: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ +000788f0: 7564 6520 7265 6d6f 7665 5f6e 7470 6461  ude remove_ntpda
│ │ │ +00078900: 7465 0a0a 636c 6173 7320 7265 6d6f 7665  te..class remove
│ │ │ +00078910: 5f6e 7470 6461 7465 207b 0a20 2070 6163  _ntpdate {.  pac
│ │ │ +00078920: 6b61 6765 207b 2027 6e74 7064 6174 6527  kage { 'ntpdate'
│ │ │ +00078930: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ +00078940: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ +00078950: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │  00078960: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │  00078970: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │  00078980: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │  00078990: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │  000789a0: 6765 743d 2223 6964 6d39 3734 3622 2074  get="#idm9746" t
│ │ │  000789b0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  000789c0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ @@ -31132,93 +31132,93 @@
│ │ │  000799b0: 6765 743d 2223 6964 6d39 3834 3522 2074  get="#idm9845" t
│ │ │  000799c0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  000799d0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  000799e0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  000799f0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  00079a00: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  00079a10: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00079a20: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -00079a30: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00079a40: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00079a50: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00079a60: 6964 3d22 6964 6d39 3834 3522 3e3c 7461  id="idm9845"><ta
│ │ │ -00079a70: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00079a80: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00079a90: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00079aa0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00079ab0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -00079ac0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -00079ad0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00079ae0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -00079af0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00079b00: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -00079b10: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -00079b20: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00079b30: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -00079b40: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -00079b50: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00079b60: 3c63 6f64 653e 696e 636c 7564 6520 7265  <code>include re
│ │ │ -00079b70: 6d6f 7665 5f74 656c 6e65 7464 2d73 736c  move_telnetd-ssl
│ │ │ -00079b80: 0a0a 636c 6173 7320 7265 6d6f 7665 5f74  ..class remove_t
│ │ │ -00079b90: 656c 6e65 7464 2d73 736c 207b 0a20 2070  elnetd-ssl {.  p
│ │ │ -00079ba0: 6163 6b61 6765 207b 2027 7465 6c6e 6574  ackage { 'telnet
│ │ │ -00079bb0: 642d 7373 6c27 3a0a 2020 2020 656e 7375  d-ssl':.    ensu
│ │ │ -00079bc0: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ -00079bd0: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -00079be0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00079bf0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -00079c00: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -00079c10: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -00079c20: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │ -00079c30: 3834 3622 2074 6162 696e 6465 783d 2230  846" tabindex="0
│ │ │ -00079c40: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00079c50: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00079c60: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00079c70: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -00079c80: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00079c90: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ -00079ca0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00079cb0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00079cc0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -00079cd0: 6c61 7073 6522 2069 643d 2269 646d 3938  lapse" id="idm98
│ │ │ -00079ce0: 3436 223e 3c74 6162 6c65 2063 6c61 7373  46"><table class
│ │ │ -00079cf0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -00079d00: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -00079d10: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -00079d20: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -00079d30: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -00079d40: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00079d50: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -00079d60: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -00079d70: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00079d80: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -00079d90: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -00079da0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -00079db0: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ -00079dc0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -00079dd0: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ -00079de0: 616d 653a 2045 6e73 7572 6520 7465 6c6e  ame: Ensure teln
│ │ │ -00079df0: 6574 642d 7373 6c20 6973 2072 656d 6f76  etd-ssl is remov
│ │ │ -00079e00: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ -00079e10: 2020 6e61 6d65 3a20 7465 6c6e 6574 642d    name: telnetd-
│ │ │ -00079e20: 7373 6c0a 2020 2020 7374 6174 653a 2061  ssl.    state: a
│ │ │ -00079e30: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ -00079e40: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00079e50: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ -00079e60: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ -00079e70: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00079e80: 2d37 2862 290a 2020 2d20 6469 7361 626c  -7(b).  - disabl
│ │ │ -00079e90: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ -00079ea0: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ -00079eb0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00079ec0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00079ed0: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ -00079ee0: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -00079ef0: 6167 655f 7465 6c6e 6574 642d 7373 6c5f  age_telnetd-ssl_
│ │ │ -00079f00: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ +00079a20: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +00079a30: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00079a40: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00079a50: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00079a60: 2069 643d 2269 646d 3938 3435 223e 3c74   id="idm9845"><t
│ │ │ +00079a70: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +00079a80: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00079a90: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +00079aa0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00079ab0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00079ac0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00079ad0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00079ae0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +00079af0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00079b00: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +00079b10: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +00079b20: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00079b30: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00079b40: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +00079b50: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00079b60: 3e3c 636f 6465 3e2d 206e 616d 653a 2045  ><code>- name: E
│ │ │ +00079b70: 6e73 7572 6520 7465 6c6e 6574 642d 7373  nsure telnetd-ss
│ │ │ +00079b80: 6c20 6973 2072 656d 6f76 6564 0a20 2070  l is removed.  p
│ │ │ +00079b90: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ +00079ba0: 3a20 7465 6c6e 6574 642d 7373 6c0a 2020  : telnetd-ssl.  
│ │ │ +00079bb0: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ +00079bc0: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +00079bd0: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +00079be0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00079bf0: 434d 2d37 2861 290a 2020 2d20 4e49 5354  CM-7(a).  - NIST
│ │ │ +00079c00: 2d38 3030 2d35 332d 434d 2d37 2862 290a  -800-53-CM-7(b).
│ │ │ +00079c10: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ +00079c20: 7465 6779 0a20 202d 2068 6967 685f 7365  tegy.  - high_se
│ │ │ +00079c30: 7665 7269 7479 0a20 202d 206c 6f77 5f63  verity.  - low_c
│ │ │ +00079c40: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +00079c50: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +00079c60: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +00079c70: 640a 2020 2d20 7061 636b 6167 655f 7465  d.  - package_te
│ │ │ +00079c80: 6c6e 6574 642d 7373 6c5f 7265 6d6f 7665  lnetd-ssl_remove
│ │ │ +00079c90: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +00079ca0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +00079cb0: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +00079cc0: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +00079cd0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +00079ce0: 6574 3d22 2369 646d 3938 3436 2220 7461  et="#idm9846" ta
│ │ │ +00079cf0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +00079d00: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +00079d10: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +00079d20: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +00079d30: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +00079d40: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +00079d50: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ +00079d60: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +00079d70: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +00079d80: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +00079d90: 643d 2269 646d 3938 3436 223e 3c74 6162  d="idm9846"><tab
│ │ │ +00079da0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00079db0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00079dc0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00079dd0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00079de0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00079df0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00079e00: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +00079e10: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +00079e20: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00079e30: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +00079e40: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +00079e50: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +00079e60: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +00079e70: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ +00079e80: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +00079e90: 636f 6465 3e69 6e63 6c75 6465 2072 656d  code>include rem
│ │ │ +00079ea0: 6f76 655f 7465 6c6e 6574 642d 7373 6c0a  ove_telnetd-ssl.
│ │ │ +00079eb0: 0a63 6c61 7373 2072 656d 6f76 655f 7465  .class remove_te
│ │ │ +00079ec0: 6c6e 6574 642d 7373 6c20 7b0a 2020 7061  lnetd-ssl {.  pa
│ │ │ +00079ed0: 636b 6167 6520 7b20 2774 656c 6e65 7464  ckage { 'telnetd
│ │ │ +00079ee0: 2d73 736c 273a 0a20 2020 2065 6e73 7572  -ssl':.    ensur
│ │ │ +00079ef0: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ +00079f00: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │  00079f10: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │  00079f20: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │  00079f30: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │  00079f40: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │  00079f50: 612d 7461 7267 6574 3d22 2369 646d 3938  a-target="#idm98
│ │ │  00079f60: 3437 2220 7461 6269 6e64 6578 3d22 3022  47" tabindex="0"
│ │ │  00079f70: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ @@ -31479,92 +31479,92 @@
│ │ │  0007af60: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  0007af70: 646d 3939 3435 2220 7461 6269 6e64 6578  dm9945" tabindex
│ │ │  0007af80: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │  0007af90: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │  0007afa0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │  0007afb0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │  0007afc0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -0007afd0: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -0007afe0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -0007aff0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -0007b000: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -0007b010: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -0007b020: 3939 3435 223e 3c74 6162 6c65 2063 6c61  9945"><table cla
│ │ │ -0007b030: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -0007b040: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -0007b050: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -0007b060: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -0007b070: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -0007b080: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0007b090: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -0007b0a0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -0007b0b0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0007b0c0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -0007b0d0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -0007b0e0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -0007b0f0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -0007b100: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -0007b110: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ -0007b120: 6e63 6c75 6465 2072 656d 6f76 655f 7465  nclude remove_te
│ │ │ -0007b130: 6c6e 6574 640a 0a63 6c61 7373 2072 656d  lnetd..class rem
│ │ │ -0007b140: 6f76 655f 7465 6c6e 6574 6420 7b0a 2020  ove_telnetd {.  
│ │ │ -0007b150: 7061 636b 6167 6520 7b20 2774 656c 6e65  package { 'telne
│ │ │ -0007b160: 7464 273a 0a20 2020 2065 6e73 7572 6520  td':.    ensure 
│ │ │ -0007b170: 3d26 6774 3b20 2770 7572 6765 6427 2c0a  =&gt; 'purged',.
│ │ │ -0007b180: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -0007b190: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -0007b1a0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -0007b1b0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -0007b1c0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -0007b1d0: 7461 7267 6574 3d22 2369 646d 3939 3436  target="#idm9946
│ │ │ -0007b1e0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -0007b1f0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -0007b200: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -0007b210: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -0007b220: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -0007b230: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -0007b240: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -0007b250: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -0007b260: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -0007b270: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -0007b280: 7365 2220 6964 3d22 6964 6d39 3934 3622  se" id="idm9946"
│ │ │ -0007b290: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -0007b2a0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -0007b2b0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -0007b2c0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -0007b2d0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -0007b2e0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -0007b2f0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0007b300: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -0007b310: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0007b320: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -0007b330: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -0007b340: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -0007b350: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -0007b360: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -0007b370: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -0007b380: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -0007b390: 3a20 456e 7375 7265 2074 656c 6e65 7464  : Ensure telnetd
│ │ │ -0007b3a0: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ -0007b3b0: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -0007b3c0: 2074 656c 6e65 7464 0a20 2020 2073 7461   telnetd.    sta
│ │ │ -0007b3d0: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ -0007b3e0: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -0007b3f0: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ -0007b400: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ -0007b410: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ -0007b420: 3533 2d43 4d2d 3728 6229 0a20 202d 2064  53-CM-7(b).  - d
│ │ │ -0007b430: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ -0007b440: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ -0007b450: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -0007b460: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -0007b470: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ -0007b480: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -0007b490: 2070 6163 6b61 6765 5f74 656c 6e65 7464   package_telnetd
│ │ │ -0007b4a0: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ +0007afd0: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ +0007afe0: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ +0007aff0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +0007b000: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +0007b010: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +0007b020: 6d39 3934 3522 3e3c 7461 626c 6520 636c  m9945"><table cl
│ │ │ +0007b030: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +0007b040: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +0007b050: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +0007b060: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +0007b070: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +0007b080: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0007b090: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +0007b0a0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +0007b0b0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0007b0c0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +0007b0d0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +0007b0e0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +0007b0f0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +0007b100: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +0007b110: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +0007b120: 2d20 6e61 6d65 3a20 456e 7375 7265 2074  - name: Ensure t
│ │ │ +0007b130: 656c 6e65 7464 2069 7320 7265 6d6f 7665  elnetd is remove
│ │ │ +0007b140: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ +0007b150: 206e 616d 653a 2074 656c 6e65 7464 0a20   name: telnetd. 
│ │ │ +0007b160: 2020 2073 7461 7465 3a20 6162 7365 6e74     state: absent
│ │ │ +0007b170: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +0007b180: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +0007b190: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0007b1a0: 2d43 4d2d 3728 6129 0a20 202d 204e 4953  -CM-7(a).  - NIS
│ │ │ +0007b1b0: 542d 3830 302d 3533 2d43 4d2d 3728 6229  T-800-53-CM-7(b)
│ │ │ +0007b1c0: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ +0007b1d0: 6174 6567 790a 2020 2d20 6869 6768 5f73  ategy.  - high_s
│ │ │ +0007b1e0: 6576 6572 6974 790a 2020 2d20 6c6f 775f  everity.  - low_
│ │ │ +0007b1f0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +0007b200: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +0007b210: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +0007b220: 6564 0a20 202d 2070 6163 6b61 6765 5f74  ed.  - package_t
│ │ │ +0007b230: 656c 6e65 7464 5f72 656d 6f76 6564 0a3c  elnetd_removed.<
│ │ │ +0007b240: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +0007b250: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +0007b260: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +0007b270: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +0007b280: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +0007b290: 2223 6964 6d39 3934 3622 2074 6162 696e  "#idm9946" tabin
│ │ │ +0007b2a0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +0007b2b0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +0007b2c0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +0007b2d0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +0007b2e0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +0007b2f0: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +0007b300: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +0007b310: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +0007b320: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +0007b330: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +0007b340: 6964 6d39 3934 3622 3e3c 7461 626c 6520  idm9946"><table 
│ │ │ +0007b350: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +0007b360: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +0007b370: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +0007b380: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +0007b390: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +0007b3a0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0007b3b0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +0007b3c0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +0007b3d0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0007b3e0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +0007b3f0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +0007b400: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +0007b410: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +0007b420: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +0007b430: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +0007b440: 653e 696e 636c 7564 6520 7265 6d6f 7665  e>include remove
│ │ │ +0007b450: 5f74 656c 6e65 7464 0a0a 636c 6173 7320  _telnetd..class 
│ │ │ +0007b460: 7265 6d6f 7665 5f74 656c 6e65 7464 207b  remove_telnetd {
│ │ │ +0007b470: 0a20 2070 6163 6b61 6765 207b 2027 7465  .  package { 'te
│ │ │ +0007b480: 6c6e 6574 6427 3a0a 2020 2020 656e 7375  lnetd':.    ensu
│ │ │ +0007b490: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ +0007b4a0: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │  0007b4b0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │  0007b4c0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │  0007b4d0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │  0007b4e0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │  0007b4f0: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │  0007b500: 3934 3722 2074 6162 696e 6465 783d 2230  947" tabindex="0
│ │ │  0007b510: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ @@ -32061,128 +32061,128 @@
│ │ │  0007d3c0: 6574 3d22 2369 646d 3130 3333 3122 2074  et="#idm10331" t
│ │ │  0007d3d0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  0007d3e0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  0007d3f0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  0007d400: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  0007d410: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  0007d420: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -0007d430: 204f 5342 7569 6c64 2042 6c75 6570 7269   OSBuild Bluepri
│ │ │ -0007d440: 6e74 2073 6e69 7070 6574 20e2 87b2 3c2f  nt snippet ...</
│ │ │ -0007d450: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0007d460: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0007d470: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0007d480: 646d 3130 3333 3122 3e3c 7072 653e 3c63  dm10331"><pre><c
│ │ │ -0007d490: 6f64 653e 0a5b 5b70 6163 6b61 6765 735d  ode>.[[packages]
│ │ │ -0007d4a0: 5d0a 6e61 6d65 203d 2022 6e74 7022 0a76  ].name = "ntp".v
│ │ │ -0007d4b0: 6572 7369 6f6e 203d 2022 2a22 0a3c 2f63  ersion = "*".</c
│ │ │ -0007d4c0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -0007d4d0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -0007d4e0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -0007d4f0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -0007d500: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -0007d510: 6964 6d31 3033 3332 2220 7461 6269 6e64  idm10332" tabind
│ │ │ -0007d520: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -0007d530: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -0007d540: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -0007d550: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -0007d560: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -0007d570: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ -0007d580: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ -0007d590: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0007d5a0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0007d5b0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0007d5c0: 646d 3130 3333 3222 3e3c 7461 626c 6520  dm10332"><table 
│ │ │ -0007d5d0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -0007d5e0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -0007d5f0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -0007d600: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -0007d610: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -0007d620: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0007d630: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -0007d640: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -0007d650: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0007d660: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -0007d670: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -0007d680: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -0007d690: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -0007d6a0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0007d6b0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0007d6c0: 3e69 6e63 6c75 6465 2069 6e73 7461 6c6c  >include install
│ │ │ -0007d6d0: 5f6e 7470 0a0a 636c 6173 7320 696e 7374  _ntp..class inst
│ │ │ -0007d6e0: 616c 6c5f 6e74 7020 7b0a 2020 7061 636b  all_ntp {.  pack
│ │ │ -0007d6f0: 6167 6520 7b20 276e 7470 273a 0a20 2020  age { 'ntp':.   
│ │ │ -0007d700: 2065 6e73 7572 6520 3d26 6774 3b20 2769   ensure =&gt; 'i
│ │ │ -0007d710: 6e73 7461 6c6c 6564 272c 0a20 207d 0a7d  nstalled',.  }.}
│ │ │ -0007d720: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -0007d730: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -0007d740: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -0007d750: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -0007d760: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -0007d770: 743d 2223 6964 6d31 3033 3333 2220 7461  t="#idm10333" ta
│ │ │ -0007d780: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -0007d790: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -0007d7a0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -0007d7b0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -0007d7c0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -0007d7d0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -0007d7e0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ -0007d7f0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -0007d800: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -0007d810: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -0007d820: 6964 3d22 6964 6d31 3033 3333 223e 3c74  id="idm10333"><t
│ │ │ -0007d830: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -0007d840: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -0007d850: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -0007d860: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -0007d870: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -0007d880: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -0007d890: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0007d8a0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -0007d8b0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0007d8c0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -0007d8d0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -0007d8e0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0007d8f0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -0007d900: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -0007d910: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -0007d920: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ -0007d930: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ -0007d940: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ -0007d950: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ -0007d960: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ -0007d970: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -0007d980: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ -0007d990: 492d 4453 532d 5265 712d 3130 2e34 0a20  I-DSS-Req-10.4. 
│ │ │ -0007d9a0: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ -0007d9b0: 6779 0a20 202d 2068 6967 685f 7365 7665  gy.  - high_seve
│ │ │ -0007d9c0: 7269 7479 0a20 202d 206c 6f77 5f63 6f6d  rity.  - low_com
│ │ │ -0007d9d0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -0007d9e0: 6469 7372 7570 7469 6f6e 0a20 202d 206e  disruption.  - n
│ │ │ -0007d9f0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -0007da00: 2020 2d20 7061 636b 6167 655f 6e74 705f    - package_ntp_
│ │ │ -0007da10: 696e 7374 616c 6c65 640a 0a2d 206e 616d  installed..- nam
│ │ │ -0007da20: 653a 2045 6e73 7572 6520 6e74 7020 6973  e: Ensure ntp is
│ │ │ -0007da30: 2069 6e73 7461 6c6c 6564 0a20 2070 6163   installed.  pac
│ │ │ -0007da40: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -0007da50: 6e74 700a 2020 2020 7374 6174 653a 2070  ntp.    state: p
│ │ │ -0007da60: 7265 7365 6e74 0a20 2077 6865 6e3a 2027  resent.  when: '
│ │ │ -0007da70: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ -0007da80: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ -0007da90: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ -0007daa0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0007dab0: 434d 2d36 2861 290a 2020 2d20 5043 492d  CM-6(a).  - PCI-
│ │ │ -0007dac0: 4453 532d 5265 712d 3130 2e34 0a20 202d  DSS-Req-10.4.  -
│ │ │ -0007dad0: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -0007dae0: 0a20 202d 2068 6967 685f 7365 7665 7269  .  - high_severi
│ │ │ -0007daf0: 7479 0a20 202d 206c 6f77 5f63 6f6d 706c  ty.  - low_compl
│ │ │ -0007db00: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -0007db10: 7372 7570 7469 6f6e 0a20 202d 206e 6f5f  sruption.  - no_
│ │ │ -0007db20: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -0007db30: 2d20 7061 636b 6167 655f 6e74 705f 696e  - package_ntp_in
│ │ │ -0007db40: 7374 616c 6c65 640a 3c2f 636f 6465 3e3c  stalled.</code><
│ │ │ +0007d430: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +0007d440: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +0007d450: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +0007d460: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +0007d470: 2069 643d 2269 646d 3130 3333 3122 3e3c   id="idm10331"><
│ │ │ +0007d480: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +0007d490: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +0007d4a0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +0007d4b0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +0007d4c0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +0007d4d0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +0007d4e0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0007d4f0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +0007d500: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0007d510: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +0007d520: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +0007d530: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0007d540: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +0007d550: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +0007d560: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +0007d570: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ +0007d580: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ +0007d590: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ +0007d5a0: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ +0007d5b0: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ +0007d5c0: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +0007d5d0: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ +0007d5e0: 4349 2d44 5353 2d52 6571 2d31 302e 340a  CI-DSS-Req-10.4.
│ │ │ +0007d5f0: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ +0007d600: 6567 790a 2020 2d20 6869 6768 5f73 6576  egy.  - high_sev
│ │ │ +0007d610: 6572 6974 790a 2020 2d20 6c6f 775f 636f  erity.  - low_co
│ │ │ +0007d620: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +0007d630: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +0007d640: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +0007d650: 0a20 202d 2070 6163 6b61 6765 5f6e 7470  .  - package_ntp
│ │ │ +0007d660: 5f69 6e73 7461 6c6c 6564 0a0a 2d20 6e61  _installed..- na
│ │ │ +0007d670: 6d65 3a20 456e 7375 7265 206e 7470 2069  me: Ensure ntp i
│ │ │ +0007d680: 7320 696e 7374 616c 6c65 640a 2020 7061  s installed.  pa
│ │ │ +0007d690: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ +0007d6a0: 206e 7470 0a20 2020 2073 7461 7465 3a20   ntp.    state: 
│ │ │ +0007d6b0: 7072 6573 656e 740a 2020 7768 656e 3a20  present.  when: 
│ │ │ +0007d6c0: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ +0007d6d0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ +0007d6e0: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ +0007d6f0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0007d700: 2d43 4d2d 3628 6129 0a20 202d 2050 4349  -CM-6(a).  - PCI
│ │ │ +0007d710: 2d44 5353 2d52 6571 2d31 302e 340a 2020  -DSS-Req-10.4.  
│ │ │ +0007d720: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +0007d730: 790a 2020 2d20 6869 6768 5f73 6576 6572  y.  - high_sever
│ │ │ +0007d740: 6974 790a 2020 2d20 6c6f 775f 636f 6d70  ity.  - low_comp
│ │ │ +0007d750: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +0007d760: 6973 7275 7074 696f 6e0a 2020 2d20 6e6f  isruption.  - no
│ │ │ +0007d770: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +0007d780: 202d 2070 6163 6b61 6765 5f6e 7470 5f69   - package_ntp_i
│ │ │ +0007d790: 6e73 7461 6c6c 6564 0a3c 2f63 6f64 653e  nstalled.</code>
│ │ │ +0007d7a0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +0007d7b0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +0007d7c0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +0007d7d0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +0007d7e0: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ +0007d7f0: 3033 3332 2220 7461 6269 6e64 6578 3d22  0332" tabindex="
│ │ │ +0007d800: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +0007d810: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +0007d820: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +0007d830: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +0007d840: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +0007d850: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +0007d860: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +0007d870: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +0007d880: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +0007d890: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ +0007d8a0: 3333 3222 3e3c 7461 626c 6520 636c 6173  332"><table clas
│ │ │ +0007d8b0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +0007d8c0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +0007d8d0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +0007d8e0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +0007d8f0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +0007d900: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0007d910: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +0007d920: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +0007d930: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0007d940: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +0007d950: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +0007d960: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +0007d970: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +0007d980: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0007d990: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +0007d9a0: 6c75 6465 2069 6e73 7461 6c6c 5f6e 7470  lude install_ntp
│ │ │ +0007d9b0: 0a0a 636c 6173 7320 696e 7374 616c 6c5f  ..class install_
│ │ │ +0007d9c0: 6e74 7020 7b0a 2020 7061 636b 6167 6520  ntp {.  package 
│ │ │ +0007d9d0: 7b20 276e 7470 273a 0a20 2020 2065 6e73  { 'ntp':.    ens
│ │ │ +0007d9e0: 7572 6520 3d26 6774 3b20 2769 6e73 7461  ure =&gt; 'insta
│ │ │ +0007d9f0: 6c6c 6564 272c 0a20 207d 0a7d 0a3c 2f63  lled',.  }.}.</c
│ │ │ +0007da00: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +0007da10: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +0007da20: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +0007da30: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +0007da40: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +0007da50: 6964 6d31 3033 3333 2220 7461 6269 6e64  idm10333" tabind
│ │ │ +0007da60: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +0007da70: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +0007da80: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +0007da90: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +0007daa0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +0007dab0: 5265 6d65 6469 6174 696f 6e20 4f53 4275  Remediation OSBu
│ │ │ +0007dac0: 696c 6420 426c 7565 7072 696e 7420 736e  ild Blueprint sn
│ │ │ +0007dad0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +0007dae0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0007daf0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0007db00: 6170 7365 2220 6964 3d22 6964 6d31 3033  apse" id="idm103
│ │ │ +0007db10: 3333 223e 3c70 7265 3e3c 636f 6465 3e0a  33"><pre><code>.
│ │ │ +0007db20: 5b5b 7061 636b 6167 6573 5d5d 0a6e 616d  [[packages]].nam
│ │ │ +0007db30: 6520 3d20 226e 7470 220a 7665 7273 696f  e = "ntp".versio
│ │ │ +0007db40: 6e20 3d20 222a 220a 3c2f 636f 6465 3e3c  n = "*".</code><
│ │ │  0007db50: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │  0007db60: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │  0007db70: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │  0007db80: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │  0007db90: 612d 7461 7267 6574 3d22 2369 646d 3130  a-target="#idm10
│ │ │  0007dba0: 3333 3422 2074 6162 696e 6465 783d 2230  334" tabindex="0
│ │ │  0007dbb0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ @@ -32461,157 +32461,157 @@
│ │ │  0007ecc0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  0007ecd0: 3130 3430 3422 2074 6162 696e 6465 783d  10404" tabindex=
│ │ │  0007ece0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │  0007ecf0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │  0007ed00: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │  0007ed10: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │  0007ed20: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -0007ed30: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ -0007ed40: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ -0007ed50: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -0007ed60: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -0007ed70: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -0007ed80: 6522 2069 643d 2269 646d 3130 3430 3422  e" id="idm10404"
│ │ │ -0007ed90: 3e3c 7072 653e 3c63 6f64 653e 0a5b 6375  ><pre><code>.[cu
│ │ │ -0007eda0: 7374 6f6d 697a 6174 696f 6e73 2e73 6572  stomizations.ser
│ │ │ -0007edb0: 7669 6365 735d 0a65 6e61 626c 6564 203d  vices].enabled =
│ │ │ -0007edc0: 205b 226e 7470 225d 0a3c 2f63 6f64 653e   ["ntp"].</code>
│ │ │ -0007edd0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -0007ede0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -0007edf0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -0007ee00: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -0007ee10: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ -0007ee20: 3034 3035 2220 7461 6269 6e64 6578 3d22  0405" tabindex="
│ │ │ -0007ee30: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -0007ee40: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -0007ee50: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -0007ee60: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -0007ee70: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -0007ee80: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ -0007ee90: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -0007eea0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -0007eeb0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -0007eec0: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ -0007eed0: 3430 3522 3e3c 7461 626c 6520 636c 6173  405"><table clas
│ │ │ -0007eee0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -0007eef0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -0007ef00: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -0007ef10: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -0007ef20: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -0007ef30: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -0007ef40: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -0007ef50: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -0007ef60: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0007ef70: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -0007ef80: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -0007ef90: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -0007efa0: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ -0007efb0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -0007efc0: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ -0007efd0: 6c75 6465 2065 6e61 626c 655f 6e74 700a  lude enable_ntp.
│ │ │ -0007efe0: 0a63 6c61 7373 2065 6e61 626c 655f 6e74  .class enable_nt
│ │ │ -0007eff0: 7020 7b0a 2020 7365 7276 6963 6520 7b27  p {.  service {'
│ │ │ -0007f000: 6e74 7027 3a0a 2020 2020 656e 6162 6c65  ntp':.    enable
│ │ │ -0007f010: 203d 2667 743b 2074 7275 652c 0a20 2020   =&gt; true,.   
│ │ │ -0007f020: 2065 6e73 7572 6520 3d26 6774 3b20 2772   ensure =&gt; 'r
│ │ │ -0007f030: 756e 6e69 6e67 272c 0a20 207d 0a7d 0a3c  unning',.  }.}.<
│ │ │ -0007f040: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -0007f050: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -0007f060: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -0007f070: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -0007f080: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -0007f090: 2223 6964 6d31 3034 3036 2220 7461 6269  "#idm10406" tabi
│ │ │ -0007f0a0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -0007f0b0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -0007f0c0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -0007f0d0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -0007f0e0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -0007f0f0: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -0007f100: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -0007f110: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -0007f120: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -0007f130: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -0007f140: 3d22 6964 6d31 3034 3036 223e 3c74 6162  ="idm10406"><tab
│ │ │ -0007f150: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -0007f160: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -0007f170: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -0007f180: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -0007f190: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -0007f1a0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0007f1b0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -0007f1c0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -0007f1d0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -0007f1e0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -0007f1f0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -0007f200: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -0007f210: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -0007f220: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -0007f230: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -0007f240: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ -0007f250: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ -0007f260: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ -0007f270: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ -0007f280: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ -0007f290: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0007f2a0: 4155 2d38 2831 2928 6129 0a20 202d 204e  AU-8(1)(a).  - N
│ │ │ -0007f2b0: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -0007f2c0: 6129 0a20 202d 2050 4349 2d44 5353 2d52  a).  - PCI-DSS-R
│ │ │ -0007f2d0: 6571 2d31 302e 340a 2020 2d20 5043 492d  eq-10.4.  - PCI-
│ │ │ -0007f2e0: 4453 5376 342d 3130 2e36 0a20 202d 2050  DSSv4-10.6.  - P
│ │ │ -0007f2f0: 4349 2d44 5353 7634 2d31 302e 362e 310a  CI-DSSv4-10.6.1.
│ │ │ -0007f300: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ -0007f310: 6567 790a 2020 2d20 6869 6768 5f73 6576  egy.  - high_sev
│ │ │ -0007f320: 6572 6974 790a 2020 2d20 6c6f 775f 636f  erity.  - low_co
│ │ │ -0007f330: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -0007f340: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -0007f350: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -0007f360: 0a20 202d 2073 6572 7669 6365 5f6e 7470  .  - service_ntp
│ │ │ -0007f370: 5f65 6e61 626c 6564 0a0a 2d20 6e61 6d65  _enabled..- name
│ │ │ -0007f380: 3a20 456e 6162 6c65 2074 6865 204e 5450  : Enable the NTP
│ │ │ -0007f390: 2044 6165 6d6f 6e20 2d20 456e 6162 6c65   Daemon - Enable
│ │ │ -0007f3a0: 2073 6572 7669 6365 206e 7470 0a20 2062   service ntp.  b
│ │ │ -0007f3b0: 6c6f 636b 3a0a 0a20 202d 206e 616d 653a  lock:..  - name:
│ │ │ -0007f3c0: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -0007f3d0: 6167 6520 6661 6374 730a 2020 2020 7061  age facts.    pa
│ │ │ -0007f3e0: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ -0007f3f0: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ -0007f400: 0a0a 2020 2d20 6e61 6d65 3a20 456e 6162  ..  - name: Enab
│ │ │ -0007f410: 6c65 2074 6865 204e 5450 2044 6165 6d6f  le the NTP Daemo
│ │ │ -0007f420: 6e20 2d20 456e 6162 6c65 2053 6572 7669  n - Enable Servi
│ │ │ -0007f430: 6365 206e 7470 0a20 2020 2061 6e73 6962  ce ntp.    ansib
│ │ │ -0007f440: 6c65 2e62 7569 6c74 696e 2e73 7973 7465  le.builtin.syste
│ │ │ -0007f450: 6d64 3a0a 2020 2020 2020 6e61 6d65 3a20  md:.      name: 
│ │ │ -0007f460: 6e74 700a 2020 2020 2020 656e 6162 6c65  ntp.      enable
│ │ │ -0007f470: 643a 2074 7275 650a 2020 2020 2020 7374  d: true.      st
│ │ │ -0007f480: 6174 653a 2073 7461 7274 6564 0a20 2020  ate: started.   
│ │ │ -0007f490: 2020 206d 6173 6b65 643a 2066 616c 7365     masked: false
│ │ │ -0007f4a0: 0a20 2020 2077 6865 6e3a 0a20 2020 202d  .    when:.    -
│ │ │ -0007f4b0: 2027 226e 7470 2220 696e 2061 6e73 6962   '"ntp" in ansib
│ │ │ -0007f4c0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ -0007f4d0: 7327 0a20 2077 6865 6e3a 0a20 202d 2027  s'.  when:.  - '
│ │ │ -0007f4e0: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ -0007f4f0: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ -0007f500: 636b 6167 6573 270a 2020 2d20 2722 6e74  ckages'.  - '"nt
│ │ │ -0007f510: 7022 2069 6e20 616e 7369 626c 655f 6661  p" in ansible_fa
│ │ │ -0007f520: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -0007f530: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -0007f540: 3030 2d35 332d 4155 2d38 2831 2928 6129  00-53-AU-8(1)(a)
│ │ │ -0007f550: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -0007f560: 2d43 4d2d 3628 6129 0a20 202d 2050 4349  -CM-6(a).  - PCI
│ │ │ -0007f570: 2d44 5353 2d52 6571 2d31 302e 340a 2020  -DSS-Req-10.4.  
│ │ │ -0007f580: 2d20 5043 492d 4453 5376 342d 3130 2e36  - PCI-DSSv4-10.6
│ │ │ -0007f590: 0a20 202d 2050 4349 2d44 5353 7634 2d31  .  - PCI-DSSv4-1
│ │ │ -0007f5a0: 302e 362e 310a 2020 2d20 656e 6162 6c65  0.6.1.  - enable
│ │ │ -0007f5b0: 5f73 7472 6174 6567 790a 2020 2d20 6869  _strategy.  - hi
│ │ │ -0007f5c0: 6768 5f73 6576 6572 6974 790a 2020 2d20  gh_severity.  - 
│ │ │ -0007f5d0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -0007f5e0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -0007f5f0: 6e0a 2020 2d20 6e6f 5f72 6562 6f6f 745f  n.  - no_reboot_
│ │ │ -0007f600: 6e65 6564 6564 0a20 202d 2073 6572 7669  needed.  - servi
│ │ │ -0007f610: 6365 5f6e 7470 5f65 6e61 626c 6564 0a3c  ce_ntp_enabled.<
│ │ │ +0007ed30: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ +0007ed40: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +0007ed50: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +0007ed60: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +0007ed70: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +0007ed80: 3130 3430 3422 3e3c 7461 626c 6520 636c  10404"><table cl
│ │ │ +0007ed90: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +0007eda0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +0007edb0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +0007edc0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +0007edd0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +0007ede0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0007edf0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +0007ee00: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +0007ee10: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0007ee20: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +0007ee30: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +0007ee40: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +0007ee50: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ +0007ee60: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +0007ee70: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ +0007ee80: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ +0007ee90: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ +0007eea0: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ +0007eeb0: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ +0007eec0: 746f 0a20 2074 6167 733a 0a20 202d 204e  to.  tags:.  - N
│ │ │ +0007eed0: 4953 542d 3830 302d 3533 2d41 552d 3828  IST-800-53-AU-8(
│ │ │ +0007eee0: 3129 2861 290a 2020 2d20 4e49 5354 2d38  1)(a).  - NIST-8
│ │ │ +0007eef0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +0007ef00: 2d20 5043 492d 4453 532d 5265 712d 3130  - PCI-DSS-Req-10
│ │ │ +0007ef10: 2e34 0a20 202d 2050 4349 2d44 5353 7634  .4.  - PCI-DSSv4
│ │ │ +0007ef20: 2d31 302e 360a 2020 2d20 5043 492d 4453  -10.6.  - PCI-DS
│ │ │ +0007ef30: 5376 342d 3130 2e36 2e31 0a20 202d 2065  Sv4-10.6.1.  - e
│ │ │ +0007ef40: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ +0007ef50: 202d 2068 6967 685f 7365 7665 7269 7479   - high_severity
│ │ │ +0007ef60: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +0007ef70: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +0007ef80: 7570 7469 6f6e 0a20 202d 206e 6f5f 7265  uption.  - no_re
│ │ │ +0007ef90: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +0007efa0: 7365 7276 6963 655f 6e74 705f 656e 6162  service_ntp_enab
│ │ │ +0007efb0: 6c65 640a 0a2d 206e 616d 653a 2045 6e61  led..- name: Ena
│ │ │ +0007efc0: 626c 6520 7468 6520 4e54 5020 4461 656d  ble the NTP Daem
│ │ │ +0007efd0: 6f6e 202d 2045 6e61 626c 6520 7365 7276  on - Enable serv
│ │ │ +0007efe0: 6963 6520 6e74 700a 2020 626c 6f63 6b3a  ice ntp.  block:
│ │ │ +0007eff0: 0a0a 2020 2d20 6e61 6d65 3a20 4761 7468  ..  - name: Gath
│ │ │ +0007f000: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ +0007f010: 6163 7473 0a20 2020 2070 6163 6b61 6765  acts.    package
│ │ │ +0007f020: 5f66 6163 7473 3a0a 2020 2020 2020 6d61  _facts:.      ma
│ │ │ +0007f030: 6e61 6765 723a 2061 7574 6f0a 0a20 202d  nager: auto..  -
│ │ │ +0007f040: 206e 616d 653a 2045 6e61 626c 6520 7468   name: Enable th
│ │ │ +0007f050: 6520 4e54 5020 4461 656d 6f6e 202d 2045  e NTP Daemon - E
│ │ │ +0007f060: 6e61 626c 6520 5365 7276 6963 6520 6e74  nable Service nt
│ │ │ +0007f070: 700a 2020 2020 616e 7369 626c 652e 6275  p.    ansible.bu
│ │ │ +0007f080: 696c 7469 6e2e 7379 7374 656d 643a 0a20  iltin.systemd:. 
│ │ │ +0007f090: 2020 2020 206e 616d 653a 206e 7470 0a20       name: ntp. 
│ │ │ +0007f0a0: 2020 2020 2065 6e61 626c 6564 3a20 7472       enabled: tr
│ │ │ +0007f0b0: 7565 0a20 2020 2020 2073 7461 7465 3a20  ue.      state: 
│ │ │ +0007f0c0: 7374 6172 7465 640a 2020 2020 2020 6d61  started.      ma
│ │ │ +0007f0d0: 736b 6564 3a20 6661 6c73 650a 2020 2020  sked: false.    
│ │ │ +0007f0e0: 7768 656e 3a0a 2020 2020 2d20 2722 6e74  when:.    - '"nt
│ │ │ +0007f0f0: 7022 2069 6e20 616e 7369 626c 655f 6661  p" in ansible_fa
│ │ │ +0007f100: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ +0007f110: 7768 656e 3a0a 2020 2d20 2722 6c69 6e75  when:.  - '"linu
│ │ │ +0007f120: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ +0007f130: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ +0007f140: 7327 0a20 202d 2027 226e 7470 2220 696e  s'.  - '"ntp" in
│ │ │ +0007f150: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ +0007f160: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ +0007f170: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0007f180: 2d41 552d 3828 3129 2861 290a 2020 2d20  -AU-8(1)(a).  - 
│ │ │ +0007f190: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ +0007f1a0: 2861 290a 2020 2d20 5043 492d 4453 532d  (a).  - PCI-DSS-
│ │ │ +0007f1b0: 5265 712d 3130 2e34 0a20 202d 2050 4349  Req-10.4.  - PCI
│ │ │ +0007f1c0: 2d44 5353 7634 2d31 302e 360a 2020 2d20  -DSSv4-10.6.  - 
│ │ │ +0007f1d0: 5043 492d 4453 5376 342d 3130 2e36 2e31  PCI-DSSv4-10.6.1
│ │ │ +0007f1e0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +0007f1f0: 7465 6779 0a20 202d 2068 6967 685f 7365  tegy.  - high_se
│ │ │ +0007f200: 7665 7269 7479 0a20 202d 206c 6f77 5f63  verity.  - low_c
│ │ │ +0007f210: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +0007f220: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +0007f230: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +0007f240: 640a 2020 2d20 7365 7276 6963 655f 6e74  d.  - service_nt
│ │ │ +0007f250: 705f 656e 6162 6c65 640a 3c2f 636f 6465  p_enabled.</code
│ │ │ +0007f260: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +0007f270: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +0007f280: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +0007f290: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +0007f2a0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +0007f2b0: 3130 3430 3522 2074 6162 696e 6465 783d  10405" tabindex=
│ │ │ +0007f2c0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +0007f2d0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +0007f2e0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +0007f2f0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +0007f300: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +0007f310: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ +0007f320: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +0007f330: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +0007f340: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +0007f350: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ +0007f360: 3034 3035 223e 3c74 6162 6c65 2063 6c61  0405"><table cla
│ │ │ +0007f370: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +0007f380: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +0007f390: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +0007f3a0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +0007f3b0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +0007f3c0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0007f3d0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +0007f3e0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +0007f3f0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0007f400: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +0007f410: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +0007f420: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +0007f430: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ +0007f440: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +0007f450: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +0007f460: 636c 7564 6520 656e 6162 6c65 5f6e 7470  clude enable_ntp
│ │ │ +0007f470: 0a0a 636c 6173 7320 656e 6162 6c65 5f6e  ..class enable_n
│ │ │ +0007f480: 7470 207b 0a20 2073 6572 7669 6365 207b  tp {.  service {
│ │ │ +0007f490: 276e 7470 273a 0a20 2020 2065 6e61 626c  'ntp':.    enabl
│ │ │ +0007f4a0: 6520 3d26 6774 3b20 7472 7565 2c0a 2020  e =&gt; true,.  
│ │ │ +0007f4b0: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +0007f4c0: 7275 6e6e 696e 6727 2c0a 2020 7d0a 7d0a  running',.  }.}.
│ │ │ +0007f4d0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +0007f4e0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +0007f4f0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +0007f500: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +0007f510: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +0007f520: 3d22 2369 646d 3130 3430 3622 2074 6162  ="#idm10406" tab
│ │ │ +0007f530: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +0007f540: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +0007f550: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +0007f560: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +0007f570: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +0007f580: 2122 3e52 656d 6564 6961 7469 6f6e 204f  !">Remediation O
│ │ │ +0007f590: 5342 7569 6c64 2042 6c75 6570 7269 6e74  SBuild Blueprint
│ │ │ +0007f5a0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +0007f5b0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +0007f5c0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +0007f5d0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +0007f5e0: 3130 3430 3622 3e3c 7072 653e 3c63 6f64  10406"><pre><cod
│ │ │ +0007f5f0: 653e 0a5b 6375 7374 6f6d 697a 6174 696f  e>.[customizatio
│ │ │ +0007f600: 6e73 2e73 6572 7669 6365 735d 0a65 6e61  ns.services].ena
│ │ │ +0007f610: 626c 6564 203d 205b 226e 7470 225d 0a3c  bled = ["ntp"].<
│ │ │  0007f620: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  0007f630: 763e 3c2f 6469 763e 3c2f 7464 3e3c 2f74  v></div></td></t
│ │ │  0007f640: 723e 3c2f 7462 6f64 793e 3c2f 7461 626c  r></tbody></tabl
│ │ │  0007f650: 653e 3c2f 7464 3e3c 2f74 723e 3c74 7220  e></td></tr><tr 
│ │ │  0007f660: 6461 7461 2d74 742d 6964 3d22 6368 696c  data-tt-id="chil
│ │ │  0007f670: 6472 656e 2d78 6363 6466 5f6f 7267 2e73  dren-xccdf_org.s
│ │ │  0007f680: 7367 7072 6f6a 6563 742e 636f 6e74 656e  sgproject.conten
│ │ │ @@ -36203,153 +36203,153 @@
│ │ │  0008d6a0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  0008d6b0: 2369 646d 3133 3430 3922 2074 6162 696e  #idm13409" tabin
│ │ │  0008d6c0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  0008d6d0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  0008d6e0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  0008d6f0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  0008d700: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -0008d710: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ -0008d720: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ -0008d730: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -0008d740: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -0008d750: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -0008d760: 6c61 7073 6522 2069 643d 2269 646d 3133  lapse" id="idm13
│ │ │ -0008d770: 3430 3922 3e3c 7072 653e 3c63 6f64 653e  409"><pre><code>
│ │ │ -0008d780: 0a5b 5b70 6163 6b61 6765 735d 5d0a 6e61  .[[packages]].na
│ │ │ -0008d790: 6d65 203d 2022 6175 6469 7464 220a 7665  me = "auditd".ve
│ │ │ -0008d7a0: 7273 696f 6e20 3d20 222a 220a 3c2f 636f  rsion = "*".</co
│ │ │ -0008d7b0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -0008d7c0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -0008d7d0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -0008d7e0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -0008d7f0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -0008d800: 646d 3133 3431 3022 2074 6162 696e 6465  dm13410" tabinde
│ │ │ -0008d810: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -0008d820: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -0008d830: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -0008d840: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -0008d850: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0008d860: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -0008d870: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -0008d880: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0008d890: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0008d8a0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0008d8b0: 6d31 3334 3130 223e 3c74 6162 6c65 2063  m13410"><table c
│ │ │ -0008d8c0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -0008d8d0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -0008d8e0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -0008d8f0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -0008d900: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -0008d910: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0008d920: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -0008d930: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -0008d940: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0008d950: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -0008d960: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -0008d970: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -0008d980: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -0008d990: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -0008d9a0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -0008d9b0: 696e 636c 7564 6520 696e 7374 616c 6c5f  include install_
│ │ │ -0008d9c0: 6175 6469 7464 0a0a 636c 6173 7320 696e  auditd..class in
│ │ │ -0008d9d0: 7374 616c 6c5f 6175 6469 7464 207b 0a20  stall_auditd {. 
│ │ │ -0008d9e0: 2070 6163 6b61 6765 207b 2027 6175 6469   package { 'audi
│ │ │ -0008d9f0: 7464 273a 0a20 2020 2065 6e73 7572 6520  td':.    ensure 
│ │ │ -0008da00: 3d26 6774 3b20 2769 6e73 7461 6c6c 6564  =&gt; 'installed
│ │ │ -0008da10: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -0008da20: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -0008da30: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -0008da40: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -0008da50: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -0008da60: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ -0008da70: 3334 3131 2220 7461 6269 6e64 6578 3d22  3411" tabindex="
│ │ │ -0008da80: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -0008da90: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -0008daa0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -0008dab0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -0008dac0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -0008dad0: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -0008dae0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -0008daf0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -0008db00: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -0008db10: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -0008db20: 3334 3131 223e 3c74 6162 6c65 2063 6c61  3411"><table cla
│ │ │ -0008db30: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -0008db40: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -0008db50: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -0008db60: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -0008db70: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -0008db80: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0008db90: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -0008dba0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -0008dbb0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0008dbc0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -0008dbd0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -0008dbe0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -0008dbf0: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -0008dc00: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -0008dc10: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ -0008dc20: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ -0008dc30: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ -0008dc40: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ -0008dc50: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ -0008dc60: 6f0a 2020 7461 6773 3a0a 2020 2d20 4e49  o.  tags:.  - NI
│ │ │ -0008dc70: 5354 2d38 3030 2d35 332d 4143 2d37 2861  ST-800-53-AC-7(a
│ │ │ -0008dc80: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -0008dc90: 332d 4155 2d31 3228 3229 0a20 202d 204e  3-AU-12(2).  - N
│ │ │ -0008dca0: 4953 542d 3830 302d 3533 2d41 552d 3134  IST-800-53-AU-14
│ │ │ -0008dcb0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -0008dcc0: 2d41 552d 3228 6129 0a20 202d 204e 4953  -AU-2(a).  - NIS
│ │ │ -0008dcd0: 542d 3830 302d 3533 2d41 552d 3728 3129  T-800-53-AU-7(1)
│ │ │ -0008dce0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -0008dcf0: 2d41 552d 3728 3229 0a20 202d 204e 4953  -AU-7(2).  - NIS
│ │ │ -0008dd00: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -0008dd10: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -0008dd20: 2d31 302e 310a 2020 2d20 5043 492d 4453  -10.1.  - PCI-DS
│ │ │ -0008dd30: 5376 342d 3130 2e32 0a20 202d 2050 4349  Sv4-10.2.  - PCI
│ │ │ -0008dd40: 2d44 5353 7634 2d31 302e 322e 310a 2020  -DSSv4-10.2.1.  
│ │ │ -0008dd50: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -0008dd60: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -0008dd70: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -0008dd80: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -0008dd90: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -0008dda0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -0008ddb0: 0a20 202d 2070 6163 6b61 6765 5f61 7564  .  - package_aud
│ │ │ -0008ddc0: 6974 5f69 6e73 7461 6c6c 6564 0a0a 2d20  it_installed..- 
│ │ │ -0008ddd0: 6e61 6d65 3a20 456e 7375 7265 2061 7564  name: Ensure aud
│ │ │ -0008dde0: 6974 6420 6973 2069 6e73 7461 6c6c 6564  itd is installed
│ │ │ -0008ddf0: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ -0008de00: 6e61 6d65 3a20 6175 6469 7464 0a20 2020  name: auditd.   
│ │ │ -0008de10: 2073 7461 7465 3a20 7072 6573 656e 740a   state: present.
│ │ │ -0008de20: 2020 7768 656e 3a20 2722 6c69 6e75 782d    when: '"linux-
│ │ │ -0008de30: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ -0008de40: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ -0008de50: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -0008de60: 542d 3830 302d 3533 2d41 432d 3728 6129  T-800-53-AC-7(a)
│ │ │ -0008de70: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -0008de80: 2d41 552d 3132 2832 290a 2020 2d20 4e49  -AU-12(2).  - NI
│ │ │ -0008de90: 5354 2d38 3030 2d35 332d 4155 2d31 340a  ST-800-53-AU-14.
│ │ │ -0008dea0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0008deb0: 4155 2d32 2861 290a 2020 2d20 4e49 5354  AU-2(a).  - NIST
│ │ │ -0008dec0: 2d38 3030 2d35 332d 4155 2d37 2831 290a  -800-53-AU-7(1).
│ │ │ -0008ded0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0008dee0: 4155 2d37 2832 290a 2020 2d20 4e49 5354  AU-7(2).  - NIST
│ │ │ -0008def0: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -0008df00: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ -0008df10: 3130 2e31 0a20 202d 2050 4349 2d44 5353  10.1.  - PCI-DSS
│ │ │ -0008df20: 7634 2d31 302e 320a 2020 2d20 5043 492d  v4-10.2.  - PCI-
│ │ │ -0008df30: 4453 5376 342d 3130 2e32 2e31 0a20 202d  DSSv4-10.2.1.  -
│ │ │ -0008df40: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -0008df50: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -0008df60: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -0008df70: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ -0008df80: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ -0008df90: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -0008dfa0: 2020 2d20 7061 636b 6167 655f 6175 6469    - package_audi
│ │ │ -0008dfb0: 745f 696e 7374 616c 6c65 640a 3c2f 636f  t_installed.</co
│ │ │ +0008d710: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +0008d720: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +0008d730: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +0008d740: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +0008d750: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +0008d760: 2269 646d 3133 3430 3922 3e3c 7461 626c  "idm13409"><tabl
│ │ │ +0008d770: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +0008d780: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +0008d790: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +0008d7a0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +0008d7b0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +0008d7c0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0008d7d0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +0008d7e0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +0008d7f0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0008d800: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +0008d810: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +0008d820: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +0008d830: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +0008d840: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ +0008d850: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +0008d860: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ +0008d870: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ +0008d880: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ +0008d890: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ +0008d8a0: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ +0008d8b0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +0008d8c0: 432d 3728 6129 0a20 202d 204e 4953 542d  C-7(a).  - NIST-
│ │ │ +0008d8d0: 3830 302d 3533 2d41 552d 3132 2832 290a  800-53-AU-12(2).
│ │ │ +0008d8e0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0008d8f0: 4155 2d31 340a 2020 2d20 4e49 5354 2d38  AU-14.  - NIST-8
│ │ │ +0008d900: 3030 2d35 332d 4155 2d32 2861 290a 2020  00-53-AU-2(a).  
│ │ │ +0008d910: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +0008d920: 2d37 2831 290a 2020 2d20 4e49 5354 2d38  -7(1).  - NIST-8
│ │ │ +0008d930: 3030 2d35 332d 4155 2d37 2832 290a 2020  00-53-AU-7(2).  
│ │ │ +0008d940: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +0008d950: 2d36 2861 290a 2020 2d20 5043 492d 4453  -6(a).  - PCI-DS
│ │ │ +0008d960: 532d 5265 712d 3130 2e31 0a20 202d 2050  S-Req-10.1.  - P
│ │ │ +0008d970: 4349 2d44 5353 7634 2d31 302e 320a 2020  CI-DSSv4-10.2.  
│ │ │ +0008d980: 2d20 5043 492d 4453 5376 342d 3130 2e32  - PCI-DSSv4-10.2
│ │ │ +0008d990: 2e31 0a20 202d 2065 6e61 626c 655f 7374  .1.  - enable_st
│ │ │ +0008d9a0: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +0008d9b0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +0008d9c0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +0008d9d0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +0008d9e0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +0008d9f0: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +0008da00: 655f 6175 6469 745f 696e 7374 616c 6c65  e_audit_installe
│ │ │ +0008da10: 640a 0a2d 206e 616d 653a 2045 6e73 7572  d..- name: Ensur
│ │ │ +0008da20: 6520 6175 6469 7464 2069 7320 696e 7374  e auditd is inst
│ │ │ +0008da30: 616c 6c65 640a 2020 7061 636b 6167 653a  alled.  package:
│ │ │ +0008da40: 0a20 2020 206e 616d 653a 2061 7564 6974  .    name: audit
│ │ │ +0008da50: 640a 2020 2020 7374 6174 653a 2070 7265  d.    state: pre
│ │ │ +0008da60: 7365 6e74 0a20 2077 6865 6e3a 2027 226c  sent.  when: '"l
│ │ │ +0008da70: 696e 7578 2d62 6173 6522 2069 6e20 616e  inux-base" in an
│ │ │ +0008da80: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ +0008da90: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ +0008daa0: 2d20 4e49 5354 2d38 3030 2d35 332d 4143  - NIST-800-53-AC
│ │ │ +0008dab0: 2d37 2861 290a 2020 2d20 4e49 5354 2d38  -7(a).  - NIST-8
│ │ │ +0008dac0: 3030 2d35 332d 4155 2d31 3228 3229 0a20  00-53-AU-12(2). 
│ │ │ +0008dad0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +0008dae0: 552d 3134 0a20 202d 204e 4953 542d 3830  U-14.  - NIST-80
│ │ │ +0008daf0: 302d 3533 2d41 552d 3228 6129 0a20 202d  0-53-AU-2(a).  -
│ │ │ +0008db00: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +0008db10: 3728 3129 0a20 202d 204e 4953 542d 3830  7(1).  - NIST-80
│ │ │ +0008db20: 302d 3533 2d41 552d 3728 3229 0a20 202d  0-53-AU-7(2).  -
│ │ │ +0008db30: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +0008db40: 3628 6129 0a20 202d 2050 4349 2d44 5353  6(a).  - PCI-DSS
│ │ │ +0008db50: 2d52 6571 2d31 302e 310a 2020 2d20 5043  -Req-10.1.  - PC
│ │ │ +0008db60: 492d 4453 5376 342d 3130 2e32 0a20 202d  I-DSSv4-10.2.  -
│ │ │ +0008db70: 2050 4349 2d44 5353 7634 2d31 302e 322e   PCI-DSSv4-10.2.
│ │ │ +0008db80: 310a 2020 2d20 656e 6162 6c65 5f73 7472  1.  - enable_str
│ │ │ +0008db90: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +0008dba0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +0008dbb0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +0008dbc0: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +0008dbd0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +0008dbe0: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +0008dbf0: 5f61 7564 6974 5f69 6e73 7461 6c6c 6564  _audit_installed
│ │ │ +0008dc00: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +0008dc10: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +0008dc20: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +0008dc30: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +0008dc40: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +0008dc50: 743d 2223 6964 6d31 3334 3130 2220 7461  t="#idm13410" ta
│ │ │ +0008dc60: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +0008dc70: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +0008dc80: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +0008dc90: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +0008dca0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +0008dcb0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +0008dcc0: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ +0008dcd0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +0008dce0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +0008dcf0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +0008dd00: 643d 2269 646d 3133 3431 3022 3e3c 7461  d="idm13410"><ta
│ │ │ +0008dd10: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +0008dd20: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +0008dd30: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +0008dd40: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +0008dd50: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +0008dd60: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +0008dd70: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0008dd80: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +0008dd90: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0008dda0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +0008ddb0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +0008ddc0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0008ddd0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +0008dde0: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ +0008ddf0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +0008de00: 636f 6465 3e69 6e63 6c75 6465 2069 6e73  code>include ins
│ │ │ +0008de10: 7461 6c6c 5f61 7564 6974 640a 0a63 6c61  tall_auditd..cla
│ │ │ +0008de20: 7373 2069 6e73 7461 6c6c 5f61 7564 6974  ss install_audit
│ │ │ +0008de30: 6420 7b0a 2020 7061 636b 6167 6520 7b20  d {.  package { 
│ │ │ +0008de40: 2761 7564 6974 6427 3a0a 2020 2020 656e  'auditd':.    en
│ │ │ +0008de50: 7375 7265 203d 2667 743b 2027 696e 7374  sure =&gt; 'inst
│ │ │ +0008de60: 616c 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f  alled',.  }.}.</
│ │ │ +0008de70: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +0008de80: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +0008de90: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +0008dea0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +0008deb0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +0008dec0: 2369 646d 3133 3431 3122 2074 6162 696e  #idm13411" tabin
│ │ │ +0008ded0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +0008dee0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +0008def0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +0008df00: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +0008df10: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +0008df20: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ +0008df30: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ +0008df40: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +0008df50: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +0008df60: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +0008df70: 6c61 7073 6522 2069 643d 2269 646d 3133  lapse" id="idm13
│ │ │ +0008df80: 3431 3122 3e3c 7072 653e 3c63 6f64 653e  411"><pre><code>
│ │ │ +0008df90: 0a5b 5b70 6163 6b61 6765 735d 5d0a 6e61  .[[packages]].na
│ │ │ +0008dfa0: 6d65 203d 2022 6175 6469 7464 220a 7665  me = "auditd".ve
│ │ │ +0008dfb0: 7273 696f 6e20 3d20 222a 220a 3c2f 636f  rsion = "*".</co
│ │ │  0008dfc0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  0008dfd0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │  0008dfe0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │  0008dff0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │  0008e000: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  0008e010: 646d 3133 3431 3222 2074 6162 696e 6465  dm13412" tabinde
│ │ │  0008e020: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ @@ -36811,190 +36811,190 @@
│ │ │  0008fca0: 6765 743d 2223 6964 6d31 3336 3130 2220  get="#idm13610" 
│ │ │  0008fcb0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  0008fcc0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  0008fcd0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  0008fce0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  0008fcf0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  0008fd00: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0008fd10: 6e20 4f53 4275 696c 6420 426c 7565 7072  n OSBuild Bluepr
│ │ │ -0008fd20: 696e 7420 736e 6970 7065 7420 e287 b23c  int snippet ...<
│ │ │ -0008fd30: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -0008fd40: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -0008fd50: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -0008fd60: 6964 6d31 3336 3130 223e 3c70 7265 3e3c  idm13610"><pre><
│ │ │ -0008fd70: 636f 6465 3e0a 5b63 7573 746f 6d69 7a61  code>.[customiza
│ │ │ -0008fd80: 7469 6f6e 732e 7365 7276 6963 6573 5d0a  tions.services].
│ │ │ -0008fd90: 656e 6162 6c65 6420 3d20 5b22 6175 6469  enabled = ["audi
│ │ │ -0008fda0: 7464 225d 0a3c 2f63 6f64 653e 3c2f 7072  td"].</code></pr
│ │ │ -0008fdb0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -0008fdc0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -0008fdd0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -0008fde0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -0008fdf0: 6172 6765 743d 2223 6964 6d31 3336 3131  arget="#idm13611
│ │ │ -0008fe00: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -0008fe10: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -0008fe20: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -0008fe30: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -0008fe40: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -0008fe50: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -0008fe60: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ -0008fe70: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -0008fe80: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -0008fe90: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -0008fea0: 6522 2069 643d 2269 646d 3133 3631 3122  e" id="idm13611"
│ │ │ -0008feb0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -0008fec0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -0008fed0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -0008fee0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -0008fef0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -0008ff00: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -0008ff10: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0008ff20: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -0008ff30: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0008ff40: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -0008ff50: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -0008ff60: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -0008ff70: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -0008ff80: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -0008ff90: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -0008ffa0: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ -0008ffb0: 2065 6e61 626c 655f 6175 6469 7464 0a0a   enable_auditd..
│ │ │ -0008ffc0: 636c 6173 7320 656e 6162 6c65 5f61 7564  class enable_aud
│ │ │ -0008ffd0: 6974 6420 7b0a 2020 7365 7276 6963 6520  itd {.  service 
│ │ │ -0008ffe0: 7b27 6175 6469 7464 273a 0a20 2020 2065  {'auditd':.    e
│ │ │ -0008fff0: 6e61 626c 6520 3d26 6774 3b20 7472 7565  nable =&gt; true
│ │ │ -00090000: 2c0a 2020 2020 656e 7375 7265 203d 2667  ,.    ensure =&g
│ │ │ -00090010: 743b 2027 7275 6e6e 696e 6727 2c0a 2020  t; 'running',.  
│ │ │ -00090020: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -00090030: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -00090040: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -00090050: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -00090060: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -00090070: 7267 6574 3d22 2369 646d 3133 3631 3222  rget="#idm13612"
│ │ │ -00090080: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -00090090: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -000900a0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -000900b0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -000900c0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -000900d0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -000900e0: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ -000900f0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -00090100: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00090110: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -00090120: 6522 2069 643d 2269 646d 3133 3631 3222  e" id="idm13612"
│ │ │ -00090130: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00090140: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00090150: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00090160: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00090170: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00090180: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -00090190: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -000901a0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -000901b0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -000901c0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -000901d0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -000901e0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -000901f0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00090200: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -00090210: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00090220: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -00090230: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -00090240: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ -00090250: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ -00090260: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ -00090270: 6167 733a 0a20 202d 2043 4a49 532d 352e  ags:.  - CJIS-5.
│ │ │ -00090280: 342e 312e 310a 2020 2d20 4e49 5354 2d38  4.1.1.  - NIST-8
│ │ │ -00090290: 3030 2d31 3731 2d33 2e33 2e31 0a20 202d  00-171-3.3.1.  -
│ │ │ -000902a0: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ -000902b0: 332e 320a 2020 2d20 4e49 5354 2d38 3030  3.2.  - NIST-800
│ │ │ -000902c0: 2d31 3731 2d33 2e33 2e36 0a20 202d 204e  -171-3.3.6.  - N
│ │ │ -000902d0: 4953 542d 3830 302d 3533 2d41 432d 3228  IST-800-53-AC-2(
│ │ │ -000902e0: 6729 0a20 202d 204e 4953 542d 3830 302d  g).  - NIST-800-
│ │ │ -000902f0: 3533 2d41 432d 3628 3929 0a20 202d 204e  53-AC-6(9).  - N
│ │ │ -00090300: 4953 542d 3830 302d 3533 2d41 552d 3130  IST-800-53-AU-10
│ │ │ -00090310: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00090320: 2d41 552d 3132 2863 290a 2020 2d20 4e49  -AU-12(c).  - NI
│ │ │ -00090330: 5354 2d38 3030 2d35 332d 4155 2d31 3428  ST-800-53-AU-14(
│ │ │ -00090340: 3129 0a20 202d 204e 4953 542d 3830 302d  1).  - NIST-800-
│ │ │ -00090350: 3533 2d41 552d 3228 6429 0a20 202d 204e  53-AU-2(d).  - N
│ │ │ -00090360: 4953 542d 3830 302d 3533 2d41 552d 330a  IST-800-53-AU-3.
│ │ │ -00090370: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00090380: 434d 2d36 2861 290a 2020 2d20 4e49 5354  CM-6(a).  - NIST
│ │ │ -00090390: 2d38 3030 2d35 332d 5349 2d34 2832 3329  -800-53-SI-4(23)
│ │ │ -000903a0: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -000903b0: 2d31 302e 310a 2020 2d20 5043 492d 4453  -10.1.  - PCI-DS
│ │ │ -000903c0: 5376 342d 3130 2e32 0a20 202d 2050 4349  Sv4-10.2.  - PCI
│ │ │ -000903d0: 2d44 5353 7634 2d31 302e 322e 310a 2020  -DSSv4-10.2.1.  
│ │ │ -000903e0: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -000903f0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -00090400: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -00090410: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -00090420: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -00090430: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -00090440: 0a20 202d 2073 6572 7669 6365 5f61 7564  .  - service_aud
│ │ │ -00090450: 6974 645f 656e 6162 6c65 640a 0a2d 206e  itd_enabled..- n
│ │ │ -00090460: 616d 653a 2045 6e61 626c 6520 6175 6469  ame: Enable audi
│ │ │ -00090470: 7464 2053 6572 7669 6365 202d 2045 6e61  td Service - Ena
│ │ │ -00090480: 626c 6520 7365 7276 6963 6520 6175 6469  ble service audi
│ │ │ -00090490: 7464 0a20 2062 6c6f 636b 3a0a 0a20 202d  td.  block:..  -
│ │ │ -000904a0: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ -000904b0: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ -000904c0: 2020 2020 7061 636b 6167 655f 6661 6374      package_fact
│ │ │ -000904d0: 733a 0a20 2020 2020 206d 616e 6167 6572  s:.      manager
│ │ │ -000904e0: 3a20 6175 746f 0a0a 2020 2d20 6e61 6d65  : auto..  - name
│ │ │ -000904f0: 3a20 456e 6162 6c65 2061 7564 6974 6420  : Enable auditd 
│ │ │ -00090500: 5365 7276 6963 6520 2d20 456e 6162 6c65  Service - Enable
│ │ │ -00090510: 2053 6572 7669 6365 2061 7564 6974 640a   Service auditd.
│ │ │ -00090520: 2020 2020 616e 7369 626c 652e 6275 696c      ansible.buil
│ │ │ -00090530: 7469 6e2e 7379 7374 656d 643a 0a20 2020  tin.systemd:.   
│ │ │ -00090540: 2020 206e 616d 653a 2061 7564 6974 640a     name: auditd.
│ │ │ -00090550: 2020 2020 2020 656e 6162 6c65 643a 2074        enabled: t
│ │ │ -00090560: 7275 650a 2020 2020 2020 7374 6174 653a  rue.      state:
│ │ │ -00090570: 2073 7461 7274 6564 0a20 2020 2020 206d   started.      m
│ │ │ -00090580: 6173 6b65 643a 2066 616c 7365 0a20 2020  asked: false.   
│ │ │ -00090590: 2077 6865 6e3a 0a20 2020 202d 2027 2261   when:.    - '"a
│ │ │ -000905a0: 7564 6974 6422 2069 6e20 616e 7369 626c  uditd" in ansibl
│ │ │ -000905b0: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -000905c0: 270a 2020 7768 656e 3a0a 2020 2d20 2722  '.  when:.  - '"
│ │ │ -000905d0: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ -000905e0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ -000905f0: 6b61 6765 7327 0a20 202d 2027 2261 7564  kages'.  - '"aud
│ │ │ -00090600: 6974 6422 2069 6e20 616e 7369 626c 655f  itd" in ansible_
│ │ │ -00090610: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ -00090620: 2020 7461 6773 3a0a 2020 2d20 434a 4953    tags:.  - CJIS
│ │ │ -00090630: 2d35 2e34 2e31 2e31 0a20 202d 204e 4953  -5.4.1.1.  - NIS
│ │ │ -00090640: 542d 3830 302d 3137 312d 332e 332e 310a  T-800-171-3.3.1.
│ │ │ -00090650: 2020 2d20 4e49 5354 2d38 3030 2d31 3731    - NIST-800-171
│ │ │ -00090660: 2d33 2e33 2e32 0a20 202d 204e 4953 542d  -3.3.2.  - NIST-
│ │ │ -00090670: 3830 302d 3137 312d 332e 332e 360a 2020  800-171-3.3.6.  
│ │ │ -00090680: 2d20 4e49 5354 2d38 3030 2d35 332d 4143  - NIST-800-53-AC
│ │ │ -00090690: 2d32 2867 290a 2020 2d20 4e49 5354 2d38  -2(g).  - NIST-8
│ │ │ -000906a0: 3030 2d35 332d 4143 2d36 2839 290a 2020  00-53-AC-6(9).  
│ │ │ -000906b0: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ -000906c0: 2d31 300a 2020 2d20 4e49 5354 2d38 3030  -10.  - NIST-800
│ │ │ -000906d0: 2d35 332d 4155 2d31 3228 6329 0a20 202d  -53-AU-12(c).  -
│ │ │ -000906e0: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -000906f0: 3134 2831 290a 2020 2d20 4e49 5354 2d38  14(1).  - NIST-8
│ │ │ -00090700: 3030 2d35 332d 4155 2d32 2864 290a 2020  00-53-AU-2(d).  
│ │ │ -00090710: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ -00090720: 2d33 0a20 202d 204e 4953 542d 3830 302d  -3.  - NIST-800-
│ │ │ -00090730: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ -00090740: 4953 542d 3830 302d 3533 2d53 492d 3428  IST-800-53-SI-4(
│ │ │ -00090750: 3233 290a 2020 2d20 5043 492d 4453 532d  23).  - PCI-DSS-
│ │ │ -00090760: 5265 712d 3130 2e31 0a20 202d 2050 4349  Req-10.1.  - PCI
│ │ │ -00090770: 2d44 5353 7634 2d31 302e 320a 2020 2d20  -DSSv4-10.2.  - 
│ │ │ -00090780: 5043 492d 4453 5376 342d 3130 2e32 2e31  PCI-DSSv4-10.2.1
│ │ │ -00090790: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ -000907a0: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -000907b0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -000907c0: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ -000907d0: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ -000907e0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -000907f0: 6465 640a 2020 2d20 7365 7276 6963 655f  ded.  - service_
│ │ │ -00090800: 6175 6469 7464 5f65 6e61 626c 6564 0a3c  auditd_enabled.<
│ │ │ +0008fd10: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +0008fd20: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +0008fd30: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +0008fd40: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +0008fd50: 2220 6964 3d22 6964 6d31 3336 3130 223e  " id="idm13610">
│ │ │ +0008fd60: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +0008fd70: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +0008fd80: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +0008fd90: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +0008fda0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +0008fdb0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +0008fdc0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0008fdd0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +0008fde0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0008fdf0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +0008fe00: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +0008fe10: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +0008fe20: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +0008fe30: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +0008fe40: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +0008fe50: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +0008fe60: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ +0008fe70: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ +0008fe80: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ +0008fe90: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ +0008fea0: 6773 3a0a 2020 2d20 434a 4953 2d35 2e34  gs:.  - CJIS-5.4
│ │ │ +0008feb0: 2e31 2e31 0a20 202d 204e 4953 542d 3830  .1.1.  - NIST-80
│ │ │ +0008fec0: 302d 3137 312d 332e 332e 310a 2020 2d20  0-171-3.3.1.  - 
│ │ │ +0008fed0: 4e49 5354 2d38 3030 2d31 3731 2d33 2e33  NIST-800-171-3.3
│ │ │ +0008fee0: 2e32 0a20 202d 204e 4953 542d 3830 302d  .2.  - NIST-800-
│ │ │ +0008fef0: 3137 312d 332e 332e 360a 2020 2d20 4e49  171-3.3.6.  - NI
│ │ │ +0008ff00: 5354 2d38 3030 2d35 332d 4143 2d32 2867  ST-800-53-AC-2(g
│ │ │ +0008ff10: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +0008ff20: 332d 4143 2d36 2839 290a 2020 2d20 4e49  3-AC-6(9).  - NI
│ │ │ +0008ff30: 5354 2d38 3030 2d35 332d 4155 2d31 300a  ST-800-53-AU-10.
│ │ │ +0008ff40: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0008ff50: 4155 2d31 3228 6329 0a20 202d 204e 4953  AU-12(c).  - NIS
│ │ │ +0008ff60: 542d 3830 302d 3533 2d41 552d 3134 2831  T-800-53-AU-14(1
│ │ │ +0008ff70: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +0008ff80: 332d 4155 2d32 2864 290a 2020 2d20 4e49  3-AU-2(d).  - NI
│ │ │ +0008ff90: 5354 2d38 3030 2d35 332d 4155 2d33 0a20  ST-800-53-AU-3. 
│ │ │ +0008ffa0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +0008ffb0: 4d2d 3628 6129 0a20 202d 204e 4953 542d  M-6(a).  - NIST-
│ │ │ +0008ffc0: 3830 302d 3533 2d53 492d 3428 3233 290a  800-53-SI-4(23).
│ │ │ +0008ffd0: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ +0008ffe0: 3130 2e31 0a20 202d 2050 4349 2d44 5353  10.1.  - PCI-DSS
│ │ │ +0008fff0: 7634 2d31 302e 320a 2020 2d20 5043 492d  v4-10.2.  - PCI-
│ │ │ +00090000: 4453 5376 342d 3130 2e32 2e31 0a20 202d  DSSv4-10.2.1.  -
│ │ │ +00090010: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ +00090020: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +00090030: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +00090040: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ +00090050: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ +00090060: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +00090070: 2020 2d20 7365 7276 6963 655f 6175 6469    - service_audi
│ │ │ +00090080: 7464 5f65 6e61 626c 6564 0a0a 2d20 6e61  td_enabled..- na
│ │ │ +00090090: 6d65 3a20 456e 6162 6c65 2061 7564 6974  me: Enable audit
│ │ │ +000900a0: 6420 5365 7276 6963 6520 2d20 456e 6162  d Service - Enab
│ │ │ +000900b0: 6c65 2073 6572 7669 6365 2061 7564 6974  le service audit
│ │ │ +000900c0: 640a 2020 626c 6f63 6b3a 0a0a 2020 2d20  d.  block:..  - 
│ │ │ +000900d0: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ +000900e0: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ +000900f0: 2020 2070 6163 6b61 6765 5f66 6163 7473     package_facts
│ │ │ +00090100: 3a0a 2020 2020 2020 6d61 6e61 6765 723a  :.      manager:
│ │ │ +00090110: 2061 7574 6f0a 0a20 202d 206e 616d 653a   auto..  - name:
│ │ │ +00090120: 2045 6e61 626c 6520 6175 6469 7464 2053   Enable auditd S
│ │ │ +00090130: 6572 7669 6365 202d 2045 6e61 626c 6520  ervice - Enable 
│ │ │ +00090140: 5365 7276 6963 6520 6175 6469 7464 0a20  Service auditd. 
│ │ │ +00090150: 2020 2061 6e73 6962 6c65 2e62 7569 6c74     ansible.built
│ │ │ +00090160: 696e 2e73 7973 7465 6d64 3a0a 2020 2020  in.systemd:.    
│ │ │ +00090170: 2020 6e61 6d65 3a20 6175 6469 7464 0a20    name: auditd. 
│ │ │ +00090180: 2020 2020 2065 6e61 626c 6564 3a20 7472       enabled: tr
│ │ │ +00090190: 7565 0a20 2020 2020 2073 7461 7465 3a20  ue.      state: 
│ │ │ +000901a0: 7374 6172 7465 640a 2020 2020 2020 6d61  started.      ma
│ │ │ +000901b0: 736b 6564 3a20 6661 6c73 650a 2020 2020  sked: false.    
│ │ │ +000901c0: 7768 656e 3a0a 2020 2020 2d20 2722 6175  when:.    - '"au
│ │ │ +000901d0: 6469 7464 2220 696e 2061 6e73 6962 6c65  ditd" in ansible
│ │ │ +000901e0: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ +000901f0: 0a20 2077 6865 6e3a 0a20 202d 2027 226c  .  when:.  - '"l
│ │ │ +00090200: 696e 7578 2d62 6173 6522 2069 6e20 616e  inux-base" in an
│ │ │ +00090210: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ +00090220: 6167 6573 270a 2020 2d20 2722 6175 6469  ages'.  - '"audi
│ │ │ +00090230: 7464 2220 696e 2061 6e73 6962 6c65 5f66  td" in ansible_f
│ │ │ +00090240: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ +00090250: 2074 6167 733a 0a20 202d 2043 4a49 532d   tags:.  - CJIS-
│ │ │ +00090260: 352e 342e 312e 310a 2020 2d20 4e49 5354  5.4.1.1.  - NIST
│ │ │ +00090270: 2d38 3030 2d31 3731 2d33 2e33 2e31 0a20  -800-171-3.3.1. 
│ │ │ +00090280: 202d 204e 4953 542d 3830 302d 3137 312d   - NIST-800-171-
│ │ │ +00090290: 332e 332e 320a 2020 2d20 4e49 5354 2d38  3.3.2.  - NIST-8
│ │ │ +000902a0: 3030 2d31 3731 2d33 2e33 2e36 0a20 202d  00-171-3.3.6.  -
│ │ │ +000902b0: 204e 4953 542d 3830 302d 3533 2d41 432d   NIST-800-53-AC-
│ │ │ +000902c0: 3228 6729 0a20 202d 204e 4953 542d 3830  2(g).  - NIST-80
│ │ │ +000902d0: 302d 3533 2d41 432d 3628 3929 0a20 202d  0-53-AC-6(9).  -
│ │ │ +000902e0: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +000902f0: 3130 0a20 202d 204e 4953 542d 3830 302d  10.  - NIST-800-
│ │ │ +00090300: 3533 2d41 552d 3132 2863 290a 2020 2d20  53-AU-12(c).  - 
│ │ │ +00090310: 4e49 5354 2d38 3030 2d35 332d 4155 2d31  NIST-800-53-AU-1
│ │ │ +00090320: 3428 3129 0a20 202d 204e 4953 542d 3830  4(1).  - NIST-80
│ │ │ +00090330: 302d 3533 2d41 552d 3228 6429 0a20 202d  0-53-AU-2(d).  -
│ │ │ +00090340: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +00090350: 330a 2020 2d20 4e49 5354 2d38 3030 2d35  3.  - NIST-800-5
│ │ │ +00090360: 332d 434d 2d36 2861 290a 2020 2d20 4e49  3-CM-6(a).  - NI
│ │ │ +00090370: 5354 2d38 3030 2d35 332d 5349 2d34 2832  ST-800-53-SI-4(2
│ │ │ +00090380: 3329 0a20 202d 2050 4349 2d44 5353 2d52  3).  - PCI-DSS-R
│ │ │ +00090390: 6571 2d31 302e 310a 2020 2d20 5043 492d  eq-10.1.  - PCI-
│ │ │ +000903a0: 4453 5376 342d 3130 2e32 0a20 202d 2050  DSSv4-10.2.  - P
│ │ │ +000903b0: 4349 2d44 5353 7634 2d31 302e 322e 310a  CI-DSSv4-10.2.1.
│ │ │ +000903c0: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ +000903d0: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ +000903e0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +000903f0: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ +00090400: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ +00090410: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +00090420: 6564 0a20 202d 2073 6572 7669 6365 5f61  ed.  - service_a
│ │ │ +00090430: 7564 6974 645f 656e 6162 6c65 640a 3c2f  uditd_enabled.</
│ │ │ +00090440: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00090450: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00090460: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00090470: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00090480: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +00090490: 2369 646d 3133 3631 3122 2074 6162 696e  #idm13611" tabin
│ │ │ +000904a0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +000904b0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +000904c0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +000904d0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +000904e0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +000904f0: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +00090500: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +00090510: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00090520: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00090530: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00090540: 6964 6d31 3336 3131 223e 3c74 6162 6c65  idm13611"><table
│ │ │ +00090550: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00090560: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00090570: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00090580: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00090590: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +000905a0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +000905b0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +000905c0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +000905d0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +000905e0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +000905f0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00090600: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00090610: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +00090620: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +00090630: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00090640: 653e 696e 636c 7564 6520 656e 6162 6c65  e>include enable
│ │ │ +00090650: 5f61 7564 6974 640a 0a63 6c61 7373 2065  _auditd..class e
│ │ │ +00090660: 6e61 626c 655f 6175 6469 7464 207b 0a20  nable_auditd {. 
│ │ │ +00090670: 2073 6572 7669 6365 207b 2761 7564 6974   service {'audit
│ │ │ +00090680: 6427 3a0a 2020 2020 656e 6162 6c65 203d  d':.    enable =
│ │ │ +00090690: 2667 743b 2074 7275 652c 0a20 2020 2065  &gt; true,.    e
│ │ │ +000906a0: 6e73 7572 6520 3d26 6774 3b20 2772 756e  nsure =&gt; 'run
│ │ │ +000906b0: 6e69 6e67 272c 0a20 207d 0a7d 0a3c 2f63  ning',.  }.}.</c
│ │ │ +000906c0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +000906d0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +000906e0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +000906f0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +00090700: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +00090710: 6964 6d31 3336 3132 2220 7461 6269 6e64  idm13612" tabind
│ │ │ +00090720: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +00090730: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +00090740: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +00090750: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +00090760: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +00090770: 5265 6d65 6469 6174 696f 6e20 4f53 4275  Remediation OSBu
│ │ │ +00090780: 696c 6420 426c 7565 7072 696e 7420 736e  ild Blueprint sn
│ │ │ +00090790: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +000907a0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +000907b0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +000907c0: 6170 7365 2220 6964 3d22 6964 6d31 3336  apse" id="idm136
│ │ │ +000907d0: 3132 223e 3c70 7265 3e3c 636f 6465 3e0a  12"><pre><code>.
│ │ │ +000907e0: 5b63 7573 746f 6d69 7a61 7469 6f6e 732e  [customizations.
│ │ │ +000907f0: 7365 7276 6963 6573 5d0a 656e 6162 6c65  services].enable
│ │ │ +00090800: 6420 3d20 5b22 6175 6469 7464 225d 0a3c  d = ["auditd"].<
│ │ │  00090810: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  00090820: 763e 3c2f 6469 763e 3c2f 7464 3e3c 2f74  v></div></td></t
│ │ │  00090830: 723e 3c2f 7462 6f64 793e 3c2f 7461 626c  r></tbody></tabl
│ │ │  00090840: 653e 3c2f 7464 3e3c 2f74 723e 3c2f 7462  e></td></tr></tb
│ │ │  00090850: 6f64 793e 3c2f 7461 626c 653e 3c2f 6469  ody></table></di
│ │ │  00090860: 763e 3c64 6976 2069 643d 2272 6561 722d  v><div id="rear-
│ │ │  00090870: 6d61 7474 6572 223e 3c64 6976 2063 6c61  matter"><div cla
│ │ │ ├── html2text {}
│ │ │ │ @@ -1818,31 +1818,14 @@
│ │ │ │              _d_i_s_a           CCI-001311, CCI-001312
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "syslog-ng"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_syslog-ng
│ │ │ │ -
│ │ │ │ -class install_syslog-ng {
│ │ │ │ -  package { 'syslog-ng':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1865,14 +1848,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_syslogng_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_syslog-ng
│ │ │ │ +
│ │ │ │ +class install_syslog-ng {
│ │ │ │ +  package { 'syslog-ng':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "syslog-ng"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -1902,31 +1902,14 @@
│ │ │ │                             4.4.2.2, 4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["syslog-ng"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_syslog-ng
│ │ │ │ -
│ │ │ │ -class enable_syslog-ng {
│ │ │ │ -  service {'syslog-ng':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1962,14 +1945,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_syslogng_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_syslog-ng
│ │ │ │ +
│ │ │ │ +class enable_syslog-ng {
│ │ │ │ +  service {'syslog-ng':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["syslog-ng"]
│ │ │ │  ****** RRuullee? ?  EEnnssuurree rrssyysslloogg iiss IInnssttaalllleedd ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Rsyslog is installed by default. The rsyslog package can be installed with the
│ │ │ │  following command:
│ │ │ │   $ apt-get install rsyslog
│ │ │ │  Rationale:  The rsyslog package provides the rsyslog daemon, which provides
│ │ │ │              system logging services.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -1982,31 +1982,14 @@
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000479-GPOS-00224, SRG-OS-000051-GPOS-00024,
│ │ │ │                             SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2029,14 +2012,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsyslog_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -2067,31 +2067,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2127,14 +2110,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]
│ │ │ │  Group   File Permissions and Masks   Group contains 5 groups and 17 rules
│ │ │ │  _[_r_e_f_]   Traditional Unix security relies heavily on file and directory
│ │ │ │  permissions to prevent unauthorized users from reading or modifying files to
│ │ │ │  which they should not have access.
│ │ │ │  
│ │ │ │  Several of the commands in this section search filesystems for files or
│ │ │ │  directories with certain characteristics, and are intended to be run on every
│ │ │ │ @@ -3938,31 +3938,14 @@
│ │ │ │                             SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3,
│ │ │ │                             A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _p_c_i_d_s_s_4        2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "cron"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_cron
│ │ │ │ -
│ │ │ │ -class install_cron {
│ │ │ │ -  package { 'cron':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -3989,14 +3972,31 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_cron_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_cron
│ │ │ │ +
│ │ │ │ +class install_cron {
│ │ │ │ +  package { 'cron':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "cron"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -4034,26 +4034,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_inetutils-telnetd
│ │ │ │ -
│ │ │ │ -class remove_inetutils-telnetd {
│ │ │ │ -  package { 'inetutils-telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure inetutils-telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -4065,14 +4053,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_inetutils-telnetd_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_inetutils-telnetd
│ │ │ │ +
│ │ │ │ +class remove_inetutils-telnetd {
│ │ │ │ +  package { 'inetutils-telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove inetutils-telnetd
│ │ │ │ @@ -4085,26 +4085,14 @@
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The support for Yellowpages should not be installed unless it is required.
│ │ │ │             NIS is the historical SUN service for central account management,
│ │ │ │  Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │             security constraints, ACL, etc. and should not be used.
│ │ │ │  Severity:  low
│ │ │ │  Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_nis
│ │ │ │ -
│ │ │ │ -class remove_nis {
│ │ │ │ -  package { 'nis':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure nis is removed
│ │ │ │    package:
│ │ │ │ @@ -4113,14 +4101,26 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_nis_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_nis
│ │ │ │ +
│ │ │ │ +class remove_nis {
│ │ │ │ +  package { 'nis':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove nis
│ │ │ │ @@ -4134,26 +4134,14 @@
│ │ │ │  ntpdate is a historical ntp synchronization client for unixes. It sould be
│ │ │ │  uninstalled.
│ │ │ │             ntpdate is an old not security-compliant ntp client. It should be
│ │ │ │  Rationale: replaced by modern ntp clients such as ntpd, able to use
│ │ │ │             cryptographic mechanisms integrated in NTP.
│ │ │ │  Severity:  low
│ │ │ │  Rule ID:   xccdf_org.ssgproject.content_rule_package_ntpdate_removed
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ntpdate
│ │ │ │ -
│ │ │ │ -class remove_ntpdate {
│ │ │ │ -  package { 'ntpdate':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ntpdate is removed
│ │ │ │    package:
│ │ │ │ @@ -4162,14 +4150,26 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ntpdate_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ntpdate
│ │ │ │ +
│ │ │ │ +class remove_ntpdate {
│ │ │ │ +  package { 'ntpdate':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove ntpdate
│ │ │ │ @@ -4200,26 +4200,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd-ssl
│ │ │ │ -
│ │ │ │ -class remove_telnetd-ssl {
│ │ │ │ -  package { 'telnetd-ssl':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd-ssl is removed
│ │ │ │    package:
│ │ │ │ @@ -4231,14 +4219,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd-ssl_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd-ssl
│ │ │ │ +
│ │ │ │ +class remove_telnetd-ssl {
│ │ │ │ +  package { 'telnetd-ssl':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnetd-ssl
│ │ │ │ @@ -4270,26 +4270,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd
│ │ │ │ -
│ │ │ │ -class remove_telnetd {
│ │ │ │ -  package { 'telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -4301,14 +4289,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd
│ │ │ │ +
│ │ │ │ +class remove_telnetd {
│ │ │ │ +  package { 'telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnetd
│ │ │ │ @@ -4383,31 +4383,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "ntp"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_ntp
│ │ │ │ -
│ │ │ │ -class install_ntp {
│ │ │ │ -  package { 'ntp':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4432,14 +4415,31 @@
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ntp_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_ntp
│ │ │ │ +
│ │ │ │ +class install_ntp {
│ │ │ │ +  package { 'ntp':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "ntp"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -4473,31 +4473,14 @@
│ │ │ │                             4.4.2.4
│ │ │ │  References: _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-8(1)(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │              _p_c_i_d_s_s_4        10.6.1, 10.6
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["ntp"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_ntp
│ │ │ │ -
│ │ │ │ -class enable_ntp {
│ │ │ │ -  service {'ntp':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4541,14 +4524,31 @@
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ntp_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_ntp
│ │ │ │ +
│ │ │ │ +class enable_ntp {
│ │ │ │ +  service {'ntp':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["ntp"]
│ │ │ │  Group   SSH Server   Group contains 1 group and 5 rules
│ │ │ │  _[_r_e_f_]   The SSH protocol is recommended for remote login and remote file
│ │ │ │  transfer. SSH provides confidentiality and integrity for data exchanged between
│ │ │ │  two systems, as well as server authentication, through the use of public key
│ │ │ │  cryptography. The implementation included with the system is called OpenSSH,
│ │ │ │  and more detailed documentation is available from its website, _h_t_t_p_s_:_/_/
│ │ │ │  _w_w_w_._o_p_e_n_s_s_h_._c_o_m. Its server program is called sshd and provided by the RPM
│ │ │ │ @@ -5431,31 +5431,14 @@
│ │ │ │                       000349-GPOS-00137, SRG-OS-000350-GPOS-00138, SRG-OS-
│ │ │ │                       000351-GPOS-00139, SRG-OS-000352-GPOS-00140, SRG-OS-
│ │ │ │                       000353-GPOS-00141, SRG-OS-000354-GPOS-00142, SRG-OS-
│ │ │ │                       000358-GPOS-00145, SRG-OS-000365-GPOS-00152, SRG-OS-
│ │ │ │                       000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │              _a_n_s_s_i    R33, R73
│ │ │ │              _p_c_i_d_s_s_4  10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "auditd"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_auditd
│ │ │ │ -
│ │ │ │ -class install_auditd {
│ │ │ │ -  package { 'auditd':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -5496,14 +5479,31 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_audit_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_auditd
│ │ │ │ +
│ │ │ │ +class install_auditd {
│ │ │ │ +  package { 'auditd':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "auditd"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -5579,31 +5579,14 @@
│ │ │ │                             SRG-OS-000358-GPOS-00145, SRG-OS-000365-GPOS-00152,
│ │ │ │                             SRG-OS-000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │                             SRG-APP-000095-CTR-000170, SRG-APP-000409-CTR-
│ │ │ │              _a_p_p_-_s_r_g_-_c_t_r    000990, SRG-APP-000508-CTR-001300, SRG-APP-000510-
│ │ │ │                             CTR-001310
│ │ │ │              _a_n_s_s_i          R33, R73
│ │ │ │              _p_c_i_d_s_s_4        10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["auditd"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_auditd
│ │ │ │ -
│ │ │ │ -class enable_auditd {
│ │ │ │ -  service {'auditd':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -5669,11 +5652,28 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_auditd_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_auditd
│ │ │ │ +
│ │ │ │ +class enable_auditd {
│ │ │ │ +  service {'auditd':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["auditd"]
│ │ │ │  Red Hat and Red Hat Enterprise Linux are either registered trademarks or
│ │ │ │  trademarks of Red Hat, Inc. in the United States and other countries. All other
│ │ │ │  names are registered trademarks or trademarks of their respective companies.
│ │ │ │  Generated using _O_p_e_n_S_C_A_P 1.4.1
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian11-guide-standard.html
│ │ │ @@ -19787,128 +19787,128 @@
│ │ │  0004d4a0: 612d 7461 7267 6574 3d22 2369 646d 3438  a-target="#idm48
│ │ │  0004d4b0: 3337 2220 7461 6269 6e64 6578 3d22 3022  37" tabindex="0"
│ │ │  0004d4c0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  0004d4d0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  0004d4e0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  0004d4f0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  0004d500: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -0004d510: 6174 696f 6e20 4f53 4275 696c 6420 426c  ation OSBuild Bl
│ │ │ -0004d520: 7565 7072 696e 7420 736e 6970 7065 7420  ueprint snippet 
│ │ │ -0004d530: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -0004d540: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -0004d550: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -0004d560: 6964 3d22 6964 6d34 3833 3722 3e3c 7072  id="idm4837"><pr
│ │ │ -0004d570: 653e 3c63 6f64 653e 0a5b 5b70 6163 6b61  e><code>.[[packa
│ │ │ -0004d580: 6765 735d 5d0a 6e61 6d65 203d 2022 7273  ges]].name = "rs
│ │ │ -0004d590: 7973 6c6f 6722 0a76 6572 7369 6f6e 203d  yslog".version =
│ │ │ -0004d5a0: 2022 2a22 0a3c 2f63 6f64 653e 3c2f 7072   "*".</code></pr
│ │ │ -0004d5b0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -0004d5c0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -0004d5d0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -0004d5e0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -0004d5f0: 6172 6765 743d 2223 6964 6d34 3833 3822  arget="#idm4838"
│ │ │ -0004d600: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -0004d610: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -0004d620: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -0004d630: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -0004d640: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -0004d650: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -0004d660: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ -0004d670: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0004d680: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0004d690: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0004d6a0: 2220 6964 3d22 6964 6d34 3833 3822 3e3c  " id="idm4838"><
│ │ │ -0004d6b0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -0004d6c0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -0004d6d0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -0004d6e0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -0004d6f0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -0004d700: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -0004d710: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0004d720: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -0004d730: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0004d740: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -0004d750: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -0004d760: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0004d770: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -0004d780: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -0004d790: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -0004d7a0: 3e3c 636f 6465 3e69 6e63 6c75 6465 2069  ><code>include i
│ │ │ -0004d7b0: 6e73 7461 6c6c 5f72 7379 736c 6f67 0a0a  nstall_rsyslog..
│ │ │ -0004d7c0: 636c 6173 7320 696e 7374 616c 6c5f 7273  class install_rs
│ │ │ -0004d7d0: 7973 6c6f 6720 7b0a 2020 7061 636b 6167  yslog {.  packag
│ │ │ -0004d7e0: 6520 7b20 2772 7379 736c 6f67 273a 0a20  e { 'rsyslog':. 
│ │ │ -0004d7f0: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -0004d800: 2769 6e73 7461 6c6c 6564 272c 0a20 207d  'installed',.  }
│ │ │ -0004d810: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -0004d820: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -0004d830: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -0004d840: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -0004d850: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -0004d860: 6765 743d 2223 6964 6d34 3833 3922 2074  get="#idm4839" t
│ │ │ -0004d870: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -0004d880: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -0004d890: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -0004d8a0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -0004d8b0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -0004d8c0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -0004d8d0: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ -0004d8e0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -0004d8f0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -0004d900: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -0004d910: 2069 643d 2269 646d 3438 3339 223e 3c74   id="idm4839"><t
│ │ │ -0004d920: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -0004d930: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -0004d940: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -0004d950: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -0004d960: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -0004d970: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -0004d980: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0004d990: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -0004d9a0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0004d9b0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -0004d9c0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -0004d9d0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0004d9e0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -0004d9f0: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -0004da00: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -0004da10: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ -0004da20: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ -0004da30: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ -0004da40: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ -0004da50: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ -0004da60: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -0004da70: 332d 434d 2d36 2861 290a 2020 2d20 656e  3-CM-6(a).  - en
│ │ │ -0004da80: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -0004da90: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -0004daa0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -0004dab0: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -0004dac0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -0004dad0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -0004dae0: 2070 6163 6b61 6765 5f72 7379 736c 6f67   package_rsyslog
│ │ │ -0004daf0: 5f69 6e73 7461 6c6c 6564 0a0a 2d20 6e61  _installed..- na
│ │ │ -0004db00: 6d65 3a20 456e 7375 7265 2072 7379 736c  me: Ensure rsysl
│ │ │ -0004db10: 6f67 2069 7320 696e 7374 616c 6c65 640a  og is installed.
│ │ │ -0004db20: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ -0004db30: 616d 653a 2072 7379 736c 6f67 0a20 2020  ame: rsyslog.   
│ │ │ -0004db40: 2073 7461 7465 3a20 7072 6573 656e 740a   state: present.
│ │ │ -0004db50: 2020 7768 656e 3a20 2722 6c69 6e75 782d    when: '"linux-
│ │ │ -0004db60: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ -0004db70: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ -0004db80: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -0004db90: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -0004dba0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ -0004dbb0: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -0004dbc0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -0004dbd0: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ -0004dbe0: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ -0004dbf0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -0004dc00: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ -0004dc10: 7273 7973 6c6f 675f 696e 7374 616c 6c65  rsyslog_installe
│ │ │ -0004dc20: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +0004d510: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +0004d520: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +0004d530: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0004d540: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0004d550: 6170 7365 2220 6964 3d22 6964 6d34 3833  apse" id="idm483
│ │ │ +0004d560: 3722 3e3c 7461 626c 6520 636c 6173 733d  7"><table class=
│ │ │ +0004d570: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +0004d580: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +0004d590: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +0004d5a0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +0004d5b0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +0004d5c0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0004d5d0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +0004d5e0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0004d5f0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +0004d600: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +0004d610: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +0004d620: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +0004d630: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ +0004d640: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +0004d650: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ +0004d660: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ +0004d670: 636b 6167 6520 6661 6374 730a 2020 7061  ckage facts.  pa
│ │ │ +0004d680: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ +0004d690: 206d 616e 6167 6572 3a20 6175 746f 0a20   manager: auto. 
│ │ │ +0004d6a0: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ +0004d6b0: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ +0004d6c0: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ +0004d6d0: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ +0004d6e0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +0004d6f0: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ +0004d700: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ +0004d710: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +0004d720: 640a 2020 2d20 7061 636b 6167 655f 7273  d.  - package_rs
│ │ │ +0004d730: 7973 6c6f 675f 696e 7374 616c 6c65 640a  yslog_installed.
│ │ │ +0004d740: 0a2d 206e 616d 653a 2045 6e73 7572 6520  .- name: Ensure 
│ │ │ +0004d750: 7273 7973 6c6f 6720 6973 2069 6e73 7461  rsyslog is insta
│ │ │ +0004d760: 6c6c 6564 0a20 2070 6163 6b61 6765 3a0a  lled.  package:.
│ │ │ +0004d770: 2020 2020 6e61 6d65 3a20 7273 7973 6c6f      name: rsyslo
│ │ │ +0004d780: 670a 2020 2020 7374 6174 653a 2070 7265  g.    state: pre
│ │ │ +0004d790: 7365 6e74 0a20 2077 6865 6e3a 2027 226c  sent.  when: '"l
│ │ │ +0004d7a0: 696e 7578 2d62 6173 6522 2069 6e20 616e  inux-base" in an
│ │ │ +0004d7b0: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ +0004d7c0: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ +0004d7d0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +0004d7e0: 2d36 2861 290a 2020 2d20 656e 6162 6c65  -6(a).  - enable
│ │ │ +0004d7f0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +0004d800: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +0004d810: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +0004d820: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ +0004d830: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ +0004d840: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ +0004d850: 6b61 6765 5f72 7379 736c 6f67 5f69 6e73  kage_rsyslog_ins
│ │ │ +0004d860: 7461 6c6c 6564 0a3c 2f63 6f64 653e 3c2f  talled.</code></
│ │ │ +0004d870: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +0004d880: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +0004d890: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +0004d8a0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +0004d8b0: 2d74 6172 6765 743d 2223 6964 6d34 3833  -target="#idm483
│ │ │ +0004d8c0: 3822 2074 6162 696e 6465 783d 2230 2220  8" tabindex="0" 
│ │ │ +0004d8d0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +0004d8e0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +0004d8f0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +0004d900: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +0004d910: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +0004d920: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ +0004d930: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +0004d940: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +0004d950: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +0004d960: 7365 2220 6964 3d22 6964 6d34 3833 3822  se" id="idm4838"
│ │ │ +0004d970: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +0004d980: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +0004d990: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +0004d9a0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +0004d9b0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +0004d9c0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +0004d9d0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0004d9e0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +0004d9f0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0004da00: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +0004da10: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +0004da20: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +0004da30: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +0004da40: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +0004da50: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +0004da60: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +0004da70: 2069 6e73 7461 6c6c 5f72 7379 736c 6f67   install_rsyslog
│ │ │ +0004da80: 0a0a 636c 6173 7320 696e 7374 616c 6c5f  ..class install_
│ │ │ +0004da90: 7273 7973 6c6f 6720 7b0a 2020 7061 636b  rsyslog {.  pack
│ │ │ +0004daa0: 6167 6520 7b20 2772 7379 736c 6f67 273a  age { 'rsyslog':
│ │ │ +0004dab0: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +0004dac0: 3b20 2769 6e73 7461 6c6c 6564 272c 0a20  ; 'installed',. 
│ │ │ +0004dad0: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ +0004dae0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +0004daf0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +0004db00: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +0004db10: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +0004db20: 6172 6765 743d 2223 6964 6d34 3833 3922  arget="#idm4839"
│ │ │ +0004db30: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +0004db40: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +0004db50: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +0004db60: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +0004db70: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +0004db80: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +0004db90: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ +0004dba0: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ +0004dbb0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +0004dbc0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +0004dbd0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +0004dbe0: 2269 646d 3438 3339 223e 3c70 7265 3e3c  "idm4839"><pre><
│ │ │ +0004dbf0: 636f 6465 3e0a 5b5b 7061 636b 6167 6573  code>.[[packages
│ │ │ +0004dc00: 5d5d 0a6e 616d 6520 3d20 2272 7379 736c  ]].name = "rsysl
│ │ │ +0004dc10: 6f67 220a 7665 7273 696f 6e20 3d20 222a  og".version = "*
│ │ │ +0004dc20: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │  0004dc30: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │  0004dc40: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │  0004dc50: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │  0004dc60: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │  0004dc70: 6574 3d22 2369 646d 3438 3430 2220 7461  et="#idm4840" ta
│ │ │  0004dc80: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  0004dc90: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ @@ -20188,149 +20188,149 @@
│ │ │  0004edb0: 6765 743d 2223 6964 6d34 3932 3322 2074  get="#idm4923" t
│ │ │  0004edc0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  0004edd0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  0004ede0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  0004edf0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  0004ee00: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  0004ee10: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -0004ee20: 204f 5342 7569 6c64 2042 6c75 6570 7269   OSBuild Bluepri
│ │ │ -0004ee30: 6e74 2073 6e69 7070 6574 20e2 87b2 3c2f  nt snippet ...</
│ │ │ -0004ee40: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0004ee50: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0004ee60: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0004ee70: 646d 3439 3233 223e 3c70 7265 3e3c 636f  dm4923"><pre><co
│ │ │ -0004ee80: 6465 3e0a 5b63 7573 746f 6d69 7a61 7469  de>.[customizati
│ │ │ -0004ee90: 6f6e 732e 7365 7276 6963 6573 5d0a 656e  ons.services].en
│ │ │ -0004eea0: 6162 6c65 6420 3d20 5b22 7273 7973 6c6f  abled = ["rsyslo
│ │ │ -0004eeb0: 6722 5d0a 3c2f 636f 6465 3e3c 2f70 7265  g"].</code></pre
│ │ │ -0004eec0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -0004eed0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -0004eee0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -0004eef0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -0004ef00: 7267 6574 3d22 2369 646d 3439 3234 2220  rget="#idm4924" 
│ │ │ -0004ef10: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -0004ef20: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -0004ef30: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -0004ef40: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -0004ef50: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -0004ef60: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0004ef70: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -0004ef80: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -0004ef90: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -0004efa0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -0004efb0: 2069 643d 2269 646d 3439 3234 223e 3c74   id="idm4924"><t
│ │ │ -0004efc0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -0004efd0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -0004efe0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -0004eff0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -0004f000: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -0004f010: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -0004f020: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0004f030: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -0004f040: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0004f050: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -0004f060: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -0004f070: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0004f080: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -0004f090: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -0004f0a0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -0004f0b0: 3c63 6f64 653e 696e 636c 7564 6520 656e  <code>include en
│ │ │ -0004f0c0: 6162 6c65 5f72 7379 736c 6f67 0a0a 636c  able_rsyslog..cl
│ │ │ -0004f0d0: 6173 7320 656e 6162 6c65 5f72 7379 736c  ass enable_rsysl
│ │ │ -0004f0e0: 6f67 207b 0a20 2073 6572 7669 6365 207b  og {.  service {
│ │ │ -0004f0f0: 2772 7379 736c 6f67 273a 0a20 2020 2065  'rsyslog':.    e
│ │ │ -0004f100: 6e61 626c 6520 3d26 6774 3b20 7472 7565  nable =&gt; true
│ │ │ -0004f110: 2c0a 2020 2020 656e 7375 7265 203d 2667  ,.    ensure =&g
│ │ │ -0004f120: 743b 2027 7275 6e6e 696e 6727 2c0a 2020  t; 'running',.  
│ │ │ -0004f130: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -0004f140: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -0004f150: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -0004f160: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -0004f170: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -0004f180: 7267 6574 3d22 2369 646d 3439 3235 2220  rget="#idm4925" 
│ │ │ -0004f190: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -0004f1a0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -0004f1b0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -0004f1c0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -0004f1d0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -0004f1e0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0004f1f0: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -0004f200: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0004f210: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0004f220: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0004f230: 2220 6964 3d22 6964 6d34 3932 3522 3e3c  " id="idm4925"><
│ │ │ -0004f240: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -0004f250: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -0004f260: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -0004f270: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -0004f280: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -0004f290: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -0004f2a0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0004f2b0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -0004f2c0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0004f2d0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -0004f2e0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -0004f2f0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0004f300: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -0004f310: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -0004f320: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -0004f330: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ -0004f340: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ -0004f350: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ -0004f360: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ -0004f370: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ -0004f380: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -0004f390: 3533 2d41 552d 3428 3129 0a20 202d 204e  53-AU-4(1).  - N
│ │ │ -0004f3a0: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -0004f3b0: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ -0004f3c0: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -0004f3d0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -0004f3e0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -0004f3f0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -0004f400: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -0004f410: 6565 6465 640a 2020 2d20 7365 7276 6963  eeded.  - servic
│ │ │ -0004f420: 655f 7273 7973 6c6f 675f 656e 6162 6c65  e_rsyslog_enable
│ │ │ -0004f430: 640a 0a2d 206e 616d 653a 2045 6e61 626c  d..- name: Enabl
│ │ │ -0004f440: 6520 7273 7973 6c6f 6720 5365 7276 6963  e rsyslog Servic
│ │ │ -0004f450: 6520 2d20 456e 6162 6c65 2073 6572 7669  e - Enable servi
│ │ │ -0004f460: 6365 2072 7379 736c 6f67 0a20 2062 6c6f  ce rsyslog.  blo
│ │ │ -0004f470: 636b 3a0a 0a20 202d 206e 616d 653a 2047  ck:..  - name: G
│ │ │ -0004f480: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ -0004f490: 6520 6661 6374 730a 2020 2020 7061 636b  e facts.    pack
│ │ │ -0004f4a0: 6167 655f 6661 6374 733a 0a20 2020 2020  age_facts:.     
│ │ │ -0004f4b0: 206d 616e 6167 6572 3a20 6175 746f 0a0a   manager: auto..
│ │ │ -0004f4c0: 2020 2d20 6e61 6d65 3a20 456e 6162 6c65    - name: Enable
│ │ │ -0004f4d0: 2072 7379 736c 6f67 2053 6572 7669 6365   rsyslog Service
│ │ │ -0004f4e0: 202d 2045 6e61 626c 6520 5365 7276 6963   - Enable Servic
│ │ │ -0004f4f0: 6520 7273 7973 6c6f 670a 2020 2020 616e  e rsyslog.    an
│ │ │ -0004f500: 7369 626c 652e 6275 696c 7469 6e2e 7379  sible.builtin.sy
│ │ │ -0004f510: 7374 656d 643a 0a20 2020 2020 206e 616d  stemd:.      nam
│ │ │ -0004f520: 653a 2072 7379 736c 6f67 0a20 2020 2020  e: rsyslog.     
│ │ │ -0004f530: 2065 6e61 626c 6564 3a20 7472 7565 0a20   enabled: true. 
│ │ │ -0004f540: 2020 2020 2073 7461 7465 3a20 7374 6172       state: star
│ │ │ -0004f550: 7465 640a 2020 2020 2020 6d61 736b 6564  ted.      masked
│ │ │ -0004f560: 3a20 6661 6c73 650a 2020 2020 7768 656e  : false.    when
│ │ │ -0004f570: 3a0a 2020 2020 2d20 2722 7273 7973 6c6f  :.    - '"rsyslo
│ │ │ -0004f580: 6722 2069 6e20 616e 7369 626c 655f 6661  g" in ansible_fa
│ │ │ -0004f590: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -0004f5a0: 7768 656e 3a20 2722 6c69 6e75 782d 6261  when: '"linux-ba
│ │ │ -0004f5b0: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ -0004f5c0: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -0004f5d0: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -0004f5e0: 3830 302d 3533 2d41 552d 3428 3129 0a20  800-53-AU-4(1). 
│ │ │ -0004f5f0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -0004f600: 4d2d 3628 6129 0a20 202d 2065 6e61 626c  M-6(a).  - enabl
│ │ │ -0004f610: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -0004f620: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -0004f630: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -0004f640: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -0004f650: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -0004f660: 6f74 5f6e 6565 6465 640a 2020 2d20 7365  ot_needed.  - se
│ │ │ -0004f670: 7276 6963 655f 7273 7973 6c6f 675f 656e  rvice_rsyslog_en
│ │ │ -0004f680: 6162 6c65 640a 3c2f 636f 6465 3e3c 2f70  abled.</code></p
│ │ │ +0004ee20: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +0004ee30: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +0004ee40: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +0004ee50: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +0004ee60: 2069 643d 2269 646d 3439 3233 223e 3c74   id="idm4923"><t
│ │ │ +0004ee70: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +0004ee80: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +0004ee90: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +0004eea0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +0004eeb0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +0004eec0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +0004eed0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0004eee0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +0004eef0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0004ef00: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +0004ef10: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +0004ef20: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0004ef30: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +0004ef40: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +0004ef50: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +0004ef60: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ +0004ef70: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ +0004ef80: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ +0004ef90: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ +0004efa0: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ +0004efb0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +0004efc0: 332d 4155 2d34 2831 290a 2020 2d20 4e49  3-AU-4(1).  - NI
│ │ │ +0004efd0: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +0004efe0: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ +0004eff0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +0004f000: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +0004f010: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +0004f020: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +0004f030: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +0004f040: 6564 6564 0a20 202d 2073 6572 7669 6365  eded.  - service
│ │ │ +0004f050: 5f72 7379 736c 6f67 5f65 6e61 626c 6564  _rsyslog_enabled
│ │ │ +0004f060: 0a0a 2d20 6e61 6d65 3a20 456e 6162 6c65  ..- name: Enable
│ │ │ +0004f070: 2072 7379 736c 6f67 2053 6572 7669 6365   rsyslog Service
│ │ │ +0004f080: 202d 2045 6e61 626c 6520 7365 7276 6963   - Enable servic
│ │ │ +0004f090: 6520 7273 7973 6c6f 670a 2020 626c 6f63  e rsyslog.  bloc
│ │ │ +0004f0a0: 6b3a 0a0a 2020 2d20 6e61 6d65 3a20 4761  k:..  - name: Ga
│ │ │ +0004f0b0: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ +0004f0c0: 2066 6163 7473 0a20 2020 2070 6163 6b61   facts.    packa
│ │ │ +0004f0d0: 6765 5f66 6163 7473 3a0a 2020 2020 2020  ge_facts:.      
│ │ │ +0004f0e0: 6d61 6e61 6765 723a 2061 7574 6f0a 0a20  manager: auto.. 
│ │ │ +0004f0f0: 202d 206e 616d 653a 2045 6e61 626c 6520   - name: Enable 
│ │ │ +0004f100: 7273 7973 6c6f 6720 5365 7276 6963 6520  rsyslog Service 
│ │ │ +0004f110: 2d20 456e 6162 6c65 2053 6572 7669 6365  - Enable Service
│ │ │ +0004f120: 2072 7379 736c 6f67 0a20 2020 2061 6e73   rsyslog.    ans
│ │ │ +0004f130: 6962 6c65 2e62 7569 6c74 696e 2e73 7973  ible.builtin.sys
│ │ │ +0004f140: 7465 6d64 3a0a 2020 2020 2020 6e61 6d65  temd:.      name
│ │ │ +0004f150: 3a20 7273 7973 6c6f 670a 2020 2020 2020  : rsyslog.      
│ │ │ +0004f160: 656e 6162 6c65 643a 2074 7275 650a 2020  enabled: true.  
│ │ │ +0004f170: 2020 2020 7374 6174 653a 2073 7461 7274      state: start
│ │ │ +0004f180: 6564 0a20 2020 2020 206d 6173 6b65 643a  ed.      masked:
│ │ │ +0004f190: 2066 616c 7365 0a20 2020 2077 6865 6e3a   false.    when:
│ │ │ +0004f1a0: 0a20 2020 202d 2027 2272 7379 736c 6f67  .    - '"rsyslog
│ │ │ +0004f1b0: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ +0004f1c0: 7473 2e70 6163 6b61 6765 7327 0a20 2077  ts.packages'.  w
│ │ │ +0004f1d0: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ +0004f1e0: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ +0004f1f0: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ +0004f200: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +0004f210: 3030 2d35 332d 4155 2d34 2831 290a 2020  00-53-AU-4(1).  
│ │ │ +0004f220: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +0004f230: 2d36 2861 290a 2020 2d20 656e 6162 6c65  -6(a).  - enable
│ │ │ +0004f240: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +0004f250: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +0004f260: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +0004f270: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ +0004f280: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ +0004f290: 745f 6e65 6564 6564 0a20 202d 2073 6572  t_needed.  - ser
│ │ │ +0004f2a0: 7669 6365 5f72 7379 736c 6f67 5f65 6e61  vice_rsyslog_ena
│ │ │ +0004f2b0: 626c 6564 0a3c 2f63 6f64 653e 3c2f 7072  bled.</code></pr
│ │ │ +0004f2c0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +0004f2d0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +0004f2e0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +0004f2f0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +0004f300: 6172 6765 743d 2223 6964 6d34 3932 3422  arget="#idm4924"
│ │ │ +0004f310: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +0004f320: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +0004f330: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +0004f340: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +0004f350: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +0004f360: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +0004f370: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +0004f380: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +0004f390: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +0004f3a0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +0004f3b0: 2220 6964 3d22 6964 6d34 3932 3422 3e3c  " id="idm4924"><
│ │ │ +0004f3c0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +0004f3d0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +0004f3e0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +0004f3f0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +0004f400: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +0004f410: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +0004f420: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0004f430: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +0004f440: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0004f450: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +0004f460: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +0004f470: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0004f480: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +0004f490: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +0004f4a0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +0004f4b0: 3e3c 636f 6465 3e69 6e63 6c75 6465 2065  ><code>include e
│ │ │ +0004f4c0: 6e61 626c 655f 7273 7973 6c6f 670a 0a63  nable_rsyslog..c
│ │ │ +0004f4d0: 6c61 7373 2065 6e61 626c 655f 7273 7973  lass enable_rsys
│ │ │ +0004f4e0: 6c6f 6720 7b0a 2020 7365 7276 6963 6520  log {.  service 
│ │ │ +0004f4f0: 7b27 7273 7973 6c6f 6727 3a0a 2020 2020  {'rsyslog':.    
│ │ │ +0004f500: 656e 6162 6c65 203d 2667 743b 2074 7275  enable =&gt; tru
│ │ │ +0004f510: 652c 0a20 2020 2065 6e73 7572 6520 3d26  e,.    ensure =&
│ │ │ +0004f520: 6774 3b20 2772 756e 6e69 6e67 272c 0a20  gt; 'running',. 
│ │ │ +0004f530: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ +0004f540: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +0004f550: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +0004f560: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +0004f570: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +0004f580: 6172 6765 743d 2223 6964 6d34 3932 3522  arget="#idm4925"
│ │ │ +0004f590: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +0004f5a0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +0004f5b0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +0004f5c0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +0004f5d0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +0004f5e0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +0004f5f0: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ +0004f600: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ +0004f610: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +0004f620: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +0004f630: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +0004f640: 2269 646d 3439 3235 223e 3c70 7265 3e3c  "idm4925"><pre><
│ │ │ +0004f650: 636f 6465 3e0a 5b63 7573 746f 6d69 7a61  code>.[customiza
│ │ │ +0004f660: 7469 6f6e 732e 7365 7276 6963 6573 5d0a  tions.services].
│ │ │ +0004f670: 656e 6162 6c65 6420 3d20 5b22 7273 7973  enabled = ["rsys
│ │ │ +0004f680: 6c6f 6722 5d0a 3c2f 636f 6465 3e3c 2f70  log"].</code></p
│ │ │  0004f690: 7265 3e3c 2f64 6976 3e3c 2f64 6976 3e3c  re></div></div><
│ │ │  0004f6a0: 2f74 643e 3c2f 7472 3e3c 2f74 626f 6479  /td></tr></tbody
│ │ │  0004f6b0: 3e3c 2f74 6162 6c65 3e3c 2f74 643e 3c2f  ></table></td></
│ │ │  0004f6c0: 7472 3e3c 7472 2064 6174 612d 7474 2d69  tr><tr data-tt-i
│ │ │  0004f6d0: 643d 2263 6869 6c64 7265 6e2d 7863 6364  d="children-xccd
│ │ │  0004f6e0: 665f 6f72 672e 7373 6770 726f 6a65 6374  f_org.ssgproject
│ │ │  0004f6f0: 2e63 6f6e 7465 6e74 5f67 726f 7570 5f70  .content_group_p
│ │ │ @@ -27966,131 +27966,131 @@
│ │ │  0006d3d0: 2d74 6172 6765 743d 2223 6964 6d39 3533  -target="#idm953
│ │ │  0006d3e0: 3522 2074 6162 696e 6465 783d 2230 2220  5" tabindex="0" 
│ │ │  0006d3f0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │  0006d400: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │  0006d410: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │  0006d420: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │  0006d430: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -0006d440: 7469 6f6e 204f 5342 7569 6c64 2042 6c75  tion OSBuild Blu
│ │ │ -0006d450: 6570 7269 6e74 2073 6e69 7070 6574 20e2  eprint snippet .
│ │ │ -0006d460: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -0006d470: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -0006d480: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -0006d490: 643d 2269 646d 3935 3335 223e 3c70 7265  d="idm9535"><pre
│ │ │ -0006d4a0: 3e3c 636f 6465 3e0a 5b5b 7061 636b 6167  ><code>.[[packag
│ │ │ -0006d4b0: 6573 5d5d 0a6e 616d 6520 3d20 2263 726f  es]].name = "cro
│ │ │ -0006d4c0: 6e22 0a76 6572 7369 6f6e 203d 2022 2a22  n".version = "*"
│ │ │ -0006d4d0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -0006d4e0: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -0006d4f0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -0006d500: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -0006d510: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -0006d520: 743d 2223 6964 6d39 3533 3622 2074 6162  t="#idm9536" tab
│ │ │ -0006d530: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -0006d540: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -0006d550: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -0006d560: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -0006d570: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -0006d580: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -0006d590: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -0006d5a0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -0006d5b0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -0006d5c0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -0006d5d0: 3d22 6964 6d39 3533 3622 3e3c 7461 626c  ="idm9536"><tabl
│ │ │ -0006d5e0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -0006d5f0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -0006d600: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -0006d610: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -0006d620: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -0006d630: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0006d640: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -0006d650: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -0006d660: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -0006d670: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -0006d680: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -0006d690: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -0006d6a0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -0006d6b0: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -0006d6c0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -0006d6d0: 6465 3e69 6e63 6c75 6465 2069 6e73 7461  de>include insta
│ │ │ -0006d6e0: 6c6c 5f63 726f 6e0a 0a63 6c61 7373 2069  ll_cron..class i
│ │ │ -0006d6f0: 6e73 7461 6c6c 5f63 726f 6e20 7b0a 2020  nstall_cron {.  
│ │ │ -0006d700: 7061 636b 6167 6520 7b20 2763 726f 6e27  package { 'cron'
│ │ │ -0006d710: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ -0006d720: 743b 2027 696e 7374 616c 6c65 6427 2c0a  t; 'installed',.
│ │ │ -0006d730: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -0006d740: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -0006d750: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -0006d760: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -0006d770: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -0006d780: 7461 7267 6574 3d22 2369 646d 3935 3337  target="#idm9537
│ │ │ -0006d790: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -0006d7a0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -0006d7b0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -0006d7c0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -0006d7d0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -0006d7e0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -0006d7f0: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -0006d800: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -0006d810: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -0006d820: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -0006d830: 7365 2220 6964 3d22 6964 6d39 3533 3722  se" id="idm9537"
│ │ │ -0006d840: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -0006d850: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -0006d860: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -0006d870: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -0006d880: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -0006d890: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -0006d8a0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0006d8b0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -0006d8c0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0006d8d0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -0006d8e0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -0006d8f0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -0006d900: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -0006d910: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -0006d920: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -0006d930: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -0006d940: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -0006d950: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ -0006d960: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ -0006d970: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ -0006d980: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ -0006d990: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ -0006d9a0: 2050 4349 2d44 5353 7634 2d32 2e32 0a20   PCI-DSSv4-2.2. 
│ │ │ -0006d9b0: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ -0006d9c0: 2e36 0a20 202d 2065 6e61 626c 655f 7374  .6.  - enable_st
│ │ │ -0006d9d0: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -0006d9e0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -0006d9f0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -0006da00: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -0006da10: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -0006da20: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ -0006da30: 655f 6372 6f6e 5f69 6e73 7461 6c6c 6564  e_cron_installed
│ │ │ -0006da40: 0a0a 2d20 6e61 6d65 3a20 456e 7375 7265  ..- name: Ensure
│ │ │ -0006da50: 2063 726f 6e20 6973 2069 6e73 7461 6c6c   cron is install
│ │ │ -0006da60: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ -0006da70: 2020 6e61 6d65 3a20 6372 6f6e 0a20 2020    name: cron.   
│ │ │ -0006da80: 2073 7461 7465 3a20 7072 6573 656e 740a   state: present.
│ │ │ -0006da90: 2020 7768 656e 3a20 2722 6c69 6e75 782d    when: '"linux-
│ │ │ -0006daa0: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ -0006dab0: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ -0006dac0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -0006dad0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -0006dae0: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -0006daf0: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -0006db00: 2d32 2e32 2e36 0a20 202d 2065 6e61 626c  -2.2.6.  - enabl
│ │ │ -0006db10: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -0006db20: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -0006db30: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -0006db40: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -0006db50: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -0006db60: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -0006db70: 636b 6167 655f 6372 6f6e 5f69 6e73 7461  ckage_cron_insta
│ │ │ -0006db80: 6c6c 6564 0a3c 2f63 6f64 653e 3c2f 7072  lled.</code></pr
│ │ │ +0006d440: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ +0006d450: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +0006d460: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +0006d470: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +0006d480: 7073 6522 2069 643d 2269 646d 3935 3335  pse" id="idm9535
│ │ │ +0006d490: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +0006d4a0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +0006d4b0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +0006d4c0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +0006d4d0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +0006d4e0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +0006d4f0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0006d500: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +0006d510: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0006d520: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +0006d530: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +0006d540: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +0006d550: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +0006d560: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +0006d570: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +0006d580: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +0006d590: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ +0006d5a0: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ +0006d5b0: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ +0006d5c0: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ +0006d5d0: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +0006d5e0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +0006d5f0: 2d20 5043 492d 4453 5376 342d 322e 320a  - PCI-DSSv4-2.2.
│ │ │ +0006d600: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ +0006d610: 322e 360a 2020 2d20 656e 6162 6c65 5f73  2.6.  - enable_s
│ │ │ +0006d620: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +0006d630: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +0006d640: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +0006d650: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ +0006d660: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +0006d670: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ +0006d680: 6765 5f63 726f 6e5f 696e 7374 616c 6c65  ge_cron_installe
│ │ │ +0006d690: 640a 0a2d 206e 616d 653a 2045 6e73 7572  d..- name: Ensur
│ │ │ +0006d6a0: 6520 6372 6f6e 2069 7320 696e 7374 616c  e cron is instal
│ │ │ +0006d6b0: 6c65 640a 2020 7061 636b 6167 653a 0a20  led.  package:. 
│ │ │ +0006d6c0: 2020 206e 616d 653a 2063 726f 6e0a 2020     name: cron.  
│ │ │ +0006d6d0: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ +0006d6e0: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ +0006d6f0: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ +0006d700: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ +0006d710: 270a 2020 7461 6773 3a0a 2020 2d20 4e49  '.  tags:.  - NI
│ │ │ +0006d720: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +0006d730: 290a 2020 2d20 5043 492d 4453 5376 342d  ).  - PCI-DSSv4-
│ │ │ +0006d740: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ +0006d750: 342d 322e 322e 360a 2020 2d20 656e 6162  4-2.2.6.  - enab
│ │ │ +0006d760: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +0006d770: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +0006d780: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +0006d790: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +0006d7a0: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +0006d7b0: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +0006d7c0: 6163 6b61 6765 5f63 726f 6e5f 696e 7374  ackage_cron_inst
│ │ │ +0006d7d0: 616c 6c65 640a 3c2f 636f 6465 3e3c 2f70  alled.</code></p
│ │ │ +0006d7e0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +0006d7f0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +0006d800: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +0006d810: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +0006d820: 7461 7267 6574 3d22 2369 646d 3935 3336  target="#idm9536
│ │ │ +0006d830: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +0006d840: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +0006d850: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +0006d860: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +0006d870: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +0006d880: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +0006d890: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +0006d8a0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +0006d8b0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +0006d8c0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +0006d8d0: 6522 2069 643d 2269 646d 3935 3336 223e  e" id="idm9536">
│ │ │ +0006d8e0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +0006d8f0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +0006d900: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +0006d910: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +0006d920: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +0006d930: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +0006d940: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0006d950: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +0006d960: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0006d970: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +0006d980: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +0006d990: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +0006d9a0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +0006d9b0: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +0006d9c0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +0006d9d0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +0006d9e0: 696e 7374 616c 6c5f 6372 6f6e 0a0a 636c  install_cron..cl
│ │ │ +0006d9f0: 6173 7320 696e 7374 616c 6c5f 6372 6f6e  ass install_cron
│ │ │ +0006da00: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +0006da10: 6372 6f6e 273a 0a20 2020 2065 6e73 7572  cron':.    ensur
│ │ │ +0006da20: 6520 3d26 6774 3b20 2769 6e73 7461 6c6c  e =&gt; 'install
│ │ │ +0006da30: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ +0006da40: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +0006da50: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +0006da60: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +0006da70: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +0006da80: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +0006da90: 6d39 3533 3722 2074 6162 696e 6465 783d  m9537" tabindex=
│ │ │ +0006daa0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +0006dab0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +0006dac0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +0006dad0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +0006dae0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +0006daf0: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ +0006db00: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ +0006db10: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +0006db20: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +0006db30: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +0006db40: 6522 2069 643d 2269 646d 3935 3337 223e  e" id="idm9537">
│ │ │ +0006db50: 3c70 7265 3e3c 636f 6465 3e0a 5b5b 7061  <pre><code>.[[pa
│ │ │ +0006db60: 636b 6167 6573 5d5d 0a6e 616d 6520 3d20  ckages]].name = 
│ │ │ +0006db70: 2263 726f 6e22 0a76 6572 7369 6f6e 203d  "cron".version =
│ │ │ +0006db80: 2022 2a22 0a3c 2f63 6f64 653e 3c2f 7072   "*".</code></pr
│ │ │  0006db90: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │  0006dba0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │  0006dbb0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │  0006dbc0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │  0006dbd0: 6172 6765 743d 2223 6964 6d39 3533 3822  arget="#idm9538"
│ │ │  0006dbe0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  0006dbf0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ @@ -28365,144 +28365,144 @@
│ │ │  0006ecc0: 2d74 6172 6765 743d 2223 6964 6d39 3632  -target="#idm962
│ │ │  0006ecd0: 3122 2074 6162 696e 6465 783d 2230 2220  1" tabindex="0" 
│ │ │  0006ece0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │  0006ecf0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │  0006ed00: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │  0006ed10: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │  0006ed20: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -0006ed30: 7469 6f6e 204f 5342 7569 6c64 2042 6c75  tion OSBuild Blu
│ │ │ -0006ed40: 6570 7269 6e74 2073 6e69 7070 6574 20e2  eprint snippet .
│ │ │ -0006ed50: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -0006ed60: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -0006ed70: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -0006ed80: 643d 2269 646d 3936 3231 223e 3c70 7265  d="idm9621"><pre
│ │ │ -0006ed90: 3e3c 636f 6465 3e0a 5b63 7573 746f 6d69  ><code>.[customi
│ │ │ -0006eda0: 7a61 7469 6f6e 732e 7365 7276 6963 6573  zations.services
│ │ │ -0006edb0: 5d0a 656e 6162 6c65 6420 3d20 5b22 6372  ].enabled = ["cr
│ │ │ -0006edc0: 6f6e 225d 0a3c 2f63 6f64 653e 3c2f 7072  on"].</code></pr
│ │ │ -0006edd0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -0006ede0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -0006edf0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -0006ee00: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -0006ee10: 6172 6765 743d 2223 6964 6d39 3632 3222  arget="#idm9622"
│ │ │ -0006ee20: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -0006ee30: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -0006ee40: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -0006ee50: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -0006ee60: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -0006ee70: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -0006ee80: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ -0006ee90: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0006eea0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0006eeb0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0006eec0: 2220 6964 3d22 6964 6d39 3632 3222 3e3c  " id="idm9622"><
│ │ │ -0006eed0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -0006eee0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -0006eef0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -0006ef00: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -0006ef10: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -0006ef20: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -0006ef30: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0006ef40: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -0006ef50: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0006ef60: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -0006ef70: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -0006ef80: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0006ef90: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -0006efa0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -0006efb0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -0006efc0: 3e3c 636f 6465 3e69 6e63 6c75 6465 2065  ><code>include e
│ │ │ -0006efd0: 6e61 626c 655f 6372 6f6e 0a0a 636c 6173  nable_cron..clas
│ │ │ -0006efe0: 7320 656e 6162 6c65 5f63 726f 6e20 7b0a  s enable_cron {.
│ │ │ -0006eff0: 2020 7365 7276 6963 6520 7b27 6372 6f6e    service {'cron
│ │ │ -0006f000: 273a 0a20 2020 2065 6e61 626c 6520 3d26  ':.    enable =&
│ │ │ -0006f010: 6774 3b20 7472 7565 2c0a 2020 2020 656e  gt; true,.    en
│ │ │ -0006f020: 7375 7265 203d 2667 743b 2027 7275 6e6e  sure =&gt; 'runn
│ │ │ -0006f030: 696e 6727 2c0a 2020 7d0a 7d0a 3c2f 636f  ing',.  }.}.</co
│ │ │ -0006f040: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -0006f050: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -0006f060: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -0006f070: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -0006f080: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -0006f090: 646d 3936 3233 2220 7461 6269 6e64 6578  dm9623" tabindex
│ │ │ -0006f0a0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -0006f0b0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -0006f0c0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -0006f0d0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -0006f0e0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -0006f0f0: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -0006f100: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -0006f110: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0006f120: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0006f130: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0006f140: 6d39 3632 3322 3e3c 7461 626c 6520 636c  m9623"><table cl
│ │ │ -0006f150: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -0006f160: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -0006f170: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -0006f180: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -0006f190: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -0006f1a0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0006f1b0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -0006f1c0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -0006f1d0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0006f1e0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -0006f1f0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -0006f200: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -0006f210: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -0006f220: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -0006f230: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -0006f240: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ -0006f250: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ -0006f260: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ -0006f270: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ -0006f280: 746f 0a20 2074 6167 733a 0a20 202d 204e  to.  tags:.  - N
│ │ │ -0006f290: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -0006f2a0: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ -0006f2b0: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -0006f2c0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -0006f2d0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -0006f2e0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -0006f2f0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -0006f300: 6565 6465 640a 2020 2d20 7365 7276 6963  eeded.  - servic
│ │ │ -0006f310: 655f 6372 6f6e 5f65 6e61 626c 6564 0a0a  e_cron_enabled..
│ │ │ -0006f320: 2d20 6e61 6d65 3a20 456e 6162 6c65 2063  - name: Enable c
│ │ │ -0006f330: 726f 6e20 5365 7276 6963 6520 2d20 456e  ron Service - En
│ │ │ -0006f340: 6162 6c65 2073 6572 7669 6365 2063 726f  able service cro
│ │ │ -0006f350: 6e0a 2020 626c 6f63 6b3a 0a0a 2020 2d20  n.  block:..  - 
│ │ │ -0006f360: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ -0006f370: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ -0006f380: 2020 2070 6163 6b61 6765 5f66 6163 7473     package_facts
│ │ │ -0006f390: 3a0a 2020 2020 2020 6d61 6e61 6765 723a  :.      manager:
│ │ │ -0006f3a0: 2061 7574 6f0a 0a20 202d 206e 616d 653a   auto..  - name:
│ │ │ -0006f3b0: 2045 6e61 626c 6520 6372 6f6e 2053 6572   Enable cron Ser
│ │ │ -0006f3c0: 7669 6365 202d 2045 6e61 626c 6520 5365  vice - Enable Se
│ │ │ -0006f3d0: 7276 6963 6520 6372 6f6e 0a20 2020 2061  rvice cron.    a
│ │ │ -0006f3e0: 6e73 6962 6c65 2e62 7569 6c74 696e 2e73  nsible.builtin.s
│ │ │ -0006f3f0: 7973 7465 6d64 3a0a 2020 2020 2020 6e61  ystemd:.      na
│ │ │ -0006f400: 6d65 3a20 6372 6f6e 0a20 2020 2020 2065  me: cron.      e
│ │ │ -0006f410: 6e61 626c 6564 3a20 7472 7565 0a20 2020  nabled: true.   
│ │ │ -0006f420: 2020 2073 7461 7465 3a20 7374 6172 7465     state: starte
│ │ │ -0006f430: 640a 2020 2020 2020 6d61 736b 6564 3a20  d.      masked: 
│ │ │ -0006f440: 6661 6c73 650a 2020 2020 7768 656e 3a0a  false.    when:.
│ │ │ -0006f450: 2020 2020 2d20 2722 6372 6f6e 2220 696e      - '"cron" in
│ │ │ -0006f460: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -0006f470: 6163 6b61 6765 7327 0a20 2077 6865 6e3a  ackages'.  when:
│ │ │ -0006f480: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ -0006f490: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ -0006f4a0: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ -0006f4b0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -0006f4c0: 332d 434d 2d36 2861 290a 2020 2d20 656e  3-CM-6(a).  - en
│ │ │ -0006f4d0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -0006f4e0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -0006f4f0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -0006f500: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -0006f510: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -0006f520: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -0006f530: 2073 6572 7669 6365 5f63 726f 6e5f 656e   service_cron_en
│ │ │ -0006f540: 6162 6c65 640a 3c2f 636f 6465 3e3c 2f70  abled.</code></p
│ │ │ +0006ed30: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ +0006ed40: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +0006ed50: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +0006ed60: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +0006ed70: 7073 6522 2069 643d 2269 646d 3936 3231  pse" id="idm9621
│ │ │ +0006ed80: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +0006ed90: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +0006eda0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +0006edb0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +0006edc0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +0006edd0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +0006ede0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0006edf0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +0006ee00: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0006ee10: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +0006ee20: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +0006ee30: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +0006ee40: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +0006ee50: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +0006ee60: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +0006ee70: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +0006ee80: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ +0006ee90: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ +0006eea0: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ +0006eeb0: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ +0006eec0: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +0006eed0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +0006eee0: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +0006eef0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +0006ef00: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +0006ef10: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +0006ef20: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +0006ef30: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +0006ef40: 0a20 202d 2073 6572 7669 6365 5f63 726f  .  - service_cro
│ │ │ +0006ef50: 6e5f 656e 6162 6c65 640a 0a2d 206e 616d  n_enabled..- nam
│ │ │ +0006ef60: 653a 2045 6e61 626c 6520 6372 6f6e 2053  e: Enable cron S
│ │ │ +0006ef70: 6572 7669 6365 202d 2045 6e61 626c 6520  ervice - Enable 
│ │ │ +0006ef80: 7365 7276 6963 6520 6372 6f6e 0a20 2062  service cron.  b
│ │ │ +0006ef90: 6c6f 636b 3a0a 0a20 202d 206e 616d 653a  lock:..  - name:
│ │ │ +0006efa0: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ +0006efb0: 6167 6520 6661 6374 730a 2020 2020 7061  age facts.    pa
│ │ │ +0006efc0: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ +0006efd0: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ +0006efe0: 0a0a 2020 2d20 6e61 6d65 3a20 456e 6162  ..  - name: Enab
│ │ │ +0006eff0: 6c65 2063 726f 6e20 5365 7276 6963 6520  le cron Service 
│ │ │ +0006f000: 2d20 456e 6162 6c65 2053 6572 7669 6365  - Enable Service
│ │ │ +0006f010: 2063 726f 6e0a 2020 2020 616e 7369 626c   cron.    ansibl
│ │ │ +0006f020: 652e 6275 696c 7469 6e2e 7379 7374 656d  e.builtin.system
│ │ │ +0006f030: 643a 0a20 2020 2020 206e 616d 653a 2063  d:.      name: c
│ │ │ +0006f040: 726f 6e0a 2020 2020 2020 656e 6162 6c65  ron.      enable
│ │ │ +0006f050: 643a 2074 7275 650a 2020 2020 2020 7374  d: true.      st
│ │ │ +0006f060: 6174 653a 2073 7461 7274 6564 0a20 2020  ate: started.   
│ │ │ +0006f070: 2020 206d 6173 6b65 643a 2066 616c 7365     masked: false
│ │ │ +0006f080: 0a20 2020 2077 6865 6e3a 0a20 2020 202d  .    when:.    -
│ │ │ +0006f090: 2027 2263 726f 6e22 2069 6e20 616e 7369   '"cron" in ansi
│ │ │ +0006f0a0: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ +0006f0b0: 6573 270a 2020 7768 656e 3a20 2722 6c69  es'.  when: '"li
│ │ │ +0006f0c0: 6e75 782d 6261 7365 2220 696e 2061 6e73  nux-base" in ans
│ │ │ +0006f0d0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ +0006f0e0: 6765 7327 0a20 2074 6167 733a 0a20 202d  ges'.  tags:.  -
│ │ │ +0006f0f0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +0006f100: 3628 6129 0a20 202d 2065 6e61 626c 655f  6(a).  - enable_
│ │ │ +0006f110: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ +0006f120: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +0006f130: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +0006f140: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ +0006f150: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +0006f160: 5f6e 6565 6465 640a 2020 2d20 7365 7276  _needed.  - serv
│ │ │ +0006f170: 6963 655f 6372 6f6e 5f65 6e61 626c 6564  ice_cron_enabled
│ │ │ +0006f180: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +0006f190: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +0006f1a0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +0006f1b0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +0006f1c0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +0006f1d0: 743d 2223 6964 6d39 3632 3222 2074 6162  t="#idm9622" tab
│ │ │ +0006f1e0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +0006f1f0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +0006f200: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +0006f210: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +0006f220: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +0006f230: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ +0006f240: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ +0006f250: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +0006f260: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +0006f270: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +0006f280: 3d22 6964 6d39 3632 3222 3e3c 7461 626c  ="idm9622"><tabl
│ │ │ +0006f290: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +0006f2a0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +0006f2b0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +0006f2c0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +0006f2d0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +0006f2e0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0006f2f0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +0006f300: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +0006f310: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0006f320: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +0006f330: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +0006f340: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +0006f350: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +0006f360: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ +0006f370: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +0006f380: 6465 3e69 6e63 6c75 6465 2065 6e61 626c  de>include enabl
│ │ │ +0006f390: 655f 6372 6f6e 0a0a 636c 6173 7320 656e  e_cron..class en
│ │ │ +0006f3a0: 6162 6c65 5f63 726f 6e20 7b0a 2020 7365  able_cron {.  se
│ │ │ +0006f3b0: 7276 6963 6520 7b27 6372 6f6e 273a 0a20  rvice {'cron':. 
│ │ │ +0006f3c0: 2020 2065 6e61 626c 6520 3d26 6774 3b20     enable =&gt; 
│ │ │ +0006f3d0: 7472 7565 2c0a 2020 2020 656e 7375 7265  true,.    ensure
│ │ │ +0006f3e0: 203d 2667 743b 2027 7275 6e6e 696e 6727   =&gt; 'running'
│ │ │ +0006f3f0: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │ +0006f400: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +0006f410: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +0006f420: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +0006f430: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +0006f440: 612d 7461 7267 6574 3d22 2369 646d 3936  a-target="#idm96
│ │ │ +0006f450: 3233 2220 7461 6269 6e64 6578 3d22 3022  23" tabindex="0"
│ │ │ +0006f460: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +0006f470: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +0006f480: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +0006f490: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +0006f4a0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +0006f4b0: 6174 696f 6e20 4f53 4275 696c 6420 426c  ation OSBuild Bl
│ │ │ +0006f4c0: 7565 7072 696e 7420 736e 6970 7065 7420  ueprint snippet 
│ │ │ +0006f4d0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +0006f4e0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +0006f4f0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +0006f500: 6964 3d22 6964 6d39 3632 3322 3e3c 7072  id="idm9623"><pr
│ │ │ +0006f510: 653e 3c63 6f64 653e 0a5b 6375 7374 6f6d  e><code>.[custom
│ │ │ +0006f520: 697a 6174 696f 6e73 2e73 6572 7669 6365  izations.service
│ │ │ +0006f530: 735d 0a65 6e61 626c 6564 203d 205b 2263  s].enabled = ["c
│ │ │ +0006f540: 726f 6e22 5d0a 3c2f 636f 6465 3e3c 2f70  ron"].</code></p
│ │ │  0006f550: 7265 3e3c 2f64 6976 3e3c 2f64 6976 3e3c  re></div></div><
│ │ │  0006f560: 2f74 643e 3c2f 7472 3e3c 2f74 626f 6479  /td></tr></tbody
│ │ │  0006f570: 3e3c 2f74 6162 6c65 3e3c 2f74 643e 3c2f  ></table></td></
│ │ │  0006f580: 7472 3e3c 7472 2064 6174 612d 7474 2d69  tr><tr data-tt-i
│ │ │  0006f590: 643d 2263 6869 6c64 7265 6e2d 7863 6364  d="children-xccd
│ │ │  0006f5a0: 665f 6f72 672e 7373 6770 726f 6a65 6374  f_org.ssgproject
│ │ │  0006f5b0: 2e63 6f6e 7465 6e74 5f67 726f 7570 5f64  .content_group_d
│ │ │ @@ -28782,95 +28782,95 @@
│ │ │  000706d0: 7461 7267 6574 3d22 2369 646d 3937 3236  target="#idm9726
│ │ │  000706e0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │  000706f0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │  00070700: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │  00070710: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │  00070720: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │  00070730: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00070740: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ -00070750: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -00070760: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00070770: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -00070780: 6522 2069 643d 2269 646d 3937 3236 223e  e" id="idm9726">
│ │ │ -00070790: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -000707a0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -000707b0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -000707c0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -000707d0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -000707e0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -000707f0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00070800: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -00070810: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00070820: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00070830: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00070840: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00070850: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00070860: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -00070870: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00070880: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ -00070890: 2072 656d 6f76 655f 696e 6574 7574 696c   remove_inetutil
│ │ │ -000708a0: 732d 7465 6c6e 6574 640a 0a63 6c61 7373  s-telnetd..class
│ │ │ -000708b0: 2072 656d 6f76 655f 696e 6574 7574 696c   remove_inetutil
│ │ │ -000708c0: 732d 7465 6c6e 6574 6420 7b0a 2020 7061  s-telnetd {.  pa
│ │ │ -000708d0: 636b 6167 6520 7b20 2769 6e65 7475 7469  ckage { 'inetuti
│ │ │ -000708e0: 6c73 2d74 656c 6e65 7464 273a 0a20 2020  ls-telnetd':.   
│ │ │ -000708f0: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ -00070900: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │ -00070910: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00070920: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00070930: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00070940: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00070950: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00070960: 2369 646d 3937 3237 2220 7461 6269 6e64  #idm9727" tabind
│ │ │ -00070970: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -00070980: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -00070990: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -000709a0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -000709b0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -000709c0: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ -000709d0: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ -000709e0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -000709f0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00070a00: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00070a10: 6964 6d39 3732 3722 3e3c 7461 626c 6520  idm9727"><table 
│ │ │ -00070a20: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -00070a30: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -00070a40: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -00070a50: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -00070a60: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -00070a70: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00070a80: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -00070a90: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -00070aa0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00070ab0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -00070ac0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -00070ad0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -00070ae0: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -00070af0: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -00070b00: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -00070b10: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ -00070b20: 2069 6e65 7475 7469 6c73 2d74 656c 6e65   inetutils-telne
│ │ │ -00070b30: 7464 2069 7320 7265 6d6f 7665 640a 2020  td is removed.  
│ │ │ -00070b40: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ -00070b50: 653a 2069 6e65 7475 7469 6c73 2d74 656c  e: inetutils-tel
│ │ │ -00070b60: 6e65 7464 0a20 2020 2073 7461 7465 3a20  netd.    state: 
│ │ │ -00070b70: 6162 7365 6e74 0a20 2074 6167 733a 0a20  absent.  tags:. 
│ │ │ -00070b80: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -00070b90: 4d2d 3628 6129 0a20 202d 204e 4953 542d  M-6(a).  - NIST-
│ │ │ -00070ba0: 3830 302d 3533 2d43 4d2d 3728 6129 0a20  800-53-CM-7(a). 
│ │ │ -00070bb0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -00070bc0: 4d2d 3728 6229 0a20 202d 2064 6973 6162  M-7(b).  - disab
│ │ │ -00070bd0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00070be0: 6869 6768 5f73 6576 6572 6974 790a 2020  high_severity.  
│ │ │ -00070bf0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -00070c00: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -00070c10: 696f 6e0a 2020 2d20 6e6f 5f72 6562 6f6f  ion.  - no_reboo
│ │ │ -00070c20: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -00070c30: 6b61 6765 5f69 6e65 7475 7469 6c73 2d74  kage_inetutils-t
│ │ │ -00070c40: 656c 6e65 7464 5f72 656d 6f76 6564 0a3c  elnetd_removed.<
│ │ │ +00070740: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ +00070750: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00070760: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00070770: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00070780: 7365 2220 6964 3d22 6964 6d39 3732 3622  se" id="idm9726"
│ │ │ +00070790: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +000707a0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +000707b0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +000707c0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +000707d0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +000707e0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +000707f0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00070800: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00070810: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00070820: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00070830: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00070840: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00070850: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00070860: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +00070870: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00070880: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +00070890: 3a20 456e 7375 7265 2069 6e65 7475 7469  : Ensure inetuti
│ │ │ +000708a0: 6c73 2d74 656c 6e65 7464 2069 7320 7265  ls-telnetd is re
│ │ │ +000708b0: 6d6f 7665 640a 2020 7061 636b 6167 653a  moved.  package:
│ │ │ +000708c0: 0a20 2020 206e 616d 653a 2069 6e65 7475  .    name: inetu
│ │ │ +000708d0: 7469 6c73 2d74 656c 6e65 7464 0a20 2020  tils-telnetd.   
│ │ │ +000708e0: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ +000708f0: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ +00070900: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ +00070910: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +00070920: 4d2d 3728 6129 0a20 202d 204e 4953 542d  M-7(a).  - NIST-
│ │ │ +00070930: 3830 302d 3533 2d43 4d2d 3728 6229 0a20  800-53-CM-7(b). 
│ │ │ +00070940: 202d 2064 6973 6162 6c65 5f73 7472 6174   - disable_strat
│ │ │ +00070950: 6567 790a 2020 2d20 6869 6768 5f73 6576  egy.  - high_sev
│ │ │ +00070960: 6572 6974 790a 2020 2d20 6c6f 775f 636f  erity.  - low_co
│ │ │ +00070970: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +00070980: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +00070990: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +000709a0: 0a20 202d 2070 6163 6b61 6765 5f69 6e65  .  - package_ine
│ │ │ +000709b0: 7475 7469 6c73 2d74 656c 6e65 7464 5f72  tutils-telnetd_r
│ │ │ +000709c0: 656d 6f76 6564 0a3c 2f63 6f64 653e 3c2f  emoved.</code></
│ │ │ +000709d0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +000709e0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +000709f0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00070a00: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00070a10: 2d74 6172 6765 743d 2223 6964 6d39 3732  -target="#idm972
│ │ │ +00070a20: 3722 2074 6162 696e 6465 783d 2230 2220  7" tabindex="0" 
│ │ │ +00070a30: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +00070a40: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +00070a50: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +00070a60: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +00070a70: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +00070a80: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ +00070a90: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00070aa0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00070ab0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00070ac0: 7365 2220 6964 3d22 6964 6d39 3732 3722  se" id="idm9727"
│ │ │ +00070ad0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00070ae0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00070af0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00070b00: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00070b10: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00070b20: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00070b30: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00070b40: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00070b50: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00070b60: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00070b70: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00070b80: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00070b90: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00070ba0: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +00070bb0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00070bc0: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +00070bd0: 6520 7265 6d6f 7665 5f69 6e65 7475 7469  e remove_inetuti
│ │ │ +00070be0: 6c73 2d74 656c 6e65 7464 0a0a 636c 6173  ls-telnetd..clas
│ │ │ +00070bf0: 7320 7265 6d6f 7665 5f69 6e65 7475 7469  s remove_inetuti
│ │ │ +00070c00: 6c73 2d74 656c 6e65 7464 207b 0a20 2070  ls-telnetd {.  p
│ │ │ +00070c10: 6163 6b61 6765 207b 2027 696e 6574 7574  ackage { 'inetut
│ │ │ +00070c20: 696c 732d 7465 6c6e 6574 6427 3a0a 2020  ils-telnetd':.  
│ │ │ +00070c30: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +00070c40: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │  00070c50: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  00070c60: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │  00070c70: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │  00070c80: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │  00070c90: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  00070ca0: 2223 6964 6d39 3732 3822 2074 6162 696e  "#idm9728" tabin
│ │ │  00070cb0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ @@ -29016,86 +29016,86 @@
│ │ │  00071570: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  00071580: 2369 646d 3937 3335 2220 7461 6269 6e64  #idm9735" tabind
│ │ │  00071590: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │  000715a0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │  000715b0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │  000715c0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │  000715d0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -000715e0: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ -000715f0: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ -00071600: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -00071610: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -00071620: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -00071630: 646d 3937 3335 223e 3c74 6162 6c65 2063  dm9735"><table c
│ │ │ -00071640: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00071650: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00071660: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00071670: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00071680: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00071690: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -000716a0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -000716b0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -000716c0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -000716d0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -000716e0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -000716f0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00071700: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -00071710: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00071720: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00071730: 3e69 6e63 6c75 6465 2072 656d 6f76 655f  >include remove_
│ │ │ -00071740: 6e69 730a 0a63 6c61 7373 2072 656d 6f76  nis..class remov
│ │ │ -00071750: 655f 6e69 7320 7b0a 2020 7061 636b 6167  e_nis {.  packag
│ │ │ -00071760: 6520 7b20 276e 6973 273a 0a20 2020 2065  e { 'nis':.    e
│ │ │ -00071770: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ -00071780: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │ -00071790: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -000717a0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -000717b0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -000717c0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -000717d0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -000717e0: 646d 3937 3336 2220 7461 6269 6e64 6578  dm9736" tabindex
│ │ │ -000717f0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00071800: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00071810: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00071820: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00071830: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00071840: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -00071850: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -00071860: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00071870: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00071880: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00071890: 6d39 3733 3622 3e3c 7461 626c 6520 636c  m9736"><table cl
│ │ │ -000718a0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -000718b0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -000718c0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -000718d0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -000718e0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -000718f0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00071900: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00071910: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00071920: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00071930: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00071940: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00071950: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00071960: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -00071970: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00071980: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00071990: 2d20 6e61 6d65 3a20 456e 7375 7265 206e  - name: Ensure n
│ │ │ -000719a0: 6973 2069 7320 7265 6d6f 7665 640a 2020  is is removed.  
│ │ │ -000719b0: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ -000719c0: 653a 206e 6973 0a20 2020 2073 7461 7465  e: nis.    state
│ │ │ -000719d0: 3a20 6162 7365 6e74 0a20 2074 6167 733a  : absent.  tags:
│ │ │ -000719e0: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ -000719f0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -00071a00: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -00071a10: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -00071a20: 6c6f 775f 7365 7665 7269 7479 0a20 202d  low_severity.  -
│ │ │ -00071a30: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -00071a40: 640a 2020 2d20 7061 636b 6167 655f 6e69  d.  - package_ni
│ │ │ -00071a50: 735f 7265 6d6f 7665 640a 3c2f 636f 6465  s_removed.</code
│ │ │ +000715e0: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ +000715f0: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ +00071600: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00071610: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00071620: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00071630: 6964 6d39 3733 3522 3e3c 7461 626c 6520  idm9735"><table 
│ │ │ +00071640: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +00071650: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +00071660: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +00071670: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +00071680: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +00071690: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +000716a0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +000716b0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +000716c0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +000716d0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +000716e0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +000716f0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +00071700: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +00071710: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +00071720: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00071730: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ +00071740: 206e 6973 2069 7320 7265 6d6f 7665 640a   nis is removed.
│ │ │ +00071750: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ +00071760: 616d 653a 206e 6973 0a20 2020 2073 7461  ame: nis.    sta
│ │ │ +00071770: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ +00071780: 733a 0a20 202d 2064 6973 6162 6c65 5f73  s:.  - disable_s
│ │ │ +00071790: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +000717a0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +000717b0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +000717c0: 2d20 6c6f 775f 7365 7665 7269 7479 0a20  - low_severity. 
│ │ │ +000717d0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +000717e0: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +000717f0: 6e69 735f 7265 6d6f 7665 640a 3c2f 636f  nis_removed.</co
│ │ │ +00071800: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +00071810: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +00071820: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +00071830: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +00071840: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +00071850: 646d 3937 3336 2220 7461 6269 6e64 6578  dm9736" tabindex
│ │ │ +00071860: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +00071870: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +00071880: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00071890: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +000718a0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +000718b0: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ +000718c0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +000718d0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +000718e0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +000718f0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00071900: 3937 3336 223e 3c74 6162 6c65 2063 6c61  9736"><table cla
│ │ │ +00071910: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +00071920: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +00071930: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +00071940: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +00071950: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +00071960: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00071970: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +00071980: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +00071990: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +000719a0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +000719b0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +000719c0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +000719d0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ +000719e0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +000719f0: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ +00071a00: 6e63 6c75 6465 2072 656d 6f76 655f 6e69  nclude remove_ni
│ │ │ +00071a10: 730a 0a63 6c61 7373 2072 656d 6f76 655f  s..class remove_
│ │ │ +00071a20: 6e69 7320 7b0a 2020 7061 636b 6167 6520  nis {.  package 
│ │ │ +00071a30: 7b20 276e 6973 273a 0a20 2020 2065 6e73  { 'nis':.    ens
│ │ │ +00071a40: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ +00071a50: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │  00071a60: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │  00071a70: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │  00071a80: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │  00071a90: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │  00071aa0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  00071ab0: 3937 3337 2220 7461 6269 6e64 6578 3d22  9737" tabindex="
│ │ │  00071ac0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ @@ -29239,88 +29239,88 @@
│ │ │  00072360: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  00072370: 3d22 2369 646d 3937 3434 2220 7461 6269  ="#idm9744" tabi
│ │ │  00072380: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │  00072390: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │  000723a0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │  000723b0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │  000723c0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -000723d0: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ -000723e0: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ -000723f0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00072400: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00072410: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00072420: 2269 646d 3937 3434 223e 3c74 6162 6c65  "idm9744"><table
│ │ │ -00072430: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -00072440: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -00072450: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -00072460: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -00072470: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -00072480: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00072490: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -000724a0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -000724b0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -000724c0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -000724d0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -000724e0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -000724f0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ -00072500: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ -00072510: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00072520: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ -00072530: 655f 6e74 7064 6174 650a 0a63 6c61 7373  e_ntpdate..class
│ │ │ -00072540: 2072 656d 6f76 655f 6e74 7064 6174 6520   remove_ntpdate 
│ │ │ -00072550: 7b0a 2020 7061 636b 6167 6520 7b20 276e  {.  package { 'n
│ │ │ -00072560: 7470 6461 7465 273a 0a20 2020 2065 6e73  tpdate':.    ens
│ │ │ -00072570: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ -00072580: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │ -00072590: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -000725a0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -000725b0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -000725c0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -000725d0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -000725e0: 3937 3435 2220 7461 6269 6e64 6578 3d22  9745" tabindex="
│ │ │ -000725f0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -00072600: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -00072610: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -00072620: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -00072630: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00072640: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -00072650: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00072660: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00072670: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00072680: 6c6c 6170 7365 2220 6964 3d22 6964 6d39  llapse" id="idm9
│ │ │ -00072690: 3734 3522 3e3c 7461 626c 6520 636c 6173  745"><table clas
│ │ │ -000726a0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -000726b0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -000726c0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -000726d0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -000726e0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -000726f0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00072700: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00072710: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00072720: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00072730: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -00072740: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -00072750: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -00072760: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ -00072770: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00072780: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ -00072790: 6e61 6d65 3a20 456e 7375 7265 206e 7470  name: Ensure ntp
│ │ │ -000727a0: 6461 7465 2069 7320 7265 6d6f 7665 640a  date is removed.
│ │ │ -000727b0: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ -000727c0: 616d 653a 206e 7470 6461 7465 0a20 2020  ame: ntpdate.   
│ │ │ -000727d0: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ -000727e0: 2074 6167 733a 0a20 202d 2064 6973 6162   tags:.  - disab
│ │ │ -000727f0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00072800: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -00072810: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -00072820: 6e0a 2020 2d20 6c6f 775f 7365 7665 7269  n.  - low_severi
│ │ │ -00072830: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -00072840: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -00072850: 6167 655f 6e74 7064 6174 655f 7265 6d6f  age_ntpdate_remo
│ │ │ -00072860: 7665 640a 3c2f 636f 6465 3e3c 2f70 7265  ved.</code></pre
│ │ │ +000723d0: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ +000723e0: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ +000723f0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00072400: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00072410: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00072420: 3d22 6964 6d39 3734 3422 3e3c 7461 626c  ="idm9744"><tabl
│ │ │ +00072430: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +00072440: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +00072450: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +00072460: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +00072470: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +00072480: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00072490: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +000724a0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +000724b0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +000724c0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +000724d0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +000724e0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +000724f0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00072500: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +00072510: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00072520: 6f64 653e 2d20 6e61 6d65 3a20 456e 7375  ode>- name: Ensu
│ │ │ +00072530: 7265 206e 7470 6461 7465 2069 7320 7265  re ntpdate is re
│ │ │ +00072540: 6d6f 7665 640a 2020 7061 636b 6167 653a  moved.  package:
│ │ │ +00072550: 0a20 2020 206e 616d 653a 206e 7470 6461  .    name: ntpda
│ │ │ +00072560: 7465 0a20 2020 2073 7461 7465 3a20 6162  te.    state: ab
│ │ │ +00072570: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ +00072580: 2064 6973 6162 6c65 5f73 7472 6174 6567   disable_strateg
│ │ │ +00072590: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +000725a0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +000725b0: 7275 7074 696f 6e0a 2020 2d20 6c6f 775f  ruption.  - low_
│ │ │ +000725c0: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ +000725d0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +000725e0: 2d20 7061 636b 6167 655f 6e74 7064 6174  - package_ntpdat
│ │ │ +000725f0: 655f 7265 6d6f 7665 640a 3c2f 636f 6465  e_removed.</code
│ │ │ +00072600: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +00072610: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +00072620: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +00072630: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +00072640: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +00072650: 3937 3435 2220 7461 6269 6e64 6578 3d22  9745" tabindex="
│ │ │ +00072660: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +00072670: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +00072680: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +00072690: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +000726a0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +000726b0: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +000726c0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +000726d0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +000726e0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +000726f0: 6c61 7073 6522 2069 643d 2269 646d 3937  lapse" id="idm97
│ │ │ +00072700: 3435 223e 3c74 6162 6c65 2063 6c61 7373  45"><table class
│ │ │ +00072710: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00072720: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00072730: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +00072740: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00072750: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00072760: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00072770: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00072780: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00072790: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +000727a0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +000727b0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +000727c0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +000727d0: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +000727e0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +000727f0: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +00072800: 6c75 6465 2072 656d 6f76 655f 6e74 7064  lude remove_ntpd
│ │ │ +00072810: 6174 650a 0a63 6c61 7373 2072 656d 6f76  ate..class remov
│ │ │ +00072820: 655f 6e74 7064 6174 6520 7b0a 2020 7061  e_ntpdate {.  pa
│ │ │ +00072830: 636b 6167 6520 7b20 276e 7470 6461 7465  ckage { 'ntpdate
│ │ │ +00072840: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ +00072850: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ +00072860: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │  00072870: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │  00072880: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │  00072890: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │  000728a0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │  000728b0: 7267 6574 3d22 2369 646d 3937 3436 2220  rget="#idm9746" 
│ │ │  000728c0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  000728d0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ @@ -29581,93 +29581,93 @@
│ │ │  000738c0: 7267 6574 3d22 2369 646d 3938 3435 2220  rget="#idm9845" 
│ │ │  000738d0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  000738e0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  000738f0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  00073900: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  00073910: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  00073920: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00073930: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -00073940: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00073950: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00073960: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00073970: 2069 643d 2269 646d 3938 3435 223e 3c74   id="idm9845"><t
│ │ │ -00073980: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -00073990: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -000739a0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -000739b0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -000739c0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -000739d0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -000739e0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -000739f0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -00073a00: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00073a10: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -00073a20: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00073a30: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00073a40: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -00073a50: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -00073a60: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -00073a70: 3e3c 636f 6465 3e69 6e63 6c75 6465 2072  ><code>include r
│ │ │ -00073a80: 656d 6f76 655f 7465 6c6e 6574 642d 7373  emove_telnetd-ss
│ │ │ -00073a90: 6c0a 0a63 6c61 7373 2072 656d 6f76 655f  l..class remove_
│ │ │ -00073aa0: 7465 6c6e 6574 642d 7373 6c20 7b0a 2020  telnetd-ssl {.  
│ │ │ -00073ab0: 7061 636b 6167 6520 7b20 2774 656c 6e65  package { 'telne
│ │ │ -00073ac0: 7464 2d73 736c 273a 0a20 2020 2065 6e73  td-ssl':.    ens
│ │ │ -00073ad0: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ -00073ae0: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │ -00073af0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -00073b00: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -00073b10: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -00073b20: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -00073b30: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -00073b40: 3938 3436 2220 7461 6269 6e64 6578 3d22  9846" tabindex="
│ │ │ -00073b50: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -00073b60: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -00073b70: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -00073b80: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -00073b90: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00073ba0: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -00073bb0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00073bc0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00073bd0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00073be0: 6c6c 6170 7365 2220 6964 3d22 6964 6d39  llapse" id="idm9
│ │ │ -00073bf0: 3834 3622 3e3c 7461 626c 6520 636c 6173  846"><table clas
│ │ │ -00073c00: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -00073c10: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -00073c20: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -00073c30: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00073c40: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00073c50: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00073c60: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00073c70: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00073c80: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00073c90: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -00073ca0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -00073cb0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -00073cc0: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ -00073cd0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00073ce0: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ -00073cf0: 6e61 6d65 3a20 456e 7375 7265 2074 656c  name: Ensure tel
│ │ │ -00073d00: 6e65 7464 2d73 736c 2069 7320 7265 6d6f  netd-ssl is remo
│ │ │ -00073d10: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ -00073d20: 2020 206e 616d 653a 2074 656c 6e65 7464     name: telnetd
│ │ │ -00073d30: 2d73 736c 0a20 2020 2073 7461 7465 3a20  -ssl.    state: 
│ │ │ -00073d40: 6162 7365 6e74 0a20 2074 6167 733a 0a20  absent.  tags:. 
│ │ │ -00073d50: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -00073d60: 4d2d 3628 6129 0a20 202d 204e 4953 542d  M-6(a).  - NIST-
│ │ │ -00073d70: 3830 302d 3533 2d43 4d2d 3728 6129 0a20  800-53-CM-7(a). 
│ │ │ -00073d80: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -00073d90: 4d2d 3728 6229 0a20 202d 2064 6973 6162  M-7(b).  - disab
│ │ │ -00073da0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00073db0: 6869 6768 5f73 6576 6572 6974 790a 2020  high_severity.  
│ │ │ -00073dc0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -00073dd0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -00073de0: 696f 6e0a 2020 2d20 6e6f 5f72 6562 6f6f  ion.  - no_reboo
│ │ │ -00073df0: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -00073e00: 6b61 6765 5f74 656c 6e65 7464 2d73 736c  kage_telnetd-ssl
│ │ │ -00073e10: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ +00073930: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +00073940: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00073950: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00073960: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00073970: 2220 6964 3d22 6964 6d39 3834 3522 3e3c  " id="idm9845"><
│ │ │ +00073980: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00073990: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +000739a0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +000739b0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +000739c0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +000739d0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +000739e0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +000739f0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00073a00: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00073a10: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00073a20: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00073a30: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00073a40: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00073a50: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +00073a60: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00073a70: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +00073a80: 456e 7375 7265 2074 656c 6e65 7464 2d73  Ensure telnetd-s
│ │ │ +00073a90: 736c 2069 7320 7265 6d6f 7665 640a 2020  sl is removed.  
│ │ │ +00073aa0: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ +00073ab0: 653a 2074 656c 6e65 7464 2d73 736c 0a20  e: telnetd-ssl. 
│ │ │ +00073ac0: 2020 2073 7461 7465 3a20 6162 7365 6e74     state: absent
│ │ │ +00073ad0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +00073ae0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +00073af0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00073b00: 2d43 4d2d 3728 6129 0a20 202d 204e 4953  -CM-7(a).  - NIS
│ │ │ +00073b10: 542d 3830 302d 3533 2d43 4d2d 3728 6229  T-800-53-CM-7(b)
│ │ │ +00073b20: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ +00073b30: 6174 6567 790a 2020 2d20 6869 6768 5f73  ategy.  - high_s
│ │ │ +00073b40: 6576 6572 6974 790a 2020 2d20 6c6f 775f  everity.  - low_
│ │ │ +00073b50: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +00073b60: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +00073b70: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +00073b80: 6564 0a20 202d 2070 6163 6b61 6765 5f74  ed.  - package_t
│ │ │ +00073b90: 656c 6e65 7464 2d73 736c 5f72 656d 6f76  elnetd-ssl_remov
│ │ │ +00073ba0: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +00073bb0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00073bc0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00073bd0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00073be0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00073bf0: 6765 743d 2223 6964 6d39 3834 3622 2074  get="#idm9846" t
│ │ │ +00073c00: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +00073c10: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +00073c20: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +00073c30: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +00073c40: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +00073c50: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +00073c60: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ +00073c70: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00073c80: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00073c90: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00073ca0: 6964 3d22 6964 6d39 3834 3622 3e3c 7461  id="idm9846"><ta
│ │ │ +00073cb0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +00073cc0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +00073cd0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +00073ce0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00073cf0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +00073d00: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +00073d10: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00073d20: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +00073d30: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00073d40: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +00073d50: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +00073d60: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00073d70: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +00073d80: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +00073d90: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +00073da0: 3c63 6f64 653e 696e 636c 7564 6520 7265  <code>include re
│ │ │ +00073db0: 6d6f 7665 5f74 656c 6e65 7464 2d73 736c  move_telnetd-ssl
│ │ │ +00073dc0: 0a0a 636c 6173 7320 7265 6d6f 7665 5f74  ..class remove_t
│ │ │ +00073dd0: 656c 6e65 7464 2d73 736c 207b 0a20 2070  elnetd-ssl {.  p
│ │ │ +00073de0: 6163 6b61 6765 207b 2027 7465 6c6e 6574  ackage { 'telnet
│ │ │ +00073df0: 642d 7373 6c27 3a0a 2020 2020 656e 7375  d-ssl':.    ensu
│ │ │ +00073e00: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ +00073e10: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │  00073e20: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │  00073e30: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │  00073e40: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │  00073e50: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │  00073e60: 7461 2d74 6172 6765 743d 2223 6964 6d39  ta-target="#idm9
│ │ │  00073e70: 3834 3722 2074 6162 696e 6465 783d 2230  847" tabindex="0
│ │ │  00073e80: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ @@ -29928,92 +29928,92 @@
│ │ │  00074e70: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  00074e80: 6964 6d39 3934 3522 2074 6162 696e 6465  idm9945" tabinde
│ │ │  00074e90: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  00074ea0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  00074eb0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  00074ec0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  00074ed0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00074ee0: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -00074ef0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -00074f00: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00074f10: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00074f20: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00074f30: 6d39 3934 3522 3e3c 7461 626c 6520 636c  m9945"><table cl
│ │ │ -00074f40: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00074f50: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00074f60: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00074f70: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00074f80: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00074f90: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00074fa0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00074fb0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00074fc0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00074fd0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00074fe0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00074ff0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00075000: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -00075010: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00075020: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00075030: 696e 636c 7564 6520 7265 6d6f 7665 5f74  include remove_t
│ │ │ -00075040: 656c 6e65 7464 0a0a 636c 6173 7320 7265  elnetd..class re
│ │ │ -00075050: 6d6f 7665 5f74 656c 6e65 7464 207b 0a20  move_telnetd {. 
│ │ │ -00075060: 2070 6163 6b61 6765 207b 2027 7465 6c6e   package { 'teln
│ │ │ -00075070: 6574 6427 3a0a 2020 2020 656e 7375 7265  etd':.    ensure
│ │ │ -00075080: 203d 2667 743b 2027 7075 7267 6564 272c   =&gt; 'purged',
│ │ │ -00075090: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │ -000750a0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -000750b0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -000750c0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -000750d0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -000750e0: 2d74 6172 6765 743d 2223 6964 6d39 3934  -target="#idm994
│ │ │ -000750f0: 3622 2074 6162 696e 6465 783d 2230 2220  6" tabindex="0" 
│ │ │ -00075100: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00075110: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00075120: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00075130: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00075140: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00075150: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -00075160: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00075170: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00075180: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00075190: 7073 6522 2069 643d 2269 646d 3939 3436  pse" id="idm9946
│ │ │ -000751a0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -000751b0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -000751c0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -000751d0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -000751e0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -000751f0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00075200: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00075210: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00075220: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00075230: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00075240: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00075250: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00075260: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00075270: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -00075280: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00075290: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ -000752a0: 653a 2045 6e73 7572 6520 7465 6c6e 6574  e: Ensure telnet
│ │ │ -000752b0: 6420 6973 2072 656d 6f76 6564 0a20 2070  d is removed.  p
│ │ │ -000752c0: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -000752d0: 3a20 7465 6c6e 6574 640a 2020 2020 7374  : telnetd.    st
│ │ │ -000752e0: 6174 653a 2061 6273 656e 740a 2020 7461  ate: absent.  ta
│ │ │ -000752f0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ -00075300: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ -00075310: 4e49 5354 2d38 3030 2d35 332d 434d 2d37  NIST-800-53-CM-7
│ │ │ -00075320: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ -00075330: 2d35 332d 434d 2d37 2862 290a 2020 2d20  -53-CM-7(b).  - 
│ │ │ -00075340: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ -00075350: 0a20 202d 2068 6967 685f 7365 7665 7269  .  - high_severi
│ │ │ -00075360: 7479 0a20 202d 206c 6f77 5f63 6f6d 706c  ty.  - low_compl
│ │ │ -00075370: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -00075380: 7372 7570 7469 6f6e 0a20 202d 206e 6f5f  sruption.  - no_
│ │ │ -00075390: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -000753a0: 2d20 7061 636b 6167 655f 7465 6c6e 6574  - package_telnet
│ │ │ -000753b0: 645f 7265 6d6f 7665 640a 3c2f 636f 6465  d_removed.</code
│ │ │ +00074ee0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +00074ef0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +00074f00: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00074f10: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00074f20: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00074f30: 646d 3939 3435 223e 3c74 6162 6c65 2063  dm9945"><table c
│ │ │ +00074f40: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00074f50: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00074f60: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00074f70: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00074f80: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00074f90: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00074fa0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00074fb0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00074fc0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00074fd0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00074fe0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00074ff0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00075000: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +00075010: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00075020: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +00075030: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ +00075040: 7465 6c6e 6574 6420 6973 2072 656d 6f76  telnetd is remov
│ │ │ +00075050: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +00075060: 2020 6e61 6d65 3a20 7465 6c6e 6574 640a    name: telnetd.
│ │ │ +00075070: 2020 2020 7374 6174 653a 2061 6273 656e      state: absen
│ │ │ +00075080: 740a 2020 7461 6773 3a0a 2020 2d20 4e49  t.  tags:.  - NI
│ │ │ +00075090: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +000750a0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +000750b0: 332d 434d 2d37 2861 290a 2020 2d20 4e49  3-CM-7(a).  - NI
│ │ │ +000750c0: 5354 2d38 3030 2d35 332d 434d 2d37 2862  ST-800-53-CM-7(b
│ │ │ +000750d0: 290a 2020 2d20 6469 7361 626c 655f 7374  ).  - disable_st
│ │ │ +000750e0: 7261 7465 6779 0a20 202d 2068 6967 685f  rategy.  - high_
│ │ │ +000750f0: 7365 7665 7269 7479 0a20 202d 206c 6f77  severity.  - low
│ │ │ +00075100: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +00075110: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +00075120: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +00075130: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +00075140: 7465 6c6e 6574 645f 7265 6d6f 7665 640a  telnetd_removed.
│ │ │ +00075150: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +00075160: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +00075170: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +00075180: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00075190: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +000751a0: 3d22 2369 646d 3939 3436 2220 7461 6269  ="#idm9946" tabi
│ │ │ +000751b0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +000751c0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +000751d0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +000751e0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +000751f0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00075200: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +00075210: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +00075220: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00075230: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00075240: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00075250: 2269 646d 3939 3436 223e 3c74 6162 6c65  "idm9946"><table
│ │ │ +00075260: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00075270: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00075280: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00075290: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +000752a0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +000752b0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +000752c0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +000752d0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +000752e0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +000752f0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00075300: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00075310: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00075320: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +00075330: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +00075340: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00075350: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ +00075360: 655f 7465 6c6e 6574 640a 0a63 6c61 7373  e_telnetd..class
│ │ │ +00075370: 2072 656d 6f76 655f 7465 6c6e 6574 6420   remove_telnetd 
│ │ │ +00075380: 7b0a 2020 7061 636b 6167 6520 7b20 2774  {.  package { 't
│ │ │ +00075390: 656c 6e65 7464 273a 0a20 2020 2065 6e73  elnetd':.    ens
│ │ │ +000753a0: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ +000753b0: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │  000753c0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │  000753d0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │  000753e0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │  000753f0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │  00075400: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  00075410: 3939 3437 2220 7461 6269 6e64 6578 3d22  9947" tabindex="
│ │ │  00075420: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ @@ -30510,128 +30510,128 @@
│ │ │  000772d0: 6765 743d 2223 6964 6d31 3033 3331 2220  get="#idm10331" 
│ │ │  000772e0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  000772f0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  00077300: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  00077310: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  00077320: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  00077330: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00077340: 6e20 4f53 4275 696c 6420 426c 7565 7072  n OSBuild Bluepr
│ │ │ -00077350: 696e 7420 736e 6970 7065 7420 e287 b23c  int snippet ...<
│ │ │ -00077360: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00077370: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00077380: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00077390: 6964 6d31 3033 3331 223e 3c70 7265 3e3c  idm10331"><pre><
│ │ │ -000773a0: 636f 6465 3e0a 5b5b 7061 636b 6167 6573  code>.[[packages
│ │ │ -000773b0: 5d5d 0a6e 616d 6520 3d20 226e 7470 220a  ]].name = "ntp".
│ │ │ -000773c0: 7665 7273 696f 6e20 3d20 222a 220a 3c2f  version = "*".</
│ │ │ -000773d0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -000773e0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -000773f0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00077400: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00077410: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00077420: 2369 646d 3130 3333 3222 2074 6162 696e  #idm10332" tabin
│ │ │ -00077430: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -00077440: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -00077450: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -00077460: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00077470: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00077480: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ -00077490: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ -000774a0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -000774b0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -000774c0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -000774d0: 6964 6d31 3033 3332 223e 3c74 6162 6c65  idm10332"><table
│ │ │ -000774e0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -000774f0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -00077500: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -00077510: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -00077520: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -00077530: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00077540: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -00077550: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -00077560: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00077570: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -00077580: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -00077590: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -000775a0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ -000775b0: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ -000775c0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -000775d0: 653e 696e 636c 7564 6520 696e 7374 616c  e>include instal
│ │ │ -000775e0: 6c5f 6e74 700a 0a63 6c61 7373 2069 6e73  l_ntp..class ins
│ │ │ -000775f0: 7461 6c6c 5f6e 7470 207b 0a20 2070 6163  tall_ntp {.  pac
│ │ │ -00077600: 6b61 6765 207b 2027 6e74 7027 3a0a 2020  kage { 'ntp':.  
│ │ │ -00077610: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -00077620: 696e 7374 616c 6c65 6427 2c0a 2020 7d0a  installed',.  }.
│ │ │ -00077630: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │ -00077640: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -00077650: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -00077660: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -00077670: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -00077680: 6574 3d22 2369 646d 3130 3333 3322 2074  et="#idm10333" t
│ │ │ -00077690: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -000776a0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -000776b0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -000776c0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -000776d0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -000776e0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -000776f0: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ -00077700: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00077710: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00077720: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00077730: 2069 643d 2269 646d 3130 3333 3322 3e3c   id="idm10333"><
│ │ │ -00077740: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00077750: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -00077760: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -00077770: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00077780: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -00077790: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -000777a0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -000777b0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -000777c0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -000777d0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -000777e0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -000777f0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00077800: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -00077810: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -00077820: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -00077830: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ -00077840: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ -00077850: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ -00077860: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ -00077870: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ -00077880: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -00077890: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ -000778a0: 4349 2d44 5353 2d52 6571 2d31 302e 340a  CI-DSS-Req-10.4.
│ │ │ -000778b0: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ -000778c0: 6567 790a 2020 2d20 6869 6768 5f73 6576  egy.  - high_sev
│ │ │ -000778d0: 6572 6974 790a 2020 2d20 6c6f 775f 636f  erity.  - low_co
│ │ │ -000778e0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -000778f0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -00077900: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -00077910: 0a20 202d 2070 6163 6b61 6765 5f6e 7470  .  - package_ntp
│ │ │ -00077920: 5f69 6e73 7461 6c6c 6564 0a0a 2d20 6e61  _installed..- na
│ │ │ -00077930: 6d65 3a20 456e 7375 7265 206e 7470 2069  me: Ensure ntp i
│ │ │ -00077940: 7320 696e 7374 616c 6c65 640a 2020 7061  s installed.  pa
│ │ │ -00077950: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -00077960: 206e 7470 0a20 2020 2073 7461 7465 3a20   ntp.    state: 
│ │ │ -00077970: 7072 6573 656e 740a 2020 7768 656e 3a20  present.  when: 
│ │ │ -00077980: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ -00077990: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -000779a0: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ -000779b0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -000779c0: 2d43 4d2d 3628 6129 0a20 202d 2050 4349  -CM-6(a).  - PCI
│ │ │ -000779d0: 2d44 5353 2d52 6571 2d31 302e 340a 2020  -DSS-Req-10.4.  
│ │ │ -000779e0: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -000779f0: 790a 2020 2d20 6869 6768 5f73 6576 6572  y.  - high_sever
│ │ │ -00077a00: 6974 790a 2020 2d20 6c6f 775f 636f 6d70  ity.  - low_comp
│ │ │ -00077a10: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -00077a20: 6973 7275 7074 696f 6e0a 2020 2d20 6e6f  isruption.  - no
│ │ │ -00077a30: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -00077a40: 202d 2070 6163 6b61 6765 5f6e 7470 5f69   - package_ntp_i
│ │ │ -00077a50: 6e73 7461 6c6c 6564 0a3c 2f63 6f64 653e  nstalled.</code>
│ │ │ +00077340: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +00077350: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00077360: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00077370: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00077380: 2220 6964 3d22 6964 6d31 3033 3331 223e  " id="idm10331">
│ │ │ +00077390: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +000773a0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +000773b0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +000773c0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +000773d0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +000773e0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +000773f0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00077400: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00077410: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00077420: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00077430: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00077440: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00077450: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00077460: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +00077470: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00077480: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +00077490: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ +000774a0: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ +000774b0: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ +000774c0: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ +000774d0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +000774e0: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +000774f0: 5043 492d 4453 532d 5265 712d 3130 2e34  PCI-DSS-Req-10.4
│ │ │ +00077500: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +00077510: 7465 6779 0a20 202d 2068 6967 685f 7365  tegy.  - high_se
│ │ │ +00077520: 7665 7269 7479 0a20 202d 206c 6f77 5f63  verity.  - low_c
│ │ │ +00077530: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +00077540: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +00077550: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +00077560: 640a 2020 2d20 7061 636b 6167 655f 6e74  d.  - package_nt
│ │ │ +00077570: 705f 696e 7374 616c 6c65 640a 0a2d 206e  p_installed..- n
│ │ │ +00077580: 616d 653a 2045 6e73 7572 6520 6e74 7020  ame: Ensure ntp 
│ │ │ +00077590: 6973 2069 6e73 7461 6c6c 6564 0a20 2070  is installed.  p
│ │ │ +000775a0: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ +000775b0: 3a20 6e74 700a 2020 2020 7374 6174 653a  : ntp.    state:
│ │ │ +000775c0: 2070 7265 7365 6e74 0a20 2077 6865 6e3a   present.  when:
│ │ │ +000775d0: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ +000775e0: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ +000775f0: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ +00077600: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +00077610: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ +00077620: 492d 4453 532d 5265 712d 3130 2e34 0a20  I-DSS-Req-10.4. 
│ │ │ +00077630: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ +00077640: 6779 0a20 202d 2068 6967 685f 7365 7665  gy.  - high_seve
│ │ │ +00077650: 7269 7479 0a20 202d 206c 6f77 5f63 6f6d  rity.  - low_com
│ │ │ +00077660: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +00077670: 6469 7372 7570 7469 6f6e 0a20 202d 206e  disruption.  - n
│ │ │ +00077680: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +00077690: 2020 2d20 7061 636b 6167 655f 6e74 705f    - package_ntp_
│ │ │ +000776a0: 696e 7374 616c 6c65 640a 3c2f 636f 6465  installed.</code
│ │ │ +000776b0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +000776c0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +000776d0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +000776e0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +000776f0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +00077700: 3130 3333 3222 2074 6162 696e 6465 783d  10332" tabindex=
│ │ │ +00077710: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00077720: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00077730: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +00077740: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +00077750: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +00077760: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ +00077770: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00077780: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00077790: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +000777a0: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ +000777b0: 3033 3332 223e 3c74 6162 6c65 2063 6c61  0332"><table cla
│ │ │ +000777c0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +000777d0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +000777e0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +000777f0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +00077800: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +00077810: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00077820: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +00077830: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +00077840: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00077850: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +00077860: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +00077870: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +00077880: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ +00077890: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +000778a0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +000778b0: 636c 7564 6520 696e 7374 616c 6c5f 6e74  clude install_nt
│ │ │ +000778c0: 700a 0a63 6c61 7373 2069 6e73 7461 6c6c  p..class install
│ │ │ +000778d0: 5f6e 7470 207b 0a20 2070 6163 6b61 6765  _ntp {.  package
│ │ │ +000778e0: 207b 2027 6e74 7027 3a0a 2020 2020 656e   { 'ntp':.    en
│ │ │ +000778f0: 7375 7265 203d 2667 743b 2027 696e 7374  sure =&gt; 'inst
│ │ │ +00077900: 616c 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f  alled',.  }.}.</
│ │ │ +00077910: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00077920: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00077930: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00077940: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00077950: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +00077960: 2369 646d 3130 3333 3322 2074 6162 696e  #idm10333" tabin
│ │ │ +00077970: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00077980: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00077990: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +000779a0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +000779b0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +000779c0: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ +000779d0: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ +000779e0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +000779f0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00077a00: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00077a10: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ +00077a20: 3333 3322 3e3c 7072 653e 3c63 6f64 653e  333"><pre><code>
│ │ │ +00077a30: 0a5b 5b70 6163 6b61 6765 735d 5d0a 6e61  .[[packages]].na
│ │ │ +00077a40: 6d65 203d 2022 6e74 7022 0a76 6572 7369  me = "ntp".versi
│ │ │ +00077a50: 6f6e 203d 2022 2a22 0a3c 2f63 6f64 653e  on = "*".</code>
│ │ │  00077a60: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │  00077a70: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │  00077a80: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │  00077a90: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │  00077aa0: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │  00077ab0: 3033 3334 2220 7461 6269 6e64 6578 3d22  0334" tabindex="
│ │ │  00077ac0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ @@ -30910,157 +30910,157 @@
│ │ │  00078bd0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  00078be0: 6d31 3034 3034 2220 7461 6269 6e64 6578  m10404" tabindex
│ │ │  00078bf0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │  00078c00: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │  00078c10: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │  00078c20: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │  00078c30: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00078c40: 6d65 6469 6174 696f 6e20 4f53 4275 696c  mediation OSBuil
│ │ │ -00078c50: 6420 426c 7565 7072 696e 7420 736e 6970  d Blueprint snip
│ │ │ -00078c60: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00078c70: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00078c80: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00078c90: 7365 2220 6964 3d22 6964 6d31 3034 3034  se" id="idm10404
│ │ │ -00078ca0: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b63  "><pre><code>.[c
│ │ │ -00078cb0: 7573 746f 6d69 7a61 7469 6f6e 732e 7365  ustomizations.se
│ │ │ -00078cc0: 7276 6963 6573 5d0a 656e 6162 6c65 6420  rvices].enabled 
│ │ │ -00078cd0: 3d20 5b22 6e74 7022 5d0a 3c2f 636f 6465  = ["ntp"].</code
│ │ │ -00078ce0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -00078cf0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -00078d00: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -00078d10: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -00078d20: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -00078d30: 3130 3430 3522 2074 6162 696e 6465 783d  10405" tabindex=
│ │ │ -00078d40: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -00078d50: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -00078d60: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00078d70: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00078d80: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00078d90: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ -00078da0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00078db0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00078dc0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00078dd0: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -00078de0: 3034 3035 223e 3c74 6162 6c65 2063 6c61  0405"><table cla
│ │ │ -00078df0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00078e00: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00078e10: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00078e20: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00078e30: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00078e40: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00078e50: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00078e60: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00078e70: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00078e80: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00078e90: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00078ea0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00078eb0: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -00078ec0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00078ed0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -00078ee0: 636c 7564 6520 656e 6162 6c65 5f6e 7470  clude enable_ntp
│ │ │ -00078ef0: 0a0a 636c 6173 7320 656e 6162 6c65 5f6e  ..class enable_n
│ │ │ -00078f00: 7470 207b 0a20 2073 6572 7669 6365 207b  tp {.  service {
│ │ │ -00078f10: 276e 7470 273a 0a20 2020 2065 6e61 626c  'ntp':.    enabl
│ │ │ -00078f20: 6520 3d26 6774 3b20 7472 7565 2c0a 2020  e =&gt; true,.  
│ │ │ -00078f30: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -00078f40: 7275 6e6e 696e 6727 2c0a 2020 7d0a 7d0a  running',.  }.}.
│ │ │ -00078f50: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00078f60: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00078f70: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00078f80: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00078f90: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00078fa0: 3d22 2369 646d 3130 3430 3622 2074 6162  ="#idm10406" tab
│ │ │ -00078fb0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -00078fc0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -00078fd0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -00078fe0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -00078ff0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -00079000: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ -00079010: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ -00079020: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00079030: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00079040: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00079050: 643d 2269 646d 3130 3430 3622 3e3c 7461  d="idm10406"><ta
│ │ │ -00079060: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00079070: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00079080: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00079090: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -000790a0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -000790b0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -000790c0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -000790d0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -000790e0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -000790f0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -00079100: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -00079110: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00079120: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -00079130: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ -00079140: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -00079150: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ -00079160: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ -00079170: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ -00079180: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ -00079190: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ -000791a0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -000791b0: 2d41 552d 3828 3129 2861 290a 2020 2d20  -AU-8(1)(a).  - 
│ │ │ -000791c0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -000791d0: 2861 290a 2020 2d20 5043 492d 4453 532d  (a).  - PCI-DSS-
│ │ │ -000791e0: 5265 712d 3130 2e34 0a20 202d 2050 4349  Req-10.4.  - PCI
│ │ │ -000791f0: 2d44 5353 7634 2d31 302e 360a 2020 2d20  -DSSv4-10.6.  - 
│ │ │ -00079200: 5043 492d 4453 5376 342d 3130 2e36 2e31  PCI-DSSv4-10.6.1
│ │ │ -00079210: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ -00079220: 7465 6779 0a20 202d 2068 6967 685f 7365  tegy.  - high_se
│ │ │ -00079230: 7665 7269 7479 0a20 202d 206c 6f77 5f63  verity.  - low_c
│ │ │ -00079240: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -00079250: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -00079260: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -00079270: 640a 2020 2d20 7365 7276 6963 655f 6e74  d.  - service_nt
│ │ │ -00079280: 705f 656e 6162 6c65 640a 0a2d 206e 616d  p_enabled..- nam
│ │ │ -00079290: 653a 2045 6e61 626c 6520 7468 6520 4e54  e: Enable the NT
│ │ │ -000792a0: 5020 4461 656d 6f6e 202d 2045 6e61 626c  P Daemon - Enabl
│ │ │ -000792b0: 6520 7365 7276 6963 6520 6e74 700a 2020  e service ntp.  
│ │ │ -000792c0: 626c 6f63 6b3a 0a0a 2020 2d20 6e61 6d65  block:..  - name
│ │ │ -000792d0: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ -000792e0: 6b61 6765 2066 6163 7473 0a20 2020 2070  kage facts.    p
│ │ │ -000792f0: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ -00079300: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ -00079310: 6f0a 0a20 202d 206e 616d 653a 2045 6e61  o..  - name: Ena
│ │ │ -00079320: 626c 6520 7468 6520 4e54 5020 4461 656d  ble the NTP Daem
│ │ │ -00079330: 6f6e 202d 2045 6e61 626c 6520 5365 7276  on - Enable Serv
│ │ │ -00079340: 6963 6520 6e74 700a 2020 2020 616e 7369  ice ntp.    ansi
│ │ │ -00079350: 626c 652e 6275 696c 7469 6e2e 7379 7374  ble.builtin.syst
│ │ │ -00079360: 656d 643a 0a20 2020 2020 206e 616d 653a  emd:.      name:
│ │ │ -00079370: 206e 7470 0a20 2020 2020 2065 6e61 626c   ntp.      enabl
│ │ │ -00079380: 6564 3a20 7472 7565 0a20 2020 2020 2073  ed: true.      s
│ │ │ -00079390: 7461 7465 3a20 7374 6172 7465 640a 2020  tate: started.  
│ │ │ -000793a0: 2020 2020 6d61 736b 6564 3a20 6661 6c73      masked: fals
│ │ │ -000793b0: 650a 2020 2020 7768 656e 3a0a 2020 2020  e.    when:.    
│ │ │ -000793c0: 2d20 2722 6e74 7022 2069 6e20 616e 7369  - '"ntp" in ansi
│ │ │ -000793d0: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ -000793e0: 6573 270a 2020 7768 656e 3a0a 2020 2d20  es'.  when:.  - 
│ │ │ -000793f0: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ -00079400: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -00079410: 6163 6b61 6765 7327 0a20 202d 2027 226e  ackages'.  - '"n
│ │ │ -00079420: 7470 2220 696e 2061 6e73 6962 6c65 5f66  tp" in ansible_f
│ │ │ -00079430: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -00079440: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -00079450: 3830 302d 3533 2d41 552d 3828 3129 2861  800-53-AU-8(1)(a
│ │ │ -00079460: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00079470: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ -00079480: 492d 4453 532d 5265 712d 3130 2e34 0a20  I-DSS-Req-10.4. 
│ │ │ -00079490: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ -000794a0: 360a 2020 2d20 5043 492d 4453 5376 342d  6.  - PCI-DSSv4-
│ │ │ -000794b0: 3130 2e36 2e31 0a20 202d 2065 6e61 626c  10.6.1.  - enabl
│ │ │ -000794c0: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ -000794d0: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ -000794e0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -000794f0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00079500: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ -00079510: 5f6e 6565 6465 640a 2020 2d20 7365 7276  _needed.  - serv
│ │ │ -00079520: 6963 655f 6e74 705f 656e 6162 6c65 640a  ice_ntp_enabled.
│ │ │ +00078c40: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ +00078c50: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ +00078c60: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00078c70: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00078c80: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00078c90: 6d31 3034 3034 223e 3c74 6162 6c65 2063  m10404"><table c
│ │ │ +00078ca0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00078cb0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00078cc0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00078cd0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00078ce0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00078cf0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00078d00: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00078d10: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00078d20: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00078d30: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00078d40: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00078d50: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00078d60: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +00078d70: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00078d80: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00078d90: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ +00078da0: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ +00078db0: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ +00078dc0: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ +00078dd0: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ +00078de0: 4e49 5354 2d38 3030 2d35 332d 4155 2d38  NIST-800-53-AU-8
│ │ │ +00078df0: 2831 2928 6129 0a20 202d 204e 4953 542d  (1)(a).  - NIST-
│ │ │ +00078e00: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ +00078e10: 202d 2050 4349 2d44 5353 2d52 6571 2d31   - PCI-DSS-Req-1
│ │ │ +00078e20: 302e 340a 2020 2d20 5043 492d 4453 5376  0.4.  - PCI-DSSv
│ │ │ +00078e30: 342d 3130 2e36 0a20 202d 2050 4349 2d44  4-10.6.  - PCI-D
│ │ │ +00078e40: 5353 7634 2d31 302e 362e 310a 2020 2d20  SSv4-10.6.1.  - 
│ │ │ +00078e50: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +00078e60: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ +00078e70: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00078e80: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00078e90: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ +00078ea0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +00078eb0: 2073 6572 7669 6365 5f6e 7470 5f65 6e61   service_ntp_ena
│ │ │ +00078ec0: 626c 6564 0a0a 2d20 6e61 6d65 3a20 456e  bled..- name: En
│ │ │ +00078ed0: 6162 6c65 2074 6865 204e 5450 2044 6165  able the NTP Dae
│ │ │ +00078ee0: 6d6f 6e20 2d20 456e 6162 6c65 2073 6572  mon - Enable ser
│ │ │ +00078ef0: 7669 6365 206e 7470 0a20 2062 6c6f 636b  vice ntp.  block
│ │ │ +00078f00: 3a0a 0a20 202d 206e 616d 653a 2047 6174  :..  - name: Gat
│ │ │ +00078f10: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ +00078f20: 6661 6374 730a 2020 2020 7061 636b 6167  facts.    packag
│ │ │ +00078f30: 655f 6661 6374 733a 0a20 2020 2020 206d  e_facts:.      m
│ │ │ +00078f40: 616e 6167 6572 3a20 6175 746f 0a0a 2020  anager: auto..  
│ │ │ +00078f50: 2d20 6e61 6d65 3a20 456e 6162 6c65 2074  - name: Enable t
│ │ │ +00078f60: 6865 204e 5450 2044 6165 6d6f 6e20 2d20  he NTP Daemon - 
│ │ │ +00078f70: 456e 6162 6c65 2053 6572 7669 6365 206e  Enable Service n
│ │ │ +00078f80: 7470 0a20 2020 2061 6e73 6962 6c65 2e62  tp.    ansible.b
│ │ │ +00078f90: 7569 6c74 696e 2e73 7973 7465 6d64 3a0a  uiltin.systemd:.
│ │ │ +00078fa0: 2020 2020 2020 6e61 6d65 3a20 6e74 700a        name: ntp.
│ │ │ +00078fb0: 2020 2020 2020 656e 6162 6c65 643a 2074        enabled: t
│ │ │ +00078fc0: 7275 650a 2020 2020 2020 7374 6174 653a  rue.      state:
│ │ │ +00078fd0: 2073 7461 7274 6564 0a20 2020 2020 206d   started.      m
│ │ │ +00078fe0: 6173 6b65 643a 2066 616c 7365 0a20 2020  asked: false.   
│ │ │ +00078ff0: 2077 6865 6e3a 0a20 2020 202d 2027 226e   when:.    - '"n
│ │ │ +00079000: 7470 2220 696e 2061 6e73 6962 6c65 5f66  tp" in ansible_f
│ │ │ +00079010: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ +00079020: 2077 6865 6e3a 0a20 202d 2027 226c 696e   when:.  - '"lin
│ │ │ +00079030: 7578 2d62 6173 6522 2069 6e20 616e 7369  ux-base" in ansi
│ │ │ +00079040: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ +00079050: 6573 270a 2020 2d20 2722 6e74 7022 2069  es'.  - '"ntp" i
│ │ │ +00079060: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ +00079070: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ +00079080: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +00079090: 332d 4155 2d38 2831 2928 6129 0a20 202d  3-AU-8(1)(a).  -
│ │ │ +000790a0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +000790b0: 3628 6129 0a20 202d 2050 4349 2d44 5353  6(a).  - PCI-DSS
│ │ │ +000790c0: 2d52 6571 2d31 302e 340a 2020 2d20 5043  -Req-10.4.  - PC
│ │ │ +000790d0: 492d 4453 5376 342d 3130 2e36 0a20 202d  I-DSSv4-10.6.  -
│ │ │ +000790e0: 2050 4349 2d44 5353 7634 2d31 302e 362e   PCI-DSSv4-10.6.
│ │ │ +000790f0: 310a 2020 2d20 656e 6162 6c65 5f73 7472  1.  - enable_str
│ │ │ +00079100: 6174 6567 790a 2020 2d20 6869 6768 5f73  ategy.  - high_s
│ │ │ +00079110: 6576 6572 6974 790a 2020 2d20 6c6f 775f  everity.  - low_
│ │ │ +00079120: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +00079130: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +00079140: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +00079150: 6564 0a20 202d 2073 6572 7669 6365 5f6e  ed.  - service_n
│ │ │ +00079160: 7470 5f65 6e61 626c 6564 0a3c 2f63 6f64  tp_enabled.</cod
│ │ │ +00079170: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00079180: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00079190: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +000791a0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +000791b0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +000791c0: 6d31 3034 3035 2220 7461 6269 6e64 6578  m10405" tabindex
│ │ │ +000791d0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +000791e0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +000791f0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00079200: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +00079210: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00079220: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ +00079230: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +00079240: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +00079250: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00079260: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00079270: 3130 3430 3522 3e3c 7461 626c 6520 636c  10405"><table cl
│ │ │ +00079280: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +00079290: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +000792a0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +000792b0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +000792c0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +000792d0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +000792e0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +000792f0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +00079300: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00079310: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +00079320: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +00079330: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +00079340: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ +00079350: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +00079360: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ +00079370: 6e63 6c75 6465 2065 6e61 626c 655f 6e74  nclude enable_nt
│ │ │ +00079380: 700a 0a63 6c61 7373 2065 6e61 626c 655f  p..class enable_
│ │ │ +00079390: 6e74 7020 7b0a 2020 7365 7276 6963 6520  ntp {.  service 
│ │ │ +000793a0: 7b27 6e74 7027 3a0a 2020 2020 656e 6162  {'ntp':.    enab
│ │ │ +000793b0: 6c65 203d 2667 743b 2074 7275 652c 0a20  le =&gt; true,. 
│ │ │ +000793c0: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ +000793d0: 2772 756e 6e69 6e67 272c 0a20 207d 0a7d  'running',.  }.}
│ │ │ +000793e0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +000793f0: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +00079400: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +00079410: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +00079420: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +00079430: 743d 2223 6964 6d31 3034 3036 2220 7461  t="#idm10406" ta
│ │ │ +00079440: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +00079450: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +00079460: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +00079470: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +00079480: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +00079490: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +000794a0: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ +000794b0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +000794c0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +000794d0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +000794e0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +000794f0: 6d31 3034 3036 223e 3c70 7265 3e3c 636f  m10406"><pre><co
│ │ │ +00079500: 6465 3e0a 5b63 7573 746f 6d69 7a61 7469  de>.[customizati
│ │ │ +00079510: 6f6e 732e 7365 7276 6963 6573 5d0a 656e  ons.services].en
│ │ │ +00079520: 6162 6c65 6420 3d20 5b22 6e74 7022 5d0a  abled = ["ntp"].
│ │ │  00079530: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  00079540: 6976 3e3c 2f64 6976 3e3c 2f74 643e 3c2f  iv></div></td></
│ │ │  00079550: 7472 3e3c 2f74 626f 6479 3e3c 2f74 6162  tr></tbody></tab
│ │ │  00079560: 6c65 3e3c 2f74 643e 3c2f 7472 3e3c 7472  le></td></tr><tr
│ │ │  00079570: 2064 6174 612d 7474 2d69 643d 2263 6869   data-tt-id="chi
│ │ │  00079580: 6c64 7265 6e2d 7863 6364 665f 6f72 672e  ldren-xccdf_org.
│ │ │  00079590: 7373 6770 726f 6a65 6374 2e63 6f6e 7465  ssgproject.conte
│ │ │ @@ -34652,153 +34652,153 @@
│ │ │  000875b0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  000875c0: 2223 6964 6d31 3334 3039 2220 7461 6269  "#idm13409" tabi
│ │ │  000875d0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │  000875e0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │  000875f0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │  00087600: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │  00087610: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00087620: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ -00087630: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ -00087640: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00087650: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00087660: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00087670: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -00087680: 3334 3039 223e 3c70 7265 3e3c 636f 6465  3409"><pre><code
│ │ │ -00087690: 3e0a 5b5b 7061 636b 6167 6573 5d5d 0a6e  >.[[packages]].n
│ │ │ -000876a0: 616d 6520 3d20 2261 7564 6974 6422 0a76  ame = "auditd".v
│ │ │ -000876b0: 6572 7369 6f6e 203d 2022 2a22 0a3c 2f63  ersion = "*".</c
│ │ │ -000876c0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -000876d0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -000876e0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -000876f0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -00087700: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -00087710: 6964 6d31 3334 3130 2220 7461 6269 6e64  idm13410" tabind
│ │ │ -00087720: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -00087730: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -00087740: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -00087750: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -00087760: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -00087770: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ -00087780: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ -00087790: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -000877a0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -000877b0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -000877c0: 646d 3133 3431 3022 3e3c 7461 626c 6520  dm13410"><table 
│ │ │ -000877d0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -000877e0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -000877f0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -00087800: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -00087810: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -00087820: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00087830: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -00087840: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -00087850: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00087860: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -00087870: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -00087880: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -00087890: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -000878a0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -000878b0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -000878c0: 3e69 6e63 6c75 6465 2069 6e73 7461 6c6c  >include install
│ │ │ -000878d0: 5f61 7564 6974 640a 0a63 6c61 7373 2069  _auditd..class i
│ │ │ -000878e0: 6e73 7461 6c6c 5f61 7564 6974 6420 7b0a  nstall_auditd {.
│ │ │ -000878f0: 2020 7061 636b 6167 6520 7b20 2761 7564    package { 'aud
│ │ │ -00087900: 6974 6427 3a0a 2020 2020 656e 7375 7265  itd':.    ensure
│ │ │ -00087910: 203d 2667 743b 2027 696e 7374 616c 6c65   =&gt; 'installe
│ │ │ -00087920: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │ -00087930: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -00087940: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -00087950: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -00087960: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -00087970: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -00087980: 3133 3431 3122 2074 6162 696e 6465 783d  13411" tabindex=
│ │ │ -00087990: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -000879a0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -000879b0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -000879c0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -000879d0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -000879e0: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ -000879f0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00087a00: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00087a10: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00087a20: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00087a30: 3133 3431 3122 3e3c 7461 626c 6520 636c  13411"><table cl
│ │ │ -00087a40: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00087a50: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00087a60: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00087a70: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00087a80: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00087a90: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00087aa0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00087ab0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00087ac0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00087ad0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00087ae0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00087af0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00087b00: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -00087b10: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00087b20: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -00087b30: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ -00087b40: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ -00087b50: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ -00087b60: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ -00087b70: 746f 0a20 2074 6167 733a 0a20 202d 204e  to.  tags:.  - N
│ │ │ -00087b80: 4953 542d 3830 302d 3533 2d41 432d 3728  IST-800-53-AC-7(
│ │ │ -00087b90: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ -00087ba0: 3533 2d41 552d 3132 2832 290a 2020 2d20  53-AU-12(2).  - 
│ │ │ -00087bb0: 4e49 5354 2d38 3030 2d35 332d 4155 2d31  NIST-800-53-AU-1
│ │ │ -00087bc0: 340a 2020 2d20 4e49 5354 2d38 3030 2d35  4.  - NIST-800-5
│ │ │ -00087bd0: 332d 4155 2d32 2861 290a 2020 2d20 4e49  3-AU-2(a).  - NI
│ │ │ -00087be0: 5354 2d38 3030 2d35 332d 4155 2d37 2831  ST-800-53-AU-7(1
│ │ │ -00087bf0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00087c00: 332d 4155 2d37 2832 290a 2020 2d20 4e49  3-AU-7(2).  - NI
│ │ │ -00087c10: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -00087c20: 290a 2020 2d20 5043 492d 4453 532d 5265  ).  - PCI-DSS-Re
│ │ │ -00087c30: 712d 3130 2e31 0a20 202d 2050 4349 2d44  q-10.1.  - PCI-D
│ │ │ -00087c40: 5353 7634 2d31 302e 320a 2020 2d20 5043  SSv4-10.2.  - PC
│ │ │ -00087c50: 492d 4453 5376 342d 3130 2e32 2e31 0a20  I-DSSv4-10.2.1. 
│ │ │ -00087c60: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ -00087c70: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -00087c80: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -00087c90: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ -00087ca0: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ -00087cb0: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -00087cc0: 640a 2020 2d20 7061 636b 6167 655f 6175  d.  - package_au
│ │ │ -00087cd0: 6469 745f 696e 7374 616c 6c65 640a 0a2d  dit_installed..-
│ │ │ -00087ce0: 206e 616d 653a 2045 6e73 7572 6520 6175   name: Ensure au
│ │ │ -00087cf0: 6469 7464 2069 7320 696e 7374 616c 6c65  ditd is installe
│ │ │ -00087d00: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ -00087d10: 206e 616d 653a 2061 7564 6974 640a 2020   name: auditd.  
│ │ │ -00087d20: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ -00087d30: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ -00087d40: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ -00087d50: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -00087d60: 270a 2020 7461 6773 3a0a 2020 2d20 4e49  '.  tags:.  - NI
│ │ │ -00087d70: 5354 2d38 3030 2d35 332d 4143 2d37 2861  ST-800-53-AC-7(a
│ │ │ -00087d80: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00087d90: 332d 4155 2d31 3228 3229 0a20 202d 204e  3-AU-12(2).  - N
│ │ │ -00087da0: 4953 542d 3830 302d 3533 2d41 552d 3134  IST-800-53-AU-14
│ │ │ -00087db0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00087dc0: 2d41 552d 3228 6129 0a20 202d 204e 4953  -AU-2(a).  - NIS
│ │ │ -00087dd0: 542d 3830 302d 3533 2d41 552d 3728 3129  T-800-53-AU-7(1)
│ │ │ -00087de0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00087df0: 2d41 552d 3728 3229 0a20 202d 204e 4953  -AU-7(2).  - NIS
│ │ │ -00087e00: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -00087e10: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -00087e20: 2d31 302e 310a 2020 2d20 5043 492d 4453  -10.1.  - PCI-DS
│ │ │ -00087e30: 5376 342d 3130 2e32 0a20 202d 2050 4349  Sv4-10.2.  - PCI
│ │ │ -00087e40: 2d44 5353 7634 2d31 302e 322e 310a 2020  -DSSv4-10.2.1.  
│ │ │ -00087e50: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -00087e60: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -00087e70: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -00087e80: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -00087e90: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -00087ea0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -00087eb0: 0a20 202d 2070 6163 6b61 6765 5f61 7564  .  - package_aud
│ │ │ -00087ec0: 6974 5f69 6e73 7461 6c6c 6564 0a3c 2f63  it_installed.</c
│ │ │ +00087620: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ +00087630: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ +00087640: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00087650: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00087660: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00087670: 3d22 6964 6d31 3334 3039 223e 3c74 6162  ="idm13409"><tab
│ │ │ +00087680: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00087690: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +000876a0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +000876b0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +000876c0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +000876d0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +000876e0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +000876f0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +00087700: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00087710: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +00087720: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +00087730: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +00087740: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +00087750: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +00087760: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00087770: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ +00087780: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ +00087790: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ +000877a0: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ +000877b0: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ +000877c0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +000877d0: 4143 2d37 2861 290a 2020 2d20 4e49 5354  AC-7(a).  - NIST
│ │ │ +000877e0: 2d38 3030 2d35 332d 4155 2d31 3228 3229  -800-53-AU-12(2)
│ │ │ +000877f0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00087800: 2d41 552d 3134 0a20 202d 204e 4953 542d  -AU-14.  - NIST-
│ │ │ +00087810: 3830 302d 3533 2d41 552d 3228 6129 0a20  800-53-AU-2(a). 
│ │ │ +00087820: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +00087830: 552d 3728 3129 0a20 202d 204e 4953 542d  U-7(1).  - NIST-
│ │ │ +00087840: 3830 302d 3533 2d41 552d 3728 3229 0a20  800-53-AU-7(2). 
│ │ │ +00087850: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +00087860: 4d2d 3628 6129 0a20 202d 2050 4349 2d44  M-6(a).  - PCI-D
│ │ │ +00087870: 5353 2d52 6571 2d31 302e 310a 2020 2d20  SS-Req-10.1.  - 
│ │ │ +00087880: 5043 492d 4453 5376 342d 3130 2e32 0a20  PCI-DSSv4-10.2. 
│ │ │ +00087890: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ +000878a0: 322e 310a 2020 2d20 656e 6162 6c65 5f73  2.1.  - enable_s
│ │ │ +000878b0: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +000878c0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +000878d0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +000878e0: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ +000878f0: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +00087900: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ +00087910: 6765 5f61 7564 6974 5f69 6e73 7461 6c6c  ge_audit_install
│ │ │ +00087920: 6564 0a0a 2d20 6e61 6d65 3a20 456e 7375  ed..- name: Ensu
│ │ │ +00087930: 7265 2061 7564 6974 6420 6973 2069 6e73  re auditd is ins
│ │ │ +00087940: 7461 6c6c 6564 0a20 2070 6163 6b61 6765  talled.  package
│ │ │ +00087950: 3a0a 2020 2020 6e61 6d65 3a20 6175 6469  :.    name: audi
│ │ │ +00087960: 7464 0a20 2020 2073 7461 7465 3a20 7072  td.    state: pr
│ │ │ +00087970: 6573 656e 740a 2020 7768 656e 3a20 2722  esent.  when: '"
│ │ │ +00087980: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ +00087990: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ +000879a0: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ +000879b0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +000879c0: 432d 3728 6129 0a20 202d 204e 4953 542d  C-7(a).  - NIST-
│ │ │ +000879d0: 3830 302d 3533 2d41 552d 3132 2832 290a  800-53-AU-12(2).
│ │ │ +000879e0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +000879f0: 4155 2d31 340a 2020 2d20 4e49 5354 2d38  AU-14.  - NIST-8
│ │ │ +00087a00: 3030 2d35 332d 4155 2d32 2861 290a 2020  00-53-AU-2(a).  
│ │ │ +00087a10: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +00087a20: 2d37 2831 290a 2020 2d20 4e49 5354 2d38  -7(1).  - NIST-8
│ │ │ +00087a30: 3030 2d35 332d 4155 2d37 2832 290a 2020  00-53-AU-7(2).  
│ │ │ +00087a40: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +00087a50: 2d36 2861 290a 2020 2d20 5043 492d 4453  -6(a).  - PCI-DS
│ │ │ +00087a60: 532d 5265 712d 3130 2e31 0a20 202d 2050  S-Req-10.1.  - P
│ │ │ +00087a70: 4349 2d44 5353 7634 2d31 302e 320a 2020  CI-DSSv4-10.2.  
│ │ │ +00087a80: 2d20 5043 492d 4453 5376 342d 3130 2e32  - PCI-DSSv4-10.2
│ │ │ +00087a90: 2e31 0a20 202d 2065 6e61 626c 655f 7374  .1.  - enable_st
│ │ │ +00087aa0: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +00087ab0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +00087ac0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +00087ad0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +00087ae0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +00087af0: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +00087b00: 655f 6175 6469 745f 696e 7374 616c 6c65  e_audit_installe
│ │ │ +00087b10: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +00087b20: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +00087b30: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +00087b40: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +00087b50: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +00087b60: 6574 3d22 2369 646d 3133 3431 3022 2074  et="#idm13410" t
│ │ │ +00087b70: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +00087b80: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +00087b90: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +00087ba0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +00087bb0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +00087bc0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +00087bd0: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ +00087be0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00087bf0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00087c00: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00087c10: 6964 3d22 6964 6d31 3334 3130 223e 3c74  id="idm13410"><t
│ │ │ +00087c20: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +00087c30: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00087c40: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +00087c50: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00087c60: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00087c70: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00087c80: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00087c90: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +00087ca0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00087cb0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +00087cc0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +00087cd0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00087ce0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00087cf0: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +00087d00: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +00087d10: 3c63 6f64 653e 696e 636c 7564 6520 696e  <code>include in
│ │ │ +00087d20: 7374 616c 6c5f 6175 6469 7464 0a0a 636c  stall_auditd..cl
│ │ │ +00087d30: 6173 7320 696e 7374 616c 6c5f 6175 6469  ass install_audi
│ │ │ +00087d40: 7464 207b 0a20 2070 6163 6b61 6765 207b  td {.  package {
│ │ │ +00087d50: 2027 6175 6469 7464 273a 0a20 2020 2065   'auditd':.    e
│ │ │ +00087d60: 6e73 7572 6520 3d26 6774 3b20 2769 6e73  nsure =&gt; 'ins
│ │ │ +00087d70: 7461 6c6c 6564 272c 0a20 207d 0a7d 0a3c  talled',.  }.}.<
│ │ │ +00087d80: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +00087d90: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +00087da0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +00087db0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +00087dc0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +00087dd0: 2223 6964 6d31 3334 3131 2220 7461 6269  "#idm13411" tabi
│ │ │ +00087de0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00087df0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00087e00: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00087e10: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00087e20: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00087e30: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ +00087e40: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ +00087e50: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00087e60: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00087e70: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00087e80: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ +00087e90: 3334 3131 223e 3c70 7265 3e3c 636f 6465  3411"><pre><code
│ │ │ +00087ea0: 3e0a 5b5b 7061 636b 6167 6573 5d5d 0a6e  >.[[packages]].n
│ │ │ +00087eb0: 616d 6520 3d20 2261 7564 6974 6422 0a76  ame = "auditd".v
│ │ │ +00087ec0: 6572 7369 6f6e 203d 2022 2a22 0a3c 2f63  ersion = "*".</c
│ │ │  00087ed0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │  00087ee0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │  00087ef0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │  00087f00: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │  00087f10: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  00087f20: 6964 6d31 3334 3132 2220 7461 6269 6e64  idm13412" tabind
│ │ │  00087f30: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ @@ -35260,190 +35260,190 @@
│ │ │  00089bb0: 7267 6574 3d22 2369 646d 3133 3631 3022  rget="#idm13610"
│ │ │  00089bc0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  00089bd0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  00089be0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  00089bf0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  00089c00: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  00089c10: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00089c20: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ -00089c30: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ -00089c40: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00089c50: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00089c60: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00089c70: 2269 646d 3133 3631 3022 3e3c 7072 653e  "idm13610"><pre>
│ │ │ -00089c80: 3c63 6f64 653e 0a5b 6375 7374 6f6d 697a  <code>.[customiz
│ │ │ -00089c90: 6174 696f 6e73 2e73 6572 7669 6365 735d  ations.services]
│ │ │ -00089ca0: 0a65 6e61 626c 6564 203d 205b 2261 7564  .enabled = ["aud
│ │ │ -00089cb0: 6974 6422 5d0a 3c2f 636f 6465 3e3c 2f70  itd"].</code></p
│ │ │ -00089cc0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -00089cd0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00089ce0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00089cf0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -00089d00: 7461 7267 6574 3d22 2369 646d 3133 3631  target="#idm1361
│ │ │ -00089d10: 3122 2074 6162 696e 6465 783d 2230 2220  1" tabindex="0" 
│ │ │ -00089d20: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00089d30: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00089d40: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00089d50: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00089d60: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00089d70: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -00089d80: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00089d90: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00089da0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00089db0: 7365 2220 6964 3d22 6964 6d31 3336 3131  se" id="idm13611
│ │ │ -00089dc0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00089dd0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00089de0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00089df0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00089e00: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00089e10: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00089e20: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00089e30: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00089e40: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00089e50: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00089e60: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00089e70: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00089e80: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00089e90: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00089ea0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00089eb0: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -00089ec0: 6520 656e 6162 6c65 5f61 7564 6974 640a  e enable_auditd.
│ │ │ -00089ed0: 0a63 6c61 7373 2065 6e61 626c 655f 6175  .class enable_au
│ │ │ -00089ee0: 6469 7464 207b 0a20 2073 6572 7669 6365  ditd {.  service
│ │ │ -00089ef0: 207b 2761 7564 6974 6427 3a0a 2020 2020   {'auditd':.    
│ │ │ -00089f00: 656e 6162 6c65 203d 2667 743b 2074 7275  enable =&gt; tru
│ │ │ -00089f10: 652c 0a20 2020 2065 6e73 7572 6520 3d26  e,.    ensure =&
│ │ │ -00089f20: 6774 3b20 2772 756e 6e69 6e67 272c 0a20  gt; 'running',. 
│ │ │ -00089f30: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -00089f40: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -00089f50: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -00089f60: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -00089f70: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -00089f80: 6172 6765 743d 2223 6964 6d31 3336 3132  arget="#idm13612
│ │ │ -00089f90: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00089fa0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00089fb0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -00089fc0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -00089fd0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -00089fe0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00089ff0: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -0008a000: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -0008a010: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -0008a020: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -0008a030: 7365 2220 6964 3d22 6964 6d31 3336 3132  se" id="idm13612
│ │ │ -0008a040: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -0008a050: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -0008a060: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -0008a070: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -0008a080: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -0008a090: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -0008a0a0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0008a0b0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -0008a0c0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0008a0d0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -0008a0e0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -0008a0f0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -0008a100: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -0008a110: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -0008a120: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -0008a130: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -0008a140: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ -0008a150: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ -0008a160: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ -0008a170: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ -0008a180: 7461 6773 3a0a 2020 2d20 434a 4953 2d35  tags:.  - CJIS-5
│ │ │ -0008a190: 2e34 2e31 2e31 0a20 202d 204e 4953 542d  .4.1.1.  - NIST-
│ │ │ -0008a1a0: 3830 302d 3137 312d 332e 332e 310a 2020  800-171-3.3.1.  
│ │ │ -0008a1b0: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33  - NIST-800-171-3
│ │ │ -0008a1c0: 2e33 2e32 0a20 202d 204e 4953 542d 3830  .3.2.  - NIST-80
│ │ │ -0008a1d0: 302d 3137 312d 332e 332e 360a 2020 2d20  0-171-3.3.6.  - 
│ │ │ -0008a1e0: 4e49 5354 2d38 3030 2d35 332d 4143 2d32  NIST-800-53-AC-2
│ │ │ -0008a1f0: 2867 290a 2020 2d20 4e49 5354 2d38 3030  (g).  - NIST-800
│ │ │ -0008a200: 2d35 332d 4143 2d36 2839 290a 2020 2d20  -53-AC-6(9).  - 
│ │ │ -0008a210: 4e49 5354 2d38 3030 2d35 332d 4155 2d31  NIST-800-53-AU-1
│ │ │ -0008a220: 300a 2020 2d20 4e49 5354 2d38 3030 2d35  0.  - NIST-800-5
│ │ │ -0008a230: 332d 4155 2d31 3228 6329 0a20 202d 204e  3-AU-12(c).  - N
│ │ │ -0008a240: 4953 542d 3830 302d 3533 2d41 552d 3134  IST-800-53-AU-14
│ │ │ -0008a250: 2831 290a 2020 2d20 4e49 5354 2d38 3030  (1).  - NIST-800
│ │ │ -0008a260: 2d35 332d 4155 2d32 2864 290a 2020 2d20  -53-AU-2(d).  - 
│ │ │ -0008a270: 4e49 5354 2d38 3030 2d35 332d 4155 2d33  NIST-800-53-AU-3
│ │ │ -0008a280: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -0008a290: 2d43 4d2d 3628 6129 0a20 202d 204e 4953  -CM-6(a).  - NIS
│ │ │ -0008a2a0: 542d 3830 302d 3533 2d53 492d 3428 3233  T-800-53-SI-4(23
│ │ │ -0008a2b0: 290a 2020 2d20 5043 492d 4453 532d 5265  ).  - PCI-DSS-Re
│ │ │ -0008a2c0: 712d 3130 2e31 0a20 202d 2050 4349 2d44  q-10.1.  - PCI-D
│ │ │ -0008a2d0: 5353 7634 2d31 302e 320a 2020 2d20 5043  SSv4-10.2.  - PC
│ │ │ -0008a2e0: 492d 4453 5376 342d 3130 2e32 2e31 0a20  I-DSSv4-10.2.1. 
│ │ │ -0008a2f0: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ -0008a300: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -0008a310: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -0008a320: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ -0008a330: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ -0008a340: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -0008a350: 640a 2020 2d20 7365 7276 6963 655f 6175  d.  - service_au
│ │ │ -0008a360: 6469 7464 5f65 6e61 626c 6564 0a0a 2d20  ditd_enabled..- 
│ │ │ -0008a370: 6e61 6d65 3a20 456e 6162 6c65 2061 7564  name: Enable aud
│ │ │ -0008a380: 6974 6420 5365 7276 6963 6520 2d20 456e  itd Service - En
│ │ │ -0008a390: 6162 6c65 2073 6572 7669 6365 2061 7564  able service aud
│ │ │ -0008a3a0: 6974 640a 2020 626c 6f63 6b3a 0a0a 2020  itd.  block:..  
│ │ │ -0008a3b0: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ -0008a3c0: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ -0008a3d0: 0a20 2020 2070 6163 6b61 6765 5f66 6163  .    package_fac
│ │ │ -0008a3e0: 7473 3a0a 2020 2020 2020 6d61 6e61 6765  ts:.      manage
│ │ │ -0008a3f0: 723a 2061 7574 6f0a 0a20 202d 206e 616d  r: auto..  - nam
│ │ │ -0008a400: 653a 2045 6e61 626c 6520 6175 6469 7464  e: Enable auditd
│ │ │ -0008a410: 2053 6572 7669 6365 202d 2045 6e61 626c   Service - Enabl
│ │ │ -0008a420: 6520 5365 7276 6963 6520 6175 6469 7464  e Service auditd
│ │ │ -0008a430: 0a20 2020 2061 6e73 6962 6c65 2e62 7569  .    ansible.bui
│ │ │ -0008a440: 6c74 696e 2e73 7973 7465 6d64 3a0a 2020  ltin.systemd:.  
│ │ │ -0008a450: 2020 2020 6e61 6d65 3a20 6175 6469 7464      name: auditd
│ │ │ -0008a460: 0a20 2020 2020 2065 6e61 626c 6564 3a20  .      enabled: 
│ │ │ -0008a470: 7472 7565 0a20 2020 2020 2073 7461 7465  true.      state
│ │ │ -0008a480: 3a20 7374 6172 7465 640a 2020 2020 2020  : started.      
│ │ │ -0008a490: 6d61 736b 6564 3a20 6661 6c73 650a 2020  masked: false.  
│ │ │ -0008a4a0: 2020 7768 656e 3a0a 2020 2020 2d20 2722    when:.    - '"
│ │ │ -0008a4b0: 6175 6469 7464 2220 696e 2061 6e73 6962  auditd" in ansib
│ │ │ -0008a4c0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ -0008a4d0: 7327 0a20 2077 6865 6e3a 0a20 202d 2027  s'.  when:.  - '
│ │ │ -0008a4e0: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ -0008a4f0: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ -0008a500: 636b 6167 6573 270a 2020 2d20 2722 6175  ckages'.  - '"au
│ │ │ -0008a510: 6469 7464 2220 696e 2061 6e73 6962 6c65  ditd" in ansible
│ │ │ -0008a520: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ -0008a530: 0a20 2074 6167 733a 0a20 202d 2043 4a49  .  tags:.  - CJI
│ │ │ -0008a540: 532d 352e 342e 312e 310a 2020 2d20 4e49  S-5.4.1.1.  - NI
│ │ │ -0008a550: 5354 2d38 3030 2d31 3731 2d33 2e33 2e31  ST-800-171-3.3.1
│ │ │ -0008a560: 0a20 202d 204e 4953 542d 3830 302d 3137  .  - NIST-800-17
│ │ │ -0008a570: 312d 332e 332e 320a 2020 2d20 4e49 5354  1-3.3.2.  - NIST
│ │ │ -0008a580: 2d38 3030 2d31 3731 2d33 2e33 2e36 0a20  -800-171-3.3.6. 
│ │ │ -0008a590: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -0008a5a0: 432d 3228 6729 0a20 202d 204e 4953 542d  C-2(g).  - NIST-
│ │ │ -0008a5b0: 3830 302d 3533 2d41 432d 3628 3929 0a20  800-53-AC-6(9). 
│ │ │ -0008a5c0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -0008a5d0: 552d 3130 0a20 202d 204e 4953 542d 3830  U-10.  - NIST-80
│ │ │ -0008a5e0: 302d 3533 2d41 552d 3132 2863 290a 2020  0-53-AU-12(c).  
│ │ │ -0008a5f0: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ -0008a600: 2d31 3428 3129 0a20 202d 204e 4953 542d  -14(1).  - NIST-
│ │ │ -0008a610: 3830 302d 3533 2d41 552d 3228 6429 0a20  800-53-AU-2(d). 
│ │ │ -0008a620: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -0008a630: 552d 330a 2020 2d20 4e49 5354 2d38 3030  U-3.  - NIST-800
│ │ │ -0008a640: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ -0008a650: 4e49 5354 2d38 3030 2d35 332d 5349 2d34  NIST-800-53-SI-4
│ │ │ -0008a660: 2832 3329 0a20 202d 2050 4349 2d44 5353  (23).  - PCI-DSS
│ │ │ -0008a670: 2d52 6571 2d31 302e 310a 2020 2d20 5043  -Req-10.1.  - PC
│ │ │ -0008a680: 492d 4453 5376 342d 3130 2e32 0a20 202d  I-DSSv4-10.2.  -
│ │ │ -0008a690: 2050 4349 2d44 5353 7634 2d31 302e 322e   PCI-DSSv4-10.2.
│ │ │ -0008a6a0: 310a 2020 2d20 656e 6162 6c65 5f73 7472  1.  - enable_str
│ │ │ -0008a6b0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -0008a6c0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -0008a6d0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -0008a6e0: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -0008a6f0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -0008a700: 6564 6564 0a20 202d 2073 6572 7669 6365  eded.  - service
│ │ │ -0008a710: 5f61 7564 6974 645f 656e 6162 6c65 640a  _auditd_enabled.
│ │ │ +00089c20: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +00089c30: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00089c40: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00089c50: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00089c60: 6522 2069 643d 2269 646d 3133 3631 3022  e" id="idm13610"
│ │ │ +00089c70: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00089c80: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00089c90: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00089ca0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00089cb0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00089cc0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00089cd0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00089ce0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00089cf0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00089d00: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00089d10: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00089d20: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00089d30: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00089d40: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +00089d50: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00089d60: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +00089d70: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ +00089d80: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ +00089d90: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ +00089da0: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ +00089db0: 6167 733a 0a20 202d 2043 4a49 532d 352e  ags:.  - CJIS-5.
│ │ │ +00089dc0: 342e 312e 310a 2020 2d20 4e49 5354 2d38  4.1.1.  - NIST-8
│ │ │ +00089dd0: 3030 2d31 3731 2d33 2e33 2e31 0a20 202d  00-171-3.3.1.  -
│ │ │ +00089de0: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ +00089df0: 332e 320a 2020 2d20 4e49 5354 2d38 3030  3.2.  - NIST-800
│ │ │ +00089e00: 2d31 3731 2d33 2e33 2e36 0a20 202d 204e  -171-3.3.6.  - N
│ │ │ +00089e10: 4953 542d 3830 302d 3533 2d41 432d 3228  IST-800-53-AC-2(
│ │ │ +00089e20: 6729 0a20 202d 204e 4953 542d 3830 302d  g).  - NIST-800-
│ │ │ +00089e30: 3533 2d41 432d 3628 3929 0a20 202d 204e  53-AC-6(9).  - N
│ │ │ +00089e40: 4953 542d 3830 302d 3533 2d41 552d 3130  IST-800-53-AU-10
│ │ │ +00089e50: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00089e60: 2d41 552d 3132 2863 290a 2020 2d20 4e49  -AU-12(c).  - NI
│ │ │ +00089e70: 5354 2d38 3030 2d35 332d 4155 2d31 3428  ST-800-53-AU-14(
│ │ │ +00089e80: 3129 0a20 202d 204e 4953 542d 3830 302d  1).  - NIST-800-
│ │ │ +00089e90: 3533 2d41 552d 3228 6429 0a20 202d 204e  53-AU-2(d).  - N
│ │ │ +00089ea0: 4953 542d 3830 302d 3533 2d41 552d 330a  IST-800-53-AU-3.
│ │ │ +00089eb0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00089ec0: 434d 2d36 2861 290a 2020 2d20 4e49 5354  CM-6(a).  - NIST
│ │ │ +00089ed0: 2d38 3030 2d35 332d 5349 2d34 2832 3329  -800-53-SI-4(23)
│ │ │ +00089ee0: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ +00089ef0: 2d31 302e 310a 2020 2d20 5043 492d 4453  -10.1.  - PCI-DS
│ │ │ +00089f00: 5376 342d 3130 2e32 0a20 202d 2050 4349  Sv4-10.2.  - PCI
│ │ │ +00089f10: 2d44 5353 7634 2d31 302e 322e 310a 2020  -DSSv4-10.2.1.  
│ │ │ +00089f20: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +00089f30: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00089f40: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00089f50: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +00089f60: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +00089f70: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +00089f80: 0a20 202d 2073 6572 7669 6365 5f61 7564  .  - service_aud
│ │ │ +00089f90: 6974 645f 656e 6162 6c65 640a 0a2d 206e  itd_enabled..- n
│ │ │ +00089fa0: 616d 653a 2045 6e61 626c 6520 6175 6469  ame: Enable audi
│ │ │ +00089fb0: 7464 2053 6572 7669 6365 202d 2045 6e61  td Service - Ena
│ │ │ +00089fc0: 626c 6520 7365 7276 6963 6520 6175 6469  ble service audi
│ │ │ +00089fd0: 7464 0a20 2062 6c6f 636b 3a0a 0a20 202d  td.  block:..  -
│ │ │ +00089fe0: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ +00089ff0: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ +0008a000: 2020 2020 7061 636b 6167 655f 6661 6374      package_fact
│ │ │ +0008a010: 733a 0a20 2020 2020 206d 616e 6167 6572  s:.      manager
│ │ │ +0008a020: 3a20 6175 746f 0a0a 2020 2d20 6e61 6d65  : auto..  - name
│ │ │ +0008a030: 3a20 456e 6162 6c65 2061 7564 6974 6420  : Enable auditd 
│ │ │ +0008a040: 5365 7276 6963 6520 2d20 456e 6162 6c65  Service - Enable
│ │ │ +0008a050: 2053 6572 7669 6365 2061 7564 6974 640a   Service auditd.
│ │ │ +0008a060: 2020 2020 616e 7369 626c 652e 6275 696c      ansible.buil
│ │ │ +0008a070: 7469 6e2e 7379 7374 656d 643a 0a20 2020  tin.systemd:.   
│ │ │ +0008a080: 2020 206e 616d 653a 2061 7564 6974 640a     name: auditd.
│ │ │ +0008a090: 2020 2020 2020 656e 6162 6c65 643a 2074        enabled: t
│ │ │ +0008a0a0: 7275 650a 2020 2020 2020 7374 6174 653a  rue.      state:
│ │ │ +0008a0b0: 2073 7461 7274 6564 0a20 2020 2020 206d   started.      m
│ │ │ +0008a0c0: 6173 6b65 643a 2066 616c 7365 0a20 2020  asked: false.   
│ │ │ +0008a0d0: 2077 6865 6e3a 0a20 2020 202d 2027 2261   when:.    - '"a
│ │ │ +0008a0e0: 7564 6974 6422 2069 6e20 616e 7369 626c  uditd" in ansibl
│ │ │ +0008a0f0: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ +0008a100: 270a 2020 7768 656e 3a0a 2020 2d20 2722  '.  when:.  - '"
│ │ │ +0008a110: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ +0008a120: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ +0008a130: 6b61 6765 7327 0a20 202d 2027 2261 7564  kages'.  - '"aud
│ │ │ +0008a140: 6974 6422 2069 6e20 616e 7369 626c 655f  itd" in ansible_
│ │ │ +0008a150: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +0008a160: 2020 7461 6773 3a0a 2020 2d20 434a 4953    tags:.  - CJIS
│ │ │ +0008a170: 2d35 2e34 2e31 2e31 0a20 202d 204e 4953  -5.4.1.1.  - NIS
│ │ │ +0008a180: 542d 3830 302d 3137 312d 332e 332e 310a  T-800-171-3.3.1.
│ │ │ +0008a190: 2020 2d20 4e49 5354 2d38 3030 2d31 3731    - NIST-800-171
│ │ │ +0008a1a0: 2d33 2e33 2e32 0a20 202d 204e 4953 542d  -3.3.2.  - NIST-
│ │ │ +0008a1b0: 3830 302d 3137 312d 332e 332e 360a 2020  800-171-3.3.6.  
│ │ │ +0008a1c0: 2d20 4e49 5354 2d38 3030 2d35 332d 4143  - NIST-800-53-AC
│ │ │ +0008a1d0: 2d32 2867 290a 2020 2d20 4e49 5354 2d38  -2(g).  - NIST-8
│ │ │ +0008a1e0: 3030 2d35 332d 4143 2d36 2839 290a 2020  00-53-AC-6(9).  
│ │ │ +0008a1f0: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +0008a200: 2d31 300a 2020 2d20 4e49 5354 2d38 3030  -10.  - NIST-800
│ │ │ +0008a210: 2d35 332d 4155 2d31 3228 6329 0a20 202d  -53-AU-12(c).  -
│ │ │ +0008a220: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +0008a230: 3134 2831 290a 2020 2d20 4e49 5354 2d38  14(1).  - NIST-8
│ │ │ +0008a240: 3030 2d35 332d 4155 2d32 2864 290a 2020  00-53-AU-2(d).  
│ │ │ +0008a250: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +0008a260: 2d33 0a20 202d 204e 4953 542d 3830 302d  -3.  - NIST-800-
│ │ │ +0008a270: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ +0008a280: 4953 542d 3830 302d 3533 2d53 492d 3428  IST-800-53-SI-4(
│ │ │ +0008a290: 3233 290a 2020 2d20 5043 492d 4453 532d  23).  - PCI-DSS-
│ │ │ +0008a2a0: 5265 712d 3130 2e31 0a20 202d 2050 4349  Req-10.1.  - PCI
│ │ │ +0008a2b0: 2d44 5353 7634 2d31 302e 320a 2020 2d20  -DSSv4-10.2.  - 
│ │ │ +0008a2c0: 5043 492d 4453 5376 342d 3130 2e32 2e31  PCI-DSSv4-10.2.1
│ │ │ +0008a2d0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +0008a2e0: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +0008a2f0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +0008a300: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +0008a310: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +0008a320: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +0008a330: 6465 640a 2020 2d20 7365 7276 6963 655f  ded.  - service_
│ │ │ +0008a340: 6175 6469 7464 5f65 6e61 626c 6564 0a3c  auditd_enabled.<
│ │ │ +0008a350: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +0008a360: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +0008a370: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +0008a380: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +0008a390: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +0008a3a0: 2223 6964 6d31 3336 3131 2220 7461 6269  "#idm13611" tabi
│ │ │ +0008a3b0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +0008a3c0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +0008a3d0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +0008a3e0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +0008a3f0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +0008a400: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +0008a410: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +0008a420: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +0008a430: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +0008a440: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +0008a450: 2269 646d 3133 3631 3122 3e3c 7461 626c  "idm13611"><tabl
│ │ │ +0008a460: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +0008a470: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +0008a480: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +0008a490: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +0008a4a0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +0008a4b0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0008a4c0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +0008a4d0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +0008a4e0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0008a4f0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +0008a500: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +0008a510: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +0008a520: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +0008a530: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ +0008a540: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +0008a550: 6465 3e69 6e63 6c75 6465 2065 6e61 626c  de>include enabl
│ │ │ +0008a560: 655f 6175 6469 7464 0a0a 636c 6173 7320  e_auditd..class 
│ │ │ +0008a570: 656e 6162 6c65 5f61 7564 6974 6420 7b0a  enable_auditd {.
│ │ │ +0008a580: 2020 7365 7276 6963 6520 7b27 6175 6469    service {'audi
│ │ │ +0008a590: 7464 273a 0a20 2020 2065 6e61 626c 6520  td':.    enable 
│ │ │ +0008a5a0: 3d26 6774 3b20 7472 7565 2c0a 2020 2020  =&gt; true,.    
│ │ │ +0008a5b0: 656e 7375 7265 203d 2667 743b 2027 7275  ensure =&gt; 'ru
│ │ │ +0008a5c0: 6e6e 696e 6727 2c0a 2020 7d0a 7d0a 3c2f  nning',.  }.}.</
│ │ │ +0008a5d0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +0008a5e0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +0008a5f0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +0008a600: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +0008a610: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +0008a620: 2369 646d 3133 3631 3222 2074 6162 696e  #idm13612" tabin
│ │ │ +0008a630: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +0008a640: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +0008a650: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +0008a660: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +0008a670: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +0008a680: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ +0008a690: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ +0008a6a0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +0008a6b0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +0008a6c0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +0008a6d0: 6c61 7073 6522 2069 643d 2269 646d 3133  lapse" id="idm13
│ │ │ +0008a6e0: 3631 3222 3e3c 7072 653e 3c63 6f64 653e  612"><pre><code>
│ │ │ +0008a6f0: 0a5b 6375 7374 6f6d 697a 6174 696f 6e73  .[customizations
│ │ │ +0008a700: 2e73 6572 7669 6365 735d 0a65 6e61 626c  .services].enabl
│ │ │ +0008a710: 6564 203d 205b 2261 7564 6974 6422 5d0a  ed = ["auditd"].
│ │ │  0008a720: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  0008a730: 6976 3e3c 2f64 6976 3e3c 2f74 643e 3c2f  iv></div></td></
│ │ │  0008a740: 7472 3e3c 2f74 626f 6479 3e3c 2f74 6162  tr></tbody></tab
│ │ │  0008a750: 6c65 3e3c 2f74 643e 3c2f 7472 3e3c 2f74  le></td></tr></t
│ │ │  0008a760: 626f 6479 3e3c 2f74 6162 6c65 3e3c 2f64  body></table></d
│ │ │  0008a770: 6976 3e3c 6469 7620 6964 3d22 7265 6172  iv><div id="rear
│ │ │  0008a780: 2d6d 6174 7465 7222 3e3c 6469 7620 636c  -matter"><div cl
│ │ │ ├── html2text {}
│ │ │ │ @@ -1631,31 +1631,14 @@
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000479-GPOS-00224, SRG-OS-000051-GPOS-00024,
│ │ │ │                             SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1678,14 +1661,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsyslog_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -1716,31 +1716,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1776,14 +1759,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]
│ │ │ │  Group   File Permissions and Masks   Group contains 5 groups and 17 rules
│ │ │ │  _[_r_e_f_]   Traditional Unix security relies heavily on file and directory
│ │ │ │  permissions to prevent unauthorized users from reading or modifying files to
│ │ │ │  which they should not have access.
│ │ │ │  
│ │ │ │  Several of the commands in this section search filesystems for files or
│ │ │ │  directories with certain characteristics, and are intended to be run on every
│ │ │ │ @@ -3561,31 +3561,14 @@
│ │ │ │                             SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3,
│ │ │ │                             A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _p_c_i_d_s_s_4        2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "cron"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_cron
│ │ │ │ -
│ │ │ │ -class install_cron {
│ │ │ │ -  package { 'cron':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -3612,14 +3595,31 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_cron_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_cron
│ │ │ │ +
│ │ │ │ +class install_cron {
│ │ │ │ +  package { 'cron':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "cron"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -3655,31 +3655,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 1.3, SR 1.4, SR 1.5, SR 1.6, SR 1.7, SR 1.8, SR
│ │ │ │                             1.9, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR 2.5, SR 2.6,
│ │ │ │                             SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3,
│ │ │ │                             A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["cron"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_cron
│ │ │ │ -
│ │ │ │ -class enable_cron {
│ │ │ │ -  service {'cron':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -3713,14 +3696,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_cron_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_cron
│ │ │ │ +
│ │ │ │ +class enable_cron {
│ │ │ │ +  service {'cron':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["cron"]
│ │ │ │  Group   Deprecated services   Group contains 5 rules
│ │ │ │  _[_r_e_f_]   Some deprecated software services impact the overall system security
│ │ │ │  due to their behavior (leak of confidentiality in network exchange, usage as
│ │ │ │  uncontrolled communication channel, risk associated with the service due to its
│ │ │ │  old age, etc.
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee iinneett--bbaasseedd tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The inet-based telnet daemon should be uninstalled.
│ │ │ │ @@ -3744,26 +3744,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_inetutils-telnetd
│ │ │ │ -
│ │ │ │ -class remove_inetutils-telnetd {
│ │ │ │ -  package { 'inetutils-telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure inetutils-telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -3775,14 +3763,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_inetutils-telnetd_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_inetutils-telnetd
│ │ │ │ +
│ │ │ │ +class remove_inetutils-telnetd {
│ │ │ │ +  package { 'inetutils-telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove inetutils-telnetd
│ │ │ │ @@ -3795,26 +3795,14 @@
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The support for Yellowpages should not be installed unless it is required.
│ │ │ │             NIS is the historical SUN service for central account management,
│ │ │ │  Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │             security constraints, ACL, etc. and should not be used.
│ │ │ │  Severity:  low
│ │ │ │  Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_nis
│ │ │ │ -
│ │ │ │ -class remove_nis {
│ │ │ │ -  package { 'nis':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure nis is removed
│ │ │ │    package:
│ │ │ │ @@ -3823,14 +3811,26 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_nis_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_nis
│ │ │ │ +
│ │ │ │ +class remove_nis {
│ │ │ │ +  package { 'nis':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove nis
│ │ │ │ @@ -3844,26 +3844,14 @@
│ │ │ │  ntpdate is a historical ntp synchronization client for unixes. It sould be
│ │ │ │  uninstalled.
│ │ │ │             ntpdate is an old not security-compliant ntp client. It should be
│ │ │ │  Rationale: replaced by modern ntp clients such as ntpd, able to use
│ │ │ │             cryptographic mechanisms integrated in NTP.
│ │ │ │  Severity:  low
│ │ │ │  Rule ID:   xccdf_org.ssgproject.content_rule_package_ntpdate_removed
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ntpdate
│ │ │ │ -
│ │ │ │ -class remove_ntpdate {
│ │ │ │ -  package { 'ntpdate':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ntpdate is removed
│ │ │ │    package:
│ │ │ │ @@ -3872,14 +3860,26 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ntpdate_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ntpdate
│ │ │ │ +
│ │ │ │ +class remove_ntpdate {
│ │ │ │ +  package { 'ntpdate':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove ntpdate
│ │ │ │ @@ -3910,26 +3910,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd-ssl
│ │ │ │ -
│ │ │ │ -class remove_telnetd-ssl {
│ │ │ │ -  package { 'telnetd-ssl':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd-ssl is removed
│ │ │ │    package:
│ │ │ │ @@ -3941,14 +3929,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd-ssl_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd-ssl
│ │ │ │ +
│ │ │ │ +class remove_telnetd-ssl {
│ │ │ │ +  package { 'telnetd-ssl':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnetd-ssl
│ │ │ │ @@ -3980,26 +3980,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd
│ │ │ │ -
│ │ │ │ -class remove_telnetd {
│ │ │ │ -  package { 'telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -4011,14 +3999,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd
│ │ │ │ +
│ │ │ │ +class remove_telnetd {
│ │ │ │ +  package { 'telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnetd
│ │ │ │ @@ -4093,31 +4093,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "ntp"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_ntp
│ │ │ │ -
│ │ │ │ -class install_ntp {
│ │ │ │ -  package { 'ntp':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4142,14 +4125,31 @@
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ntp_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_ntp
│ │ │ │ +
│ │ │ │ +class install_ntp {
│ │ │ │ +  package { 'ntp':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "ntp"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -4183,31 +4183,14 @@
│ │ │ │                             4.4.2.4
│ │ │ │  References: _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-8(1)(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │              _p_c_i_d_s_s_4        10.6.1, 10.6
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["ntp"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_ntp
│ │ │ │ -
│ │ │ │ -class enable_ntp {
│ │ │ │ -  service {'ntp':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4251,14 +4234,31 @@
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ntp_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_ntp
│ │ │ │ +
│ │ │ │ +class enable_ntp {
│ │ │ │ +  service {'ntp':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["ntp"]
│ │ │ │  Group   SSH Server   Group contains 1 group and 5 rules
│ │ │ │  _[_r_e_f_]   The SSH protocol is recommended for remote login and remote file
│ │ │ │  transfer. SSH provides confidentiality and integrity for data exchanged between
│ │ │ │  two systems, as well as server authentication, through the use of public key
│ │ │ │  cryptography. The implementation included with the system is called OpenSSH,
│ │ │ │  and more detailed documentation is available from its website, _h_t_t_p_s_:_/_/
│ │ │ │  _w_w_w_._o_p_e_n_s_s_h_._c_o_m. Its server program is called sshd and provided by the RPM
│ │ │ │ @@ -5141,31 +5141,14 @@
│ │ │ │                       000349-GPOS-00137, SRG-OS-000350-GPOS-00138, SRG-OS-
│ │ │ │                       000351-GPOS-00139, SRG-OS-000352-GPOS-00140, SRG-OS-
│ │ │ │                       000353-GPOS-00141, SRG-OS-000354-GPOS-00142, SRG-OS-
│ │ │ │                       000358-GPOS-00145, SRG-OS-000365-GPOS-00152, SRG-OS-
│ │ │ │                       000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │              _a_n_s_s_i    R33, R73
│ │ │ │              _p_c_i_d_s_s_4  10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "auditd"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_auditd
│ │ │ │ -
│ │ │ │ -class install_auditd {
│ │ │ │ -  package { 'auditd':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -5206,14 +5189,31 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_audit_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_auditd
│ │ │ │ +
│ │ │ │ +class install_auditd {
│ │ │ │ +  package { 'auditd':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "auditd"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -5289,31 +5289,14 @@
│ │ │ │                             SRG-OS-000358-GPOS-00145, SRG-OS-000365-GPOS-00152,
│ │ │ │                             SRG-OS-000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │                             SRG-APP-000095-CTR-000170, SRG-APP-000409-CTR-
│ │ │ │              _a_p_p_-_s_r_g_-_c_t_r    000990, SRG-APP-000508-CTR-001300, SRG-APP-000510-
│ │ │ │                             CTR-001310
│ │ │ │              _a_n_s_s_i          R33, R73
│ │ │ │              _p_c_i_d_s_s_4        10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["auditd"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_auditd
│ │ │ │ -
│ │ │ │ -class enable_auditd {
│ │ │ │ -  service {'auditd':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -5379,11 +5362,28 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_auditd_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_auditd
│ │ │ │ +
│ │ │ │ +class enable_auditd {
│ │ │ │ +  service {'auditd':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["auditd"]
│ │ │ │  Red Hat and Red Hat Enterprise Linux are either registered trademarks or
│ │ │ │  trademarks of Red Hat, Inc. in the United States and other countries. All other
│ │ │ │  names are registered trademarks or trademarks of their respective companies.
│ │ │ │  Generated using _O_p_e_n_S_C_A_P 1.4.1
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian12-guide-anssi_bp28_enhanced.html
│ │ │ @@ -15037,134 +15037,134 @@
│ │ │  0003abc0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  0003abd0: 3d22 2369 646d 3236 3833 2220 7461 6269  ="#idm2683" tabi
│ │ │  0003abe0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │  0003abf0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │  0003ac00: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │  0003ac10: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │  0003ac20: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -0003ac30: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ -0003ac40: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ -0003ac50: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -0003ac60: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -0003ac70: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -0003ac80: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -0003ac90: 3638 3322 3e3c 7072 653e 3c63 6f64 653e  683"><pre><code>
│ │ │ -0003aca0: 0a5b 5b70 6163 6b61 6765 735d 5d0a 6e61  .[[packages]].na
│ │ │ -0003acb0: 6d65 203d 2022 6169 6465 220a 7665 7273  me = "aide".vers
│ │ │ -0003acc0: 696f 6e20 3d20 222a 220a 3c2f 636f 6465  ion = "*".</code
│ │ │ -0003acd0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -0003ace0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -0003acf0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -0003ad00: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -0003ad10: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -0003ad20: 3236 3834 2220 7461 6269 6e64 6578 3d22  2684" tabindex="
│ │ │ -0003ad30: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -0003ad40: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -0003ad50: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -0003ad60: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -0003ad70: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -0003ad80: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ -0003ad90: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -0003ada0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -0003adb0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -0003adc0: 6c61 7073 6522 2069 643d 2269 646d 3236  lapse" id="idm26
│ │ │ -0003add0: 3834 223e 3c74 6162 6c65 2063 6c61 7373  84"><table class
│ │ │ -0003ade0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -0003adf0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -0003ae00: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -0003ae10: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -0003ae20: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -0003ae30: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -0003ae40: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -0003ae50: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -0003ae60: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0003ae70: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -0003ae80: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -0003ae90: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -0003aea0: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ -0003aeb0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -0003aec0: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ -0003aed0: 7564 6520 696e 7374 616c 6c5f 6169 6465  ude install_aide
│ │ │ -0003aee0: 0a0a 636c 6173 7320 696e 7374 616c 6c5f  ..class install_
│ │ │ -0003aef0: 6169 6465 207b 0a20 2070 6163 6b61 6765  aide {.  package
│ │ │ -0003af00: 207b 2027 6169 6465 273a 0a20 2020 2065   { 'aide':.    e
│ │ │ -0003af10: 6e73 7572 6520 3d26 6774 3b20 2769 6e73  nsure =&gt; 'ins
│ │ │ -0003af20: 7461 6c6c 6564 272c 0a20 207d 0a7d 0a3c  talled',.  }.}.<
│ │ │ -0003af30: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -0003af40: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -0003af50: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -0003af60: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -0003af70: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -0003af80: 2223 6964 6d32 3638 3522 2074 6162 696e  "#idm2685" tabin
│ │ │ -0003af90: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -0003afa0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -0003afb0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -0003afc0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -0003afd0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -0003afe0: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -0003aff0: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -0003b000: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -0003b010: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -0003b020: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -0003b030: 2269 646d 3236 3835 223e 3c74 6162 6c65  "idm2685"><table
│ │ │ -0003b040: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -0003b050: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -0003b060: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -0003b070: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -0003b080: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -0003b090: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0003b0a0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -0003b0b0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -0003b0c0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0003b0d0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -0003b0e0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -0003b0f0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -0003b100: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ -0003b110: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ -0003b120: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -0003b130: 653e 2d20 6e61 6d65 3a20 4761 7468 6572  e>- name: Gather
│ │ │ -0003b140: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ -0003b150: 7473 0a20 2070 6163 6b61 6765 5f66 6163  ts.  package_fac
│ │ │ -0003b160: 7473 3a0a 2020 2020 6d61 6e61 6765 723a  ts:.    manager:
│ │ │ -0003b170: 2061 7574 6f0a 2020 7461 6773 3a0a 2020   auto.  tags:.  
│ │ │ -0003b180: 2d20 434a 4953 2d35 2e31 302e 312e 330a  - CJIS-5.10.1.3.
│ │ │ -0003b190: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0003b1a0: 434d 2d36 2861 290a 2020 2d20 5043 492d  CM-6(a).  - PCI-
│ │ │ -0003b1b0: 4453 532d 5265 712d 3131 2e35 0a20 202d  DSS-Req-11.5.  -
│ │ │ -0003b1c0: 2050 4349 2d44 5353 7634 2d31 312e 352e   PCI-DSSv4-11.5.
│ │ │ -0003b1d0: 320a 2020 2d20 656e 6162 6c65 5f73 7472  2.  - enable_str
│ │ │ -0003b1e0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -0003b1f0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -0003b200: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -0003b210: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -0003b220: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -0003b230: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -0003b240: 5f61 6964 655f 696e 7374 616c 6c65 640a  _aide_installed.
│ │ │ -0003b250: 0a2d 206e 616d 653a 2045 6e73 7572 6520  .- name: Ensure 
│ │ │ -0003b260: 6169 6465 2069 7320 696e 7374 616c 6c65  aide is installe
│ │ │ -0003b270: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ -0003b280: 206e 616d 653a 2061 6964 650a 2020 2020   name: aide.    
│ │ │ -0003b290: 7374 6174 653a 2070 7265 7365 6e74 0a20  state: present. 
│ │ │ -0003b2a0: 2077 6865 6e3a 2027 226c 696e 7578 2d62   when: '"linux-b
│ │ │ -0003b2b0: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ -0003b2c0: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ -0003b2d0: 2020 7461 6773 3a0a 2020 2d20 434a 4953    tags:.  - CJIS
│ │ │ -0003b2e0: 2d35 2e31 302e 312e 330a 2020 2d20 4e49  -5.10.1.3.  - NI
│ │ │ -0003b2f0: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -0003b300: 290a 2020 2d20 5043 492d 4453 532d 5265  ).  - PCI-DSS-Re
│ │ │ -0003b310: 712d 3131 2e35 0a20 202d 2050 4349 2d44  q-11.5.  - PCI-D
│ │ │ -0003b320: 5353 7634 2d31 312e 352e 320a 2020 2d20  SSv4-11.5.2.  - 
│ │ │ -0003b330: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ -0003b340: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -0003b350: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -0003b360: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ -0003b370: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ -0003b380: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -0003b390: 202d 2070 6163 6b61 6765 5f61 6964 655f   - package_aide_
│ │ │ -0003b3a0: 696e 7374 616c 6c65 640a 3c2f 636f 6465  installed.</code
│ │ │ +0003ac30: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ +0003ac40: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ +0003ac50: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +0003ac60: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +0003ac70: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +0003ac80: 3d22 6964 6d32 3638 3322 3e3c 7461 626c  ="idm2683"><tabl
│ │ │ +0003ac90: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +0003aca0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +0003acb0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +0003acc0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +0003acd0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +0003ace0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0003acf0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +0003ad00: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +0003ad10: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0003ad20: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +0003ad30: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +0003ad40: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +0003ad50: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +0003ad60: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ +0003ad70: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +0003ad80: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ +0003ad90: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ +0003ada0: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ +0003adb0: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ +0003adc0: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ +0003add0: 202d 2043 4a49 532d 352e 3130 2e31 2e33   - CJIS-5.10.1.3
│ │ │ +0003ade0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0003adf0: 2d43 4d2d 3628 6129 0a20 202d 2050 4349  -CM-6(a).  - PCI
│ │ │ +0003ae00: 2d44 5353 2d52 6571 2d31 312e 350a 2020  -DSS-Req-11.5.  
│ │ │ +0003ae10: 2d20 5043 492d 4453 5376 342d 3131 2e35  - PCI-DSSv4-11.5
│ │ │ +0003ae20: 2e32 0a20 202d 2065 6e61 626c 655f 7374  .2.  - enable_st
│ │ │ +0003ae30: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +0003ae40: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +0003ae50: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +0003ae60: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +0003ae70: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +0003ae80: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +0003ae90: 655f 6169 6465 5f69 6e73 7461 6c6c 6564  e_aide_installed
│ │ │ +0003aea0: 0a0a 2d20 6e61 6d65 3a20 456e 7375 7265  ..- name: Ensure
│ │ │ +0003aeb0: 2061 6964 6520 6973 2069 6e73 7461 6c6c   aide is install
│ │ │ +0003aec0: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +0003aed0: 2020 6e61 6d65 3a20 6169 6465 0a20 2020    name: aide.   
│ │ │ +0003aee0: 2073 7461 7465 3a20 7072 6573 656e 740a   state: present.
│ │ │ +0003aef0: 2020 7768 656e 3a20 2722 6c69 6e75 782d    when: '"linux-
│ │ │ +0003af00: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ +0003af10: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ +0003af20: 0a20 2074 6167 733a 0a20 202d 2043 4a49  .  tags:.  - CJI
│ │ │ +0003af30: 532d 352e 3130 2e31 2e33 0a20 202d 204e  S-5.10.1.3.  - N
│ │ │ +0003af40: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +0003af50: 6129 0a20 202d 2050 4349 2d44 5353 2d52  a).  - PCI-DSS-R
│ │ │ +0003af60: 6571 2d31 312e 350a 2020 2d20 5043 492d  eq-11.5.  - PCI-
│ │ │ +0003af70: 4453 5376 342d 3131 2e35 2e32 0a20 202d  DSSv4-11.5.2.  -
│ │ │ +0003af80: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ +0003af90: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +0003afa0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +0003afb0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ +0003afc0: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ +0003afd0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +0003afe0: 2020 2d20 7061 636b 6167 655f 6169 6465    - package_aide
│ │ │ +0003aff0: 5f69 6e73 7461 6c6c 6564 0a3c 2f63 6f64  _installed.</cod
│ │ │ +0003b000: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +0003b010: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +0003b020: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +0003b030: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +0003b040: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +0003b050: 6d32 3638 3422 2074 6162 696e 6465 783d  m2684" tabindex=
│ │ │ +0003b060: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +0003b070: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +0003b080: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +0003b090: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +0003b0a0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +0003b0b0: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ +0003b0c0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +0003b0d0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +0003b0e0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +0003b0f0: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ +0003b100: 3638 3422 3e3c 7461 626c 6520 636c 6173  684"><table clas
│ │ │ +0003b110: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +0003b120: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +0003b130: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +0003b140: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +0003b150: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +0003b160: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0003b170: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +0003b180: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +0003b190: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0003b1a0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +0003b1b0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +0003b1c0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +0003b1d0: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +0003b1e0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0003b1f0: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +0003b200: 6c75 6465 2069 6e73 7461 6c6c 5f61 6964  lude install_aid
│ │ │ +0003b210: 650a 0a63 6c61 7373 2069 6e73 7461 6c6c  e..class install
│ │ │ +0003b220: 5f61 6964 6520 7b0a 2020 7061 636b 6167  _aide {.  packag
│ │ │ +0003b230: 6520 7b20 2761 6964 6527 3a0a 2020 2020  e { 'aide':.    
│ │ │ +0003b240: 656e 7375 7265 203d 2667 743b 2027 696e  ensure =&gt; 'in
│ │ │ +0003b250: 7374 616c 6c65 6427 2c0a 2020 7d0a 7d0a  stalled',.  }.}.
│ │ │ +0003b260: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +0003b270: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +0003b280: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +0003b290: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +0003b2a0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +0003b2b0: 3d22 2369 646d 3236 3835 2220 7461 6269  ="#idm2685" tabi
│ │ │ +0003b2c0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +0003b2d0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +0003b2e0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +0003b2f0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +0003b300: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +0003b310: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ +0003b320: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ +0003b330: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +0003b340: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +0003b350: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +0003b360: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ +0003b370: 3638 3522 3e3c 7072 653e 3c63 6f64 653e  685"><pre><code>
│ │ │ +0003b380: 0a5b 5b70 6163 6b61 6765 735d 5d0a 6e61  .[[packages]].na
│ │ │ +0003b390: 6d65 203d 2022 6169 6465 220a 7665 7273  me = "aide".vers
│ │ │ +0003b3a0: 696f 6e20 3d20 222a 220a 3c2f 636f 6465  ion = "*".</code
│ │ │  0003b3b0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │  0003b3c0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │  0003b3d0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │  0003b3e0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │  0003b3f0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  0003b400: 3236 3836 2220 7461 6269 6e64 6578 3d22  2686" tabindex="
│ │ │  0003b410: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ @@ -17799,131 +17799,131 @@
│ │ │  00045860: 6172 6765 743d 2223 6964 6d33 3734 3922  arget="#idm3749"
│ │ │  00045870: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  00045880: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  00045890: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  000458a0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  000458b0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  000458c0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -000458d0: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ -000458e0: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ -000458f0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00045900: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00045910: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00045920: 2269 646d 3337 3439 223e 3c70 7265 3e3c  "idm3749"><pre><
│ │ │ -00045930: 636f 6465 3e0a 5b5b 7061 636b 6167 6573  code>.[[packages
│ │ │ -00045940: 5d5d 0a6e 616d 6520 3d20 2273 7564 6f22  ]].name = "sudo"
│ │ │ -00045950: 0a76 6572 7369 6f6e 203d 2022 2a22 0a3c  .version = "*".<
│ │ │ -00045960: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -00045970: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -00045980: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -00045990: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -000459a0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -000459b0: 2223 6964 6d33 3735 3022 2074 6162 696e  "#idm3750" tabin
│ │ │ -000459c0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -000459d0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -000459e0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -000459f0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00045a00: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00045a10: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ -00045a20: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ -00045a30: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00045a40: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00045a50: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00045a60: 6964 6d33 3735 3022 3e3c 7461 626c 6520  idm3750"><table 
│ │ │ -00045a70: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -00045a80: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -00045a90: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -00045aa0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -00045ab0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -00045ac0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00045ad0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -00045ae0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -00045af0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00045b00: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -00045b10: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -00045b20: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -00045b30: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -00045b40: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00045b50: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00045b60: 3e69 6e63 6c75 6465 2069 6e73 7461 6c6c  >include install
│ │ │ -00045b70: 5f73 7564 6f0a 0a63 6c61 7373 2069 6e73  _sudo..class ins
│ │ │ -00045b80: 7461 6c6c 5f73 7564 6f20 7b0a 2020 7061  tall_sudo {.  pa
│ │ │ -00045b90: 636b 6167 6520 7b20 2773 7564 6f27 3a0a  ckage { 'sudo':.
│ │ │ -00045ba0: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ -00045bb0: 2027 696e 7374 616c 6c65 6427 2c0a 2020   'installed',.  
│ │ │ -00045bc0: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -00045bd0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -00045be0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -00045bf0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -00045c00: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -00045c10: 7267 6574 3d22 2369 646d 3337 3531 2220  rget="#idm3751" 
│ │ │ -00045c20: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -00045c30: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -00045c40: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -00045c50: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -00045c60: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -00045c70: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00045c80: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -00045c90: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -00045ca0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00045cb0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00045cc0: 2220 6964 3d22 6964 6d33 3735 3122 3e3c  " id="idm3751"><
│ │ │ -00045cd0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00045ce0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -00045cf0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -00045d00: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00045d10: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -00045d20: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -00045d30: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00045d40: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -00045d50: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00045d60: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -00045d70: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -00045d80: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00045d90: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -00045da0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -00045db0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -00045dc0: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ -00045dd0: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ -00045de0: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ -00045df0: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ -00045e00: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ -00045e10: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -00045e20: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ -00045e30: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ -00045e40: 2050 4349 2d44 5353 7634 2d32 2e32 2e36   PCI-DSSv4-2.2.6
│ │ │ -00045e50: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ -00045e60: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -00045e70: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -00045e80: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ -00045e90: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ -00045ea0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -00045eb0: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ -00045ec0: 7375 646f 5f69 6e73 7461 6c6c 6564 0a0a  sudo_installed..
│ │ │ -00045ed0: 2d20 6e61 6d65 3a20 456e 7375 7265 2073  - name: Ensure s
│ │ │ -00045ee0: 7564 6f20 6973 2069 6e73 7461 6c6c 6564  udo is installed
│ │ │ -00045ef0: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ -00045f00: 6e61 6d65 3a20 7375 646f 0a20 2020 2073  name: sudo.    s
│ │ │ -00045f10: 7461 7465 3a20 7072 6573 656e 740a 2020  tate: present.  
│ │ │ -00045f20: 7768 656e 3a20 2722 6c69 6e75 782d 6261  when: '"linux-ba
│ │ │ -00045f30: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ -00045f40: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -00045f50: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -00045f60: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -00045f70: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ -00045f80: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -00045f90: 2e32 2e36 0a20 202d 2065 6e61 626c 655f  .2.6.  - enable_
│ │ │ -00045fa0: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -00045fb0: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -00045fc0: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -00045fd0: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ -00045fe0: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -00045ff0: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -00046000: 6167 655f 7375 646f 5f69 6e73 7461 6c6c  age_sudo_install
│ │ │ -00046010: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +000458d0: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +000458e0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +000458f0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00045900: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00045910: 6522 2069 643d 2269 646d 3337 3439 223e  e" id="idm3749">
│ │ │ +00045920: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00045930: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00045940: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00045950: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00045960: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00045970: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00045980: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00045990: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +000459a0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +000459b0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +000459c0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +000459d0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +000459e0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +000459f0: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +00045a00: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00045a10: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +00045a20: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ +00045a30: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ +00045a40: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ +00045a50: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ +00045a60: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +00045a70: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +00045a80: 5043 492d 4453 5376 342d 322e 320a 2020  PCI-DSSv4-2.2.  
│ │ │ +00045a90: 2d20 5043 492d 4453 5376 342d 322e 322e  - PCI-DSSv4-2.2.
│ │ │ +00045aa0: 360a 2020 2d20 656e 6162 6c65 5f73 7472  6.  - enable_str
│ │ │ +00045ab0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +00045ac0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +00045ad0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +00045ae0: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +00045af0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +00045b00: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +00045b10: 5f73 7564 6f5f 696e 7374 616c 6c65 640a  _sudo_installed.
│ │ │ +00045b20: 0a2d 206e 616d 653a 2045 6e73 7572 6520  .- name: Ensure 
│ │ │ +00045b30: 7375 646f 2069 7320 696e 7374 616c 6c65  sudo is installe
│ │ │ +00045b40: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ +00045b50: 206e 616d 653a 2073 7564 6f0a 2020 2020   name: sudo.    
│ │ │ +00045b60: 7374 6174 653a 2070 7265 7365 6e74 0a20  state: present. 
│ │ │ +00045b70: 2077 6865 6e3a 2027 226c 696e 7578 2d62   when: '"linux-b
│ │ │ +00045b80: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ +00045b90: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +00045ba0: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +00045bb0: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +00045bc0: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ +00045bd0: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ +00045be0: 322e 322e 360a 2020 2d20 656e 6162 6c65  2.2.6.  - enable
│ │ │ +00045bf0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +00045c00: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +00045c10: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +00045c20: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ +00045c30: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ +00045c40: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ +00045c50: 6b61 6765 5f73 7564 6f5f 696e 7374 616c  kage_sudo_instal
│ │ │ +00045c60: 6c65 640a 3c2f 636f 6465 3e3c 2f70 7265  led.</code></pre
│ │ │ +00045c70: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +00045c80: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +00045c90: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +00045ca0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +00045cb0: 7267 6574 3d22 2369 646d 3337 3530 2220  rget="#idm3750" 
│ │ │ +00045cc0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +00045cd0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +00045ce0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +00045cf0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +00045d00: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +00045d10: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +00045d20: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ +00045d30: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00045d40: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00045d50: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00045d60: 2069 643d 2269 646d 3337 3530 223e 3c74   id="idm3750"><t
│ │ │ +00045d70: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +00045d80: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00045d90: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +00045da0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00045db0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00045dc0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00045dd0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00045de0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +00045df0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00045e00: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +00045e10: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +00045e20: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00045e30: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00045e40: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +00045e50: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +00045e60: 3c63 6f64 653e 696e 636c 7564 6520 696e  <code>include in
│ │ │ +00045e70: 7374 616c 6c5f 7375 646f 0a0a 636c 6173  stall_sudo..clas
│ │ │ +00045e80: 7320 696e 7374 616c 6c5f 7375 646f 207b  s install_sudo {
│ │ │ +00045e90: 0a20 2070 6163 6b61 6765 207b 2027 7375  .  package { 'su
│ │ │ +00045ea0: 646f 273a 0a20 2020 2065 6e73 7572 6520  do':.    ensure 
│ │ │ +00045eb0: 3d26 6774 3b20 2769 6e73 7461 6c6c 6564  =&gt; 'installed
│ │ │ +00045ec0: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ +00045ed0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +00045ee0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +00045ef0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +00045f00: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +00045f10: 7461 2d74 6172 6765 743d 2223 6964 6d33  ta-target="#idm3
│ │ │ +00045f20: 3735 3122 2074 6162 696e 6465 783d 2230  751" tabindex="0
│ │ │ +00045f30: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +00045f40: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +00045f50: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +00045f60: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +00045f70: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +00045f80: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ +00045f90: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ +00045fa0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00045fb0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00045fc0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00045fd0: 2069 643d 2269 646d 3337 3531 223e 3c70   id="idm3751"><p
│ │ │ +00045fe0: 7265 3e3c 636f 6465 3e0a 5b5b 7061 636b  re><code>.[[pack
│ │ │ +00045ff0: 6167 6573 5d5d 0a6e 616d 6520 3d20 2273  ages]].name = "s
│ │ │ +00046000: 7564 6f22 0a76 6572 7369 6f6e 203d 2022  udo".version = "
│ │ │ +00046010: 2a22 0a3c 2f63 6f64 653e 3c2f 7072 653e  *".</code></pre>
│ │ │  00046020: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │  00046030: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │  00046040: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │  00046050: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │  00046060: 6765 743d 2223 6964 6d33 3735 3222 2074  get="#idm3752" t
│ │ │  00046070: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  00046080: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ @@ -30425,129 +30425,129 @@
│ │ │  00076d80: 6172 6765 743d 2223 6964 6d34 3337 3022  arget="#idm4370"
│ │ │  00076d90: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  00076da0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  00076db0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  00076dc0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  00076dd0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  00076de0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00076df0: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ -00076e00: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ -00076e10: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00076e20: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00076e30: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00076e40: 2269 646d 3433 3730 223e 3c70 7265 3e3c  "idm4370"><pre><
│ │ │ -00076e50: 636f 6465 3e0a 5b5b 7061 636b 6167 6573  code>.[[packages
│ │ │ -00076e60: 5d5d 0a6e 616d 6520 3d20 226c 6962 7061  ]].name = "libpa
│ │ │ -00076e70: 6d2d 7077 7175 616c 6974 7922 0a76 6572  m-pwquality".ver
│ │ │ -00076e80: 7369 6f6e 203d 2022 2a22 0a3c 2f63 6f64  sion = "*".</cod
│ │ │ -00076e90: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -00076ea0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -00076eb0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -00076ec0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -00076ed0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -00076ee0: 6d34 3337 3122 2074 6162 696e 6465 783d  m4371" tabindex=
│ │ │ -00076ef0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -00076f00: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -00076f10: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00076f20: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00076f30: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00076f40: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ -00076f50: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00076f60: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00076f70: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00076f80: 6c6c 6170 7365 2220 6964 3d22 6964 6d34  llapse" id="idm4
│ │ │ -00076f90: 3337 3122 3e3c 7461 626c 6520 636c 6173  371"><table clas
│ │ │ -00076fa0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -00076fb0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -00076fc0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -00076fd0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00076fe0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00076ff0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00077000: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00077010: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00077020: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00077030: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -00077040: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -00077050: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -00077060: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ -00077070: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -00077080: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ -00077090: 6c75 6465 2069 6e73 7461 6c6c 5f6c 6962  lude install_lib
│ │ │ -000770a0: 7061 6d2d 7077 7175 616c 6974 790a 0a63  pam-pwquality..c
│ │ │ -000770b0: 6c61 7373 2069 6e73 7461 6c6c 5f6c 6962  lass install_lib
│ │ │ -000770c0: 7061 6d2d 7077 7175 616c 6974 7920 7b0a  pam-pwquality {.
│ │ │ -000770d0: 2020 7061 636b 6167 6520 7b20 276c 6962    package { 'lib
│ │ │ -000770e0: 7061 6d2d 7077 7175 616c 6974 7927 3a0a  pam-pwquality':.
│ │ │ -000770f0: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ -00077100: 2027 696e 7374 616c 6c65 6427 2c0a 2020   'installed',.  
│ │ │ -00077110: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -00077120: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -00077130: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -00077140: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -00077150: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -00077160: 7267 6574 3d22 2369 646d 3433 3732 2220  rget="#idm4372" 
│ │ │ -00077170: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -00077180: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -00077190: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -000771a0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -000771b0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -000771c0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -000771d0: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -000771e0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -000771f0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00077200: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00077210: 2220 6964 3d22 6964 6d34 3337 3222 3e3c  " id="idm4372"><
│ │ │ -00077220: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00077230: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -00077240: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -00077250: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00077260: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -00077270: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -00077280: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00077290: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -000772a0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -000772b0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -000772c0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -000772d0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -000772e0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -000772f0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -00077300: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -00077310: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ -00077320: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ -00077330: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ -00077340: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ -00077350: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ -00077360: 733a 0a20 202d 2065 6e61 626c 655f 7374  s:.  - enable_st
│ │ │ -00077370: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -00077380: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -00077390: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -000773a0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -000773b0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -000773c0: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ -000773d0: 655f 7061 6d5f 7077 7175 616c 6974 795f  e_pam_pwquality_
│ │ │ -000773e0: 696e 7374 616c 6c65 640a 0a2d 206e 616d  installed..- nam
│ │ │ -000773f0: 653a 2045 6e73 7572 6520 6c69 6270 616d  e: Ensure libpam
│ │ │ -00077400: 2d70 7771 7561 6c69 7479 2069 7320 696e  -pwquality is in
│ │ │ -00077410: 7374 616c 6c65 640a 2020 7061 636b 6167  stalled.  packag
│ │ │ -00077420: 653a 0a20 2020 206e 616d 653a 206c 6962  e:.    name: lib
│ │ │ -00077430: 7061 6d2d 7077 7175 616c 6974 790a 2020  pam-pwquality.  
│ │ │ -00077440: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ -00077450: 0a20 2077 6865 6e3a 2027 226c 6962 7061  .  when: '"libpa
│ │ │ -00077460: 6d2d 7275 6e74 696d 6522 2069 6e20 616e  m-runtime" in an
│ │ │ -00077470: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ -00077480: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ -00077490: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -000774a0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -000774b0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -000774c0: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -000774d0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -000774e0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -000774f0: 0a20 202d 2070 6163 6b61 6765 5f70 616d  .  - package_pam
│ │ │ -00077500: 5f70 7771 7561 6c69 7479 5f69 6e73 7461  _pwquality_insta
│ │ │ -00077510: 6c6c 6564 0a3c 2f63 6f64 653e 3c2f 7072  lled.</code></pr
│ │ │ +00076df0: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +00076e00: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00076e10: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00076e20: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00076e30: 6522 2069 643d 2269 646d 3433 3730 223e  e" id="idm4370">
│ │ │ +00076e40: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00076e50: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00076e60: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00076e70: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00076e80: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00076e90: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00076ea0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00076eb0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00076ec0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00076ed0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00076ee0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00076ef0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00076f00: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00076f10: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +00076f20: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00076f30: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +00076f40: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ +00076f50: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ +00076f60: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ +00076f70: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ +00076f80: 6773 3a0a 2020 2d20 656e 6162 6c65 5f73  gs:.  - enable_s
│ │ │ +00076f90: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +00076fa0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +00076fb0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +00076fc0: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ +00076fd0: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +00076fe0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ +00076ff0: 6765 5f70 616d 5f70 7771 7561 6c69 7479  ge_pam_pwquality
│ │ │ +00077000: 5f69 6e73 7461 6c6c 6564 0a0a 2d20 6e61  _installed..- na
│ │ │ +00077010: 6d65 3a20 456e 7375 7265 206c 6962 7061  me: Ensure libpa
│ │ │ +00077020: 6d2d 7077 7175 616c 6974 7920 6973 2069  m-pwquality is i
│ │ │ +00077030: 6e73 7461 6c6c 6564 0a20 2070 6163 6b61  nstalled.  packa
│ │ │ +00077040: 6765 3a0a 2020 2020 6e61 6d65 3a20 6c69  ge:.    name: li
│ │ │ +00077050: 6270 616d 2d70 7771 7561 6c69 7479 0a20  bpam-pwquality. 
│ │ │ +00077060: 2020 2073 7461 7465 3a20 7072 6573 656e     state: presen
│ │ │ +00077070: 740a 2020 7768 656e 3a20 2722 6c69 6270  t.  when: '"libp
│ │ │ +00077080: 616d 2d72 756e 7469 6d65 2220 696e 2061  am-runtime" in a
│ │ │ +00077090: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ +000770a0: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ +000770b0: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ +000770c0: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ +000770d0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +000770e0: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ +000770f0: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ +00077100: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +00077110: 640a 2020 2d20 7061 636b 6167 655f 7061  d.  - package_pa
│ │ │ +00077120: 6d5f 7077 7175 616c 6974 795f 696e 7374  m_pwquality_inst
│ │ │ +00077130: 616c 6c65 640a 3c2f 636f 6465 3e3c 2f70  alled.</code></p
│ │ │ +00077140: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +00077150: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +00077160: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +00077170: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +00077180: 7461 7267 6574 3d22 2369 646d 3433 3731  target="#idm4371
│ │ │ +00077190: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +000771a0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +000771b0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +000771c0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +000771d0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +000771e0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +000771f0: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +00077200: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00077210: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00077220: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00077230: 6522 2069 643d 2269 646d 3433 3731 223e  e" id="idm4371">
│ │ │ +00077240: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00077250: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00077260: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00077270: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00077280: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00077290: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +000772a0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +000772b0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +000772c0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +000772d0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +000772e0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +000772f0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00077300: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00077310: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +00077320: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00077330: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +00077340: 696e 7374 616c 6c5f 6c69 6270 616d 2d70  install_libpam-p
│ │ │ +00077350: 7771 7561 6c69 7479 0a0a 636c 6173 7320  wquality..class 
│ │ │ +00077360: 696e 7374 616c 6c5f 6c69 6270 616d 2d70  install_libpam-p
│ │ │ +00077370: 7771 7561 6c69 7479 207b 0a20 2070 6163  wquality {.  pac
│ │ │ +00077380: 6b61 6765 207b 2027 6c69 6270 616d 2d70  kage { 'libpam-p
│ │ │ +00077390: 7771 7561 6c69 7479 273a 0a20 2020 2065  wquality':.    e
│ │ │ +000773a0: 6e73 7572 6520 3d26 6774 3b20 2769 6e73  nsure =&gt; 'ins
│ │ │ +000773b0: 7461 6c6c 6564 272c 0a20 207d 0a7d 0a3c  talled',.  }.}.<
│ │ │ +000773c0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +000773d0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +000773e0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +000773f0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +00077400: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +00077410: 2223 6964 6d34 3337 3222 2074 6162 696e  "#idm4372" tabin
│ │ │ +00077420: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00077430: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00077440: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00077450: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00077460: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00077470: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ +00077480: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ +00077490: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +000774a0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +000774b0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +000774c0: 6c61 7073 6522 2069 643d 2269 646d 3433  lapse" id="idm43
│ │ │ +000774d0: 3732 223e 3c70 7265 3e3c 636f 6465 3e0a  72"><pre><code>.
│ │ │ +000774e0: 5b5b 7061 636b 6167 6573 5d5d 0a6e 616d  [[packages]].nam
│ │ │ +000774f0: 6520 3d20 226c 6962 7061 6d2d 7077 7175  e = "libpam-pwqu
│ │ │ +00077500: 616c 6974 7922 0a76 6572 7369 6f6e 203d  ality".version =
│ │ │ +00077510: 2022 2a22 0a3c 2f63 6f64 653e 3c2f 7072   "*".</code></pr
│ │ │  00077520: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │  00077530: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │  00077540: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │  00077550: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │  00077560: 6172 6765 743d 2223 6964 6d34 3337 3322  arget="#idm4373"
│ │ │  00077570: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  00077580: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ @@ -37140,115 +37140,115 @@
│ │ │  00091130: 7461 2d74 6172 6765 743d 2223 6964 6d37  ta-target="#idm7
│ │ │  00091140: 3638 3222 2074 6162 696e 6465 783d 2230  682" tabindex="0
│ │ │  00091150: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  00091160: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  00091170: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  00091180: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  00091190: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -000911a0: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ -000911b0: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ -000911c0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -000911d0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -000911e0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -000911f0: 2069 643d 2269 646d 3736 3832 223e 3c70   id="idm7682"><p
│ │ │ -00091200: 7265 3e3c 636f 6465 3e0a 5b5b 7061 636b  re><code>.[[pack
│ │ │ -00091210: 6167 6573 5d5d 0a6e 616d 6520 3d20 2261  ages]].name = "a
│ │ │ -00091220: 7070 6172 6d6f 7222 0a76 6572 7369 6f6e  pparmor".version
│ │ │ -00091230: 203d 2022 2a22 0a3c 2f63 6f64 653e 3c2f   = "*".</code></
│ │ │ -00091240: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -00091250: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -00091260: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -00091270: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -00091280: 2d74 6172 6765 743d 2223 6964 6d37 3638  -target="#idm768
│ │ │ -00091290: 3322 2074 6162 696e 6465 783d 2230 2220  3" tabindex="0" 
│ │ │ -000912a0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -000912b0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -000912c0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -000912d0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -000912e0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -000912f0: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -00091300: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00091310: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00091320: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00091330: 7365 2220 6964 3d22 6964 6d37 3638 3322  se" id="idm7683"
│ │ │ -00091340: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00091350: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00091360: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00091370: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00091380: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00091390: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -000913a0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -000913b0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -000913c0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -000913d0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -000913e0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -000913f0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -00091400: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00091410: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -00091420: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00091430: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ -00091440: 2069 6e73 7461 6c6c 5f61 7070 6172 6d6f   install_apparmo
│ │ │ -00091450: 720a 0a63 6c61 7373 2069 6e73 7461 6c6c  r..class install
│ │ │ -00091460: 5f61 7070 6172 6d6f 7220 7b0a 2020 7061  _apparmor {.  pa
│ │ │ -00091470: 636b 6167 6520 7b20 2761 7070 6172 6d6f  ckage { 'apparmo
│ │ │ -00091480: 7227 3a0a 2020 2020 656e 7375 7265 203d  r':.    ensure =
│ │ │ -00091490: 2667 743b 2027 696e 7374 616c 6c65 6427  &gt; 'installed'
│ │ │ -000914a0: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │ -000914b0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -000914c0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -000914d0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -000914e0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -000914f0: 612d 7461 7267 6574 3d22 2369 646d 3736  a-target="#idm76
│ │ │ -00091500: 3834 2220 7461 6269 6e64 6578 3d22 3022  84" tabindex="0"
│ │ │ -00091510: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -00091520: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -00091530: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -00091540: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -00091550: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00091560: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ -00091570: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -00091580: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -00091590: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -000915a0: 6170 7365 2220 6964 3d22 6964 6d37 3638  apse" id="idm768
│ │ │ -000915b0: 3422 3e3c 7461 626c 6520 636c 6173 733d  4"><table class=
│ │ │ -000915c0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -000915d0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -000915e0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -000915f0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -00091600: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -00091610: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00091620: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -00091630: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00091640: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00091650: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00091660: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00091670: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00091680: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ -00091690: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -000916a0: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ -000916b0: 653a 2045 6e73 7572 6520 6170 7061 726d  e: Ensure apparm
│ │ │ -000916c0: 6f72 2069 7320 696e 7374 616c 6c65 640a  or is installed.
│ │ │ -000916d0: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ -000916e0: 616d 653a 2061 7070 6172 6d6f 720a 2020  ame: apparmor.  
│ │ │ -000916f0: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ -00091700: 0a20 2077 6865 6e3a 2061 6e73 6962 6c65  .  when: ansible
│ │ │ -00091710: 5f76 6972 7475 616c 697a 6174 696f 6e5f  _virtualization_
│ │ │ -00091720: 7479 7065 206e 6f74 2069 6e20 5b22 646f  type not in ["do
│ │ │ -00091730: 636b 6572 222c 2022 6c78 6322 2c20 226f  cker", "lxc", "o
│ │ │ -00091740: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22  penvz", "podman"
│ │ │ -00091750: 2c20 2263 6f6e 7461 696e 6572 225d 0a20  , "container"]. 
│ │ │ -00091760: 2074 6167 733a 0a20 202d 2065 6e61 626c   tags:.  - enabl
│ │ │ -00091770: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -00091780: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -00091790: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -000917a0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -000917b0: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -000917c0: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -000917d0: 636b 6167 655f 6170 7061 726d 6f72 5f69  ckage_apparmor_i
│ │ │ -000917e0: 6e73 7461 6c6c 6564 0a3c 2f63 6f64 653e  nstalled.</code>
│ │ │ +000911a0: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +000911b0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +000911c0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +000911d0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +000911e0: 6c61 7073 6522 2069 643d 2269 646d 3736  lapse" id="idm76
│ │ │ +000911f0: 3832 223e 3c74 6162 6c65 2063 6c61 7373  82"><table class
│ │ │ +00091200: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00091210: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00091220: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +00091230: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00091240: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00091250: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00091260: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00091270: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00091280: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00091290: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +000912a0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +000912b0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +000912c0: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +000912d0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +000912e0: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +000912f0: 6d65 3a20 456e 7375 7265 2061 7070 6172  me: Ensure appar
│ │ │ +00091300: 6d6f 7220 6973 2069 6e73 7461 6c6c 6564  mor is installed
│ │ │ +00091310: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ +00091320: 6e61 6d65 3a20 6170 7061 726d 6f72 0a20  name: apparmor. 
│ │ │ +00091330: 2020 2073 7461 7465 3a20 7072 6573 656e     state: presen
│ │ │ +00091340: 740a 2020 7768 656e 3a20 616e 7369 626c  t.  when: ansibl
│ │ │ +00091350: 655f 7669 7274 7561 6c69 7a61 7469 6f6e  e_virtualization
│ │ │ +00091360: 5f74 7970 6520 6e6f 7420 696e 205b 2264  _type not in ["d
│ │ │ +00091370: 6f63 6b65 7222 2c20 226c 7863 222c 2022  ocker", "lxc", "
│ │ │ +00091380: 6f70 656e 767a 222c 2022 706f 646d 616e  openvz", "podman
│ │ │ +00091390: 222c 2022 636f 6e74 6169 6e65 7222 5d0a  ", "container"].
│ │ │ +000913a0: 2020 7461 6773 3a0a 2020 2d20 656e 6162    tags:.  - enab
│ │ │ +000913b0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +000913c0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +000913d0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +000913e0: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +000913f0: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +00091400: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +00091410: 6163 6b61 6765 5f61 7070 6172 6d6f 725f  ackage_apparmor_
│ │ │ +00091420: 696e 7374 616c 6c65 640a 3c2f 636f 6465  installed.</code
│ │ │ +00091430: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +00091440: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +00091450: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +00091460: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +00091470: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +00091480: 3736 3833 2220 7461 6269 6e64 6578 3d22  7683" tabindex="
│ │ │ +00091490: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +000914a0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +000914b0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +000914c0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +000914d0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +000914e0: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +000914f0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00091500: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00091510: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00091520: 6c61 7073 6522 2069 643d 2269 646d 3736  lapse" id="idm76
│ │ │ +00091530: 3833 223e 3c74 6162 6c65 2063 6c61 7373  83"><table class
│ │ │ +00091540: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00091550: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00091560: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +00091570: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00091580: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00091590: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +000915a0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +000915b0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +000915c0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +000915d0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +000915e0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +000915f0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00091600: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +00091610: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00091620: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ +00091630: 7564 6520 696e 7374 616c 6c5f 6170 7061  ude install_appa
│ │ │ +00091640: 726d 6f72 0a0a 636c 6173 7320 696e 7374  rmor..class inst
│ │ │ +00091650: 616c 6c5f 6170 7061 726d 6f72 207b 0a20  all_apparmor {. 
│ │ │ +00091660: 2070 6163 6b61 6765 207b 2027 6170 7061   package { 'appa
│ │ │ +00091670: 726d 6f72 273a 0a20 2020 2065 6e73 7572  rmor':.    ensur
│ │ │ +00091680: 6520 3d26 6774 3b20 2769 6e73 7461 6c6c  e =&gt; 'install
│ │ │ +00091690: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ +000916a0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +000916b0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +000916c0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +000916d0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +000916e0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +000916f0: 6d37 3638 3422 2074 6162 696e 6465 783d  m7684" tabindex=
│ │ │ +00091700: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00091710: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00091720: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +00091730: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +00091740: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +00091750: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ +00091760: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ +00091770: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00091780: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00091790: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +000917a0: 6522 2069 643d 2269 646d 3736 3834 223e  e" id="idm7684">
│ │ │ +000917b0: 3c70 7265 3e3c 636f 6465 3e0a 5b5b 7061  <pre><code>.[[pa
│ │ │ +000917c0: 636b 6167 6573 5d5d 0a6e 616d 6520 3d20  ckages]].name = 
│ │ │ +000917d0: 2261 7070 6172 6d6f 7222 0a76 6572 7369  "apparmor".versi
│ │ │ +000917e0: 6f6e 203d 2022 2a22 0a3c 2f63 6f64 653e  on = "*".</code>
│ │ │  000917f0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │  00091800: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │  00091810: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │  00091820: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │  00091830: 7461 2d74 6172 6765 743d 2223 6964 6d37  ta-target="#idm7
│ │ │  00091840: 3638 3522 2074 6162 696e 6465 783d 2230  685" tabindex="0
│ │ │  00091850: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ @@ -37464,129 +37464,129 @@
│ │ │  00092570: 2d74 6172 6765 743d 2223 6964 6d37 3731  -target="#idm771
│ │ │  00092580: 3722 2074 6162 696e 6465 783d 2230 2220  7" tabindex="0" 
│ │ │  00092590: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │  000925a0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │  000925b0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │  000925c0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │  000925d0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -000925e0: 7469 6f6e 204f 5342 7569 6c64 2042 6c75  tion OSBuild Blu
│ │ │ -000925f0: 6570 7269 6e74 2073 6e69 7070 6574 20e2  eprint snippet .
│ │ │ -00092600: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00092610: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00092620: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00092630: 643d 2269 646d 3737 3137 223e 3c70 7265  d="idm7717"><pre
│ │ │ -00092640: 3e3c 636f 6465 3e0a 5b5b 7061 636b 6167  ><code>.[[packag
│ │ │ -00092650: 6573 5d5d 0a6e 616d 6520 3d20 226c 6962  es]].name = "lib
│ │ │ -00092660: 7061 6d2d 6170 7061 726d 6f72 220a 7665  pam-apparmor".ve
│ │ │ -00092670: 7273 696f 6e20 3d20 222a 220a 3c2f 636f  rsion = "*".</co
│ │ │ -00092680: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -00092690: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -000926a0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -000926b0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -000926c0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -000926d0: 646d 3737 3138 2220 7461 6269 6e64 6578  dm7718" tabindex
│ │ │ -000926e0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -000926f0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00092700: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00092710: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00092720: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00092730: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -00092740: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00092750: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00092760: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00092770: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00092780: 3737 3138 223e 3c74 6162 6c65 2063 6c61  7718"><table cla
│ │ │ -00092790: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -000927a0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -000927b0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -000927c0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -000927d0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -000927e0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -000927f0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00092800: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00092810: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00092820: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00092830: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00092840: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00092850: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -00092860: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00092870: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -00092880: 636c 7564 6520 696e 7374 616c 6c5f 6c69  clude install_li
│ │ │ -00092890: 6270 616d 2d61 7070 6172 6d6f 720a 0a63  bpam-apparmor..c
│ │ │ -000928a0: 6c61 7373 2069 6e73 7461 6c6c 5f6c 6962  lass install_lib
│ │ │ -000928b0: 7061 6d2d 6170 7061 726d 6f72 207b 0a20  pam-apparmor {. 
│ │ │ -000928c0: 2070 6163 6b61 6765 207b 2027 6c69 6270   package { 'libp
│ │ │ -000928d0: 616d 2d61 7070 6172 6d6f 7227 3a0a 2020  am-apparmor':.  
│ │ │ -000928e0: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -000928f0: 696e 7374 616c 6c65 6427 2c0a 2020 7d0a  installed',.  }.
│ │ │ -00092900: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │ -00092910: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -00092920: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -00092930: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -00092940: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -00092950: 6574 3d22 2369 646d 3737 3139 2220 7461  et="#idm7719" ta
│ │ │ -00092960: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -00092970: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -00092980: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -00092990: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -000929a0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -000929b0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -000929c0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ -000929d0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -000929e0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -000929f0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00092a00: 6964 3d22 6964 6d37 3731 3922 3e3c 7461  id="idm7719"><ta
│ │ │ -00092a10: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00092a20: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00092a30: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00092a40: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00092a50: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -00092a60: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -00092a70: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00092a80: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -00092a90: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00092aa0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -00092ab0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -00092ac0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00092ad0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -00092ae0: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ -00092af0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -00092b00: 636f 6465 3e2d 206e 616d 653a 2045 6e73  code>- name: Ens
│ │ │ -00092b10: 7572 6520 6c69 6270 616d 2d61 7070 6172  ure libpam-appar
│ │ │ -00092b20: 6d6f 7220 6973 2069 6e73 7461 6c6c 6564  mor is installed
│ │ │ -00092b30: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ -00092b40: 6e61 6d65 3a20 6c69 6270 616d 2d61 7070  name: libpam-app
│ │ │ -00092b50: 6172 6d6f 720a 2020 2020 7374 6174 653a  armor.    state:
│ │ │ -00092b60: 2070 7265 7365 6e74 0a20 2077 6865 6e3a   present.  when:
│ │ │ -00092b70: 2061 6e73 6962 6c65 5f76 6972 7475 616c   ansible_virtual
│ │ │ -00092b80: 697a 6174 696f 6e5f 7479 7065 206e 6f74  ization_type not
│ │ │ -00092b90: 2069 6e20 5b22 646f 636b 6572 222c 2022   in ["docker", "
│ │ │ -00092ba0: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20  lxc", "openvz", 
│ │ │ -00092bb0: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461  "podman", "conta
│ │ │ -00092bc0: 696e 6572 225d 0a20 2074 6167 733a 0a20  iner"].  tags:. 
│ │ │ -00092bd0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -00092be0: 432d 3328 3429 0a20 202d 204e 4953 542d  C-3(4).  - NIST-
│ │ │ -00092bf0: 3830 302d 3533 2d41 432d 3628 3130 290a  800-53-AC-6(10).
│ │ │ -00092c00: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00092c10: 4143 2d36 2838 290a 2020 2d20 4e49 5354  AC-6(8).  - NIST
│ │ │ -00092c20: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -00092c30: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00092c40: 434d 2d37 2832 290a 2020 2d20 4e49 5354  CM-7(2).  - NIST
│ │ │ -00092c50: 2d38 3030 2d35 332d 434d 2d37 2835 2928  -800-53-CM-7(5)(
│ │ │ -00092c60: 6229 0a20 202d 204e 4953 542d 3830 302d  b).  - NIST-800-
│ │ │ -00092c70: 3533 2d53 432d 3728 3231 290a 2020 2d20  53-SC-7(21).  - 
│ │ │ -00092c80: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ -00092c90: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -00092ca0: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -00092cb0: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ -00092cc0: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ -00092cd0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -00092ce0: 202d 2070 6163 6b61 6765 5f70 616d 5f61   - package_pam_a
│ │ │ -00092cf0: 7070 6172 6d6f 725f 696e 7374 616c 6c65  pparmor_installe
│ │ │ -00092d00: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +000925e0: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ +000925f0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00092600: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00092610: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00092620: 7073 6522 2069 643d 2269 646d 3737 3137  pse" id="idm7717
│ │ │ +00092630: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +00092640: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +00092650: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +00092660: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +00092670: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +00092680: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +00092690: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +000926a0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +000926b0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +000926c0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +000926d0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +000926e0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +000926f0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +00092700: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +00092710: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00092720: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +00092730: 3a20 456e 7375 7265 206c 6962 7061 6d2d  : Ensure libpam-
│ │ │ +00092740: 6170 7061 726d 6f72 2069 7320 696e 7374  apparmor is inst
│ │ │ +00092750: 616c 6c65 640a 2020 7061 636b 6167 653a  alled.  package:
│ │ │ +00092760: 0a20 2020 206e 616d 653a 206c 6962 7061  .    name: libpa
│ │ │ +00092770: 6d2d 6170 7061 726d 6f72 0a20 2020 2073  m-apparmor.    s
│ │ │ +00092780: 7461 7465 3a20 7072 6573 656e 740a 2020  tate: present.  
│ │ │ +00092790: 7768 656e 3a20 616e 7369 626c 655f 7669  when: ansible_vi
│ │ │ +000927a0: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970  rtualization_typ
│ │ │ +000927b0: 6520 6e6f 7420 696e 205b 2264 6f63 6b65  e not in ["docke
│ │ │ +000927c0: 7222 2c20 226c 7863 222c 2022 6f70 656e  r", "lxc", "open
│ │ │ +000927d0: 767a 222c 2022 706f 646d 616e 222c 2022  vz", "podman", "
│ │ │ +000927e0: 636f 6e74 6169 6e65 7222 5d0a 2020 7461  container"].  ta
│ │ │ +000927f0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +00092800: 2d35 332d 4143 2d33 2834 290a 2020 2d20  -53-AC-3(4).  - 
│ │ │ +00092810: 4e49 5354 2d38 3030 2d35 332d 4143 2d36  NIST-800-53-AC-6
│ │ │ +00092820: 2831 3029 0a20 202d 204e 4953 542d 3830  (10).  - NIST-80
│ │ │ +00092830: 302d 3533 2d41 432d 3628 3829 0a20 202d  0-53-AC-6(8).  -
│ │ │ +00092840: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +00092850: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ +00092860: 302d 3533 2d43 4d2d 3728 3229 0a20 202d  0-53-CM-7(2).  -
│ │ │ +00092870: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +00092880: 3728 3529 2862 290a 2020 2d20 4e49 5354  7(5)(b).  - NIST
│ │ │ +00092890: 2d38 3030 2d35 332d 5343 2d37 2832 3129  -800-53-SC-7(21)
│ │ │ +000928a0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +000928b0: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +000928c0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +000928d0: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +000928e0: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +000928f0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +00092900: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +00092910: 7061 6d5f 6170 7061 726d 6f72 5f69 6e73  pam_apparmor_ins
│ │ │ +00092920: 7461 6c6c 6564 0a3c 2f63 6f64 653e 3c2f  talled.</code></
│ │ │ +00092930: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +00092940: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +00092950: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00092960: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00092970: 2d74 6172 6765 743d 2223 6964 6d37 3731  -target="#idm771
│ │ │ +00092980: 3822 2074 6162 696e 6465 783d 2230 2220  8" tabindex="0" 
│ │ │ +00092990: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +000929a0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +000929b0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +000929c0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +000929d0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +000929e0: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ +000929f0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00092a00: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00092a10: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00092a20: 7365 2220 6964 3d22 6964 6d37 3731 3822  se" id="idm7718"
│ │ │ +00092a30: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00092a40: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00092a50: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00092a60: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00092a70: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00092a80: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00092a90: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00092aa0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00092ab0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00092ac0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00092ad0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00092ae0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00092af0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00092b00: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +00092b10: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00092b20: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +00092b30: 2069 6e73 7461 6c6c 5f6c 6962 7061 6d2d   install_libpam-
│ │ │ +00092b40: 6170 7061 726d 6f72 0a0a 636c 6173 7320  apparmor..class 
│ │ │ +00092b50: 696e 7374 616c 6c5f 6c69 6270 616d 2d61  install_libpam-a
│ │ │ +00092b60: 7070 6172 6d6f 7220 7b0a 2020 7061 636b  pparmor {.  pack
│ │ │ +00092b70: 6167 6520 7b20 276c 6962 7061 6d2d 6170  age { 'libpam-ap
│ │ │ +00092b80: 7061 726d 6f72 273a 0a20 2020 2065 6e73  parmor':.    ens
│ │ │ +00092b90: 7572 6520 3d26 6774 3b20 2769 6e73 7461  ure =&gt; 'insta
│ │ │ +00092ba0: 6c6c 6564 272c 0a20 207d 0a7d 0a3c 2f63  lled',.  }.}.</c
│ │ │ +00092bb0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +00092bc0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +00092bd0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +00092be0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +00092bf0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +00092c00: 6964 6d37 3731 3922 2074 6162 696e 6465  idm7719" tabinde
│ │ │ +00092c10: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +00092c20: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +00092c30: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +00092c40: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +00092c50: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +00092c60: 656d 6564 6961 7469 6f6e 204f 5342 7569  emediation OSBui
│ │ │ +00092c70: 6c64 2042 6c75 6570 7269 6e74 2073 6e69  ld Blueprint sni
│ │ │ +00092c80: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00092c90: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00092ca0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00092cb0: 7073 6522 2069 643d 2269 646d 3737 3139  pse" id="idm7719
│ │ │ +00092cc0: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b5b  "><pre><code>.[[
│ │ │ +00092cd0: 7061 636b 6167 6573 5d5d 0a6e 616d 6520  packages]].name 
│ │ │ +00092ce0: 3d20 226c 6962 7061 6d2d 6170 7061 726d  = "libpam-apparm
│ │ │ +00092cf0: 6f72 220a 7665 7273 696f 6e20 3d20 222a  or".version = "*
│ │ │ +00092d00: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │  00092d10: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │  00092d20: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │  00092d30: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │  00092d40: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │  00092d50: 6574 3d22 2369 646d 3737 3230 2220 7461  et="#idm7720" ta
│ │ │  00092d60: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  00092d70: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ @@ -38329,108 +38329,108 @@
│ │ │  00095b80: 7461 7267 6574 3d22 2369 646d 3737 3734  target="#idm7774
│ │ │  00095b90: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │  00095ba0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │  00095bb0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │  00095bc0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │  00095bd0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │  00095be0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00095bf0: 696f 6e20 4f53 4275 696c 6420 426c 7565  ion OSBuild Blue
│ │ │ -00095c00: 7072 696e 7420 736e 6970 7065 7420 e287  print snippet ..
│ │ │ -00095c10: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00095c20: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00095c30: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00095c40: 3d22 6964 6d37 3737 3422 3e3c 7072 653e  ="idm7774"><pre>
│ │ │ -00095c50: 3c63 6f64 653e 0a5b 6375 7374 6f6d 697a  <code>.[customiz
│ │ │ -00095c60: 6174 696f 6e73 2e73 6572 7669 6365 735d  ations.services]
│ │ │ -00095c70: 0a65 6e61 626c 6564 203d 205b 2261 7070  .enabled = ["app
│ │ │ -00095c80: 6172 6d6f 7222 5d0a 3c2f 636f 6465 3e3c  armor"].</code><
│ │ │ -00095c90: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -00095ca0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -00095cb0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -00095cc0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -00095cd0: 612d 7461 7267 6574 3d22 2369 646d 3737  a-target="#idm77
│ │ │ -00095ce0: 3735 2220 7461 6269 6e64 6578 3d22 3022  75" tabindex="0"
│ │ │ -00095cf0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -00095d00: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -00095d10: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -00095d20: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -00095d30: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00095d40: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -00095d50: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00095d60: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00095d70: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00095d80: 7073 6522 2069 643d 2269 646d 3737 3735  pse" id="idm7775
│ │ │ -00095d90: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00095da0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00095db0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00095dc0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00095dd0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00095de0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00095df0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00095e00: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00095e10: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00095e20: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00095e30: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00095e40: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00095e50: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00095e60: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00095e70: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00095e80: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -00095e90: 6520 656e 6162 6c65 5f61 7070 6172 6d6f  e enable_apparmo
│ │ │ -00095ea0: 720a 0a63 6c61 7373 2065 6e61 626c 655f  r..class enable_
│ │ │ -00095eb0: 6170 7061 726d 6f72 207b 0a20 2073 6572  apparmor {.  ser
│ │ │ -00095ec0: 7669 6365 207b 2761 7070 6172 6d6f 7227  vice {'apparmor'
│ │ │ -00095ed0: 3a0a 2020 2020 656e 6162 6c65 203d 2667  :.    enable =&g
│ │ │ -00095ee0: 743b 2074 7275 652c 0a20 2020 2065 6e73  t; true,.    ens
│ │ │ -00095ef0: 7572 6520 3d26 6774 3b20 2772 756e 6e69  ure =&gt; 'runni
│ │ │ -00095f00: 6e67 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ng',.  }.}.</cod
│ │ │ -00095f10: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -00095f20: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -00095f30: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -00095f40: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -00095f50: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -00095f60: 6d37 3737 3622 2074 6162 696e 6465 783d  m7776" tabindex=
│ │ │ -00095f70: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -00095f80: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -00095f90: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00095fa0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00095fb0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00095fc0: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ -00095fd0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00095fe0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00095ff0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00096000: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00096010: 3737 3736 223e 3c70 7265 3e3c 636f 6465  7776"><pre><code
│ │ │ -00096020: 3e2d 206e 616d 653a 2053 7461 7274 2061  >- name: Start a
│ │ │ -00096030: 7070 6172 6d6f 722e 7365 7276 6963 650a  pparmor.service.
│ │ │ -00096040: 2020 7379 7374 656d 643a 0a20 2020 206e    systemd:.    n
│ │ │ -00096050: 616d 653a 2061 7070 6172 6d6f 722e 7365  ame: apparmor.se
│ │ │ -00096060: 7276 6963 650a 2020 2020 7374 6174 653a  rvice.    state:
│ │ │ -00096070: 2073 7461 7274 6564 0a20 2020 2065 6e61   started.    ena
│ │ │ -00096080: 626c 6564 3a20 7472 7565 0a20 2077 6865  bled: true.  whe
│ │ │ -00096090: 6e3a 2061 6e73 6962 6c65 5f76 6972 7475  n: ansible_virtu
│ │ │ -000960a0: 616c 697a 6174 696f 6e5f 7479 7065 206e  alization_type n
│ │ │ -000960b0: 6f74 2069 6e20 5b22 646f 636b 6572 222c  ot in ["docker",
│ │ │ -000960c0: 2022 6c78 6322 2c20 226f 7065 6e76 7a22   "lxc", "openvz"
│ │ │ -000960d0: 2c20 2270 6f64 6d61 6e22 2c20 2263 6f6e  , "podman", "con
│ │ │ -000960e0: 7461 696e 6572 225d 0a20 2074 6167 733a  tainer"].  tags:
│ │ │ -000960f0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00096100: 2d41 432d 3328 3429 0a20 202d 204e 4953  -AC-3(4).  - NIS
│ │ │ -00096110: 542d 3830 302d 3533 2d41 432d 3628 3130  T-800-53-AC-6(10
│ │ │ -00096120: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00096130: 332d 4143 2d36 2838 290a 2020 2d20 4e49  3-AC-6(8).  - NI
│ │ │ -00096140: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -00096150: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00096160: 332d 434d 2d37 2832 290a 2020 2d20 4e49  3-CM-7(2).  - NI
│ │ │ -00096170: 5354 2d38 3030 2d35 332d 434d 2d37 2835  ST-800-53-CM-7(5
│ │ │ -00096180: 2928 6229 0a20 202d 204e 4953 542d 3830  )(b).  - NIST-80
│ │ │ -00096190: 302d 3533 2d53 432d 3728 3231 290a 2020  0-53-SC-7(21).  
│ │ │ -000961a0: 2d20 6170 7061 726d 6f72 5f63 6f6e 6669  - apparmor_confi
│ │ │ -000961b0: 6775 7265 640a 2020 2d20 6d65 6469 756d  gured.  - medium
│ │ │ -000961c0: 5f73 6576 6572 6974 790a 3c2f 636f 6465  _severity.</code
│ │ │ +00095bf0: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ +00095c00: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00095c10: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00095c20: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00095c30: 7365 2220 6964 3d22 6964 6d37 3737 3422  se" id="idm7774"
│ │ │ +00095c40: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +00095c50: 6d65 3a20 5374 6172 7420 6170 7061 726d  me: Start apparm
│ │ │ +00095c60: 6f72 2e73 6572 7669 6365 0a20 2073 7973  or.service.  sys
│ │ │ +00095c70: 7465 6d64 3a0a 2020 2020 6e61 6d65 3a20  temd:.    name: 
│ │ │ +00095c80: 6170 7061 726d 6f72 2e73 6572 7669 6365  apparmor.service
│ │ │ +00095c90: 0a20 2020 2073 7461 7465 3a20 7374 6172  .    state: star
│ │ │ +00095ca0: 7465 640a 2020 2020 656e 6162 6c65 643a  ted.    enabled:
│ │ │ +00095cb0: 2074 7275 650a 2020 7768 656e 3a20 616e   true.  when: an
│ │ │ +00095cc0: 7369 626c 655f 7669 7274 7561 6c69 7a61  sible_virtualiza
│ │ │ +00095cd0: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e  tion_type not in
│ │ │ +00095ce0: 205b 2264 6f63 6b65 7222 2c20 226c 7863   ["docker", "lxc
│ │ │ +00095cf0: 222c 2022 6f70 656e 767a 222c 2022 706f  ", "openvz", "po
│ │ │ +00095d00: 646d 616e 222c 2022 636f 6e74 6169 6e65  dman", "containe
│ │ │ +00095d10: 7222 5d0a 2020 7461 6773 3a0a 2020 2d20  r"].  tags:.  - 
│ │ │ +00095d20: 4e49 5354 2d38 3030 2d35 332d 4143 2d33  NIST-800-53-AC-3
│ │ │ +00095d30: 2834 290a 2020 2d20 4e49 5354 2d38 3030  (4).  - NIST-800
│ │ │ +00095d40: 2d35 332d 4143 2d36 2831 3029 0a20 202d  -53-AC-6(10).  -
│ │ │ +00095d50: 204e 4953 542d 3830 302d 3533 2d41 432d   NIST-800-53-AC-
│ │ │ +00095d60: 3628 3829 0a20 202d 204e 4953 542d 3830  6(8).  - NIST-80
│ │ │ +00095d70: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +00095d80: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +00095d90: 3728 3229 0a20 202d 204e 4953 542d 3830  7(2).  - NIST-80
│ │ │ +00095da0: 302d 3533 2d43 4d2d 3728 3529 2862 290a  0-53-CM-7(5)(b).
│ │ │ +00095db0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00095dc0: 5343 2d37 2832 3129 0a20 202d 2061 7070  SC-7(21).  - app
│ │ │ +00095dd0: 6172 6d6f 725f 636f 6e66 6967 7572 6564  armor_configured
│ │ │ +00095de0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ +00095df0: 7269 7479 0a3c 2f63 6f64 653e 3c2f 7072  rity.</code></pr
│ │ │ +00095e00: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00095e10: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00095e20: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00095e30: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00095e40: 6172 6765 743d 2223 6964 6d37 3737 3522  arget="#idm7775"
│ │ │ +00095e50: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00095e60: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00095e70: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00095e80: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00095e90: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00095ea0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +00095eb0: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +00095ec0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00095ed0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00095ee0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00095ef0: 2220 6964 3d22 6964 6d37 3737 3522 3e3c  " id="idm7775"><
│ │ │ +00095f00: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00095f10: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00095f20: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00095f30: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00095f40: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00095f50: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00095f60: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00095f70: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00095f80: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00095f90: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00095fa0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00095fb0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00095fc0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00095fd0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +00095fe0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00095ff0: 3e3c 636f 6465 3e69 6e63 6c75 6465 2065  ><code>include e
│ │ │ +00096000: 6e61 626c 655f 6170 7061 726d 6f72 0a0a  nable_apparmor..
│ │ │ +00096010: 636c 6173 7320 656e 6162 6c65 5f61 7070  class enable_app
│ │ │ +00096020: 6172 6d6f 7220 7b0a 2020 7365 7276 6963  armor {.  servic
│ │ │ +00096030: 6520 7b27 6170 7061 726d 6f72 273a 0a20  e {'apparmor':. 
│ │ │ +00096040: 2020 2065 6e61 626c 6520 3d26 6774 3b20     enable =&gt; 
│ │ │ +00096050: 7472 7565 2c0a 2020 2020 656e 7375 7265  true,.    ensure
│ │ │ +00096060: 203d 2667 743b 2027 7275 6e6e 696e 6727   =&gt; 'running'
│ │ │ +00096070: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │ +00096080: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +00096090: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +000960a0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +000960b0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +000960c0: 612d 7461 7267 6574 3d22 2369 646d 3737  a-target="#idm77
│ │ │ +000960d0: 3736 2220 7461 6269 6e64 6578 3d22 3022  76" tabindex="0"
│ │ │ +000960e0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +000960f0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +00096100: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +00096110: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +00096120: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +00096130: 6174 696f 6e20 4f53 4275 696c 6420 426c  ation OSBuild Bl
│ │ │ +00096140: 7565 7072 696e 7420 736e 6970 7065 7420  ueprint snippet 
│ │ │ +00096150: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00096160: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00096170: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00096180: 6964 3d22 6964 6d37 3737 3622 3e3c 7072  id="idm7776"><pr
│ │ │ +00096190: 653e 3c63 6f64 653e 0a5b 6375 7374 6f6d  e><code>.[custom
│ │ │ +000961a0: 697a 6174 696f 6e73 2e73 6572 7669 6365  izations.service
│ │ │ +000961b0: 735d 0a65 6e61 626c 6564 203d 205b 2261  s].enabled = ["a
│ │ │ +000961c0: 7070 6172 6d6f 7222 5d0a 3c2f 636f 6465  pparmor"].</code
│ │ │  000961d0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 2f64  ></pre></div></d
│ │ │  000961e0: 6976 3e3c 2f74 643e 3c2f 7472 3e3c 2f74  iv></td></tr></t
│ │ │  000961f0: 626f 6479 3e3c 2f74 6162 6c65 3e3c 2f74  body></table></t
│ │ │  00096200: 643e 3c2f 7472 3e3c 7472 2064 6174 612d  d></tr><tr data-
│ │ │  00096210: 7474 2d69 643d 2278 6363 6466 5f6f 7267  tt-id="xccdf_org
│ │ │  00096220: 2e73 7367 7072 6f6a 6563 742e 636f 6e74  .ssgproject.cont
│ │ │  00096230: 656e 745f 7275 6c65 5f67 7275 6232 5f65  ent_rule_grub2_e
│ │ │ @@ -54018,136 +54018,136 @@
│ │ │  000d3010: 6172 6765 743d 2223 6964 6d31 3035 3532  arget="#idm10552
│ │ │  000d3020: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │  000d3030: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │  000d3040: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │  000d3050: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │  000d3060: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │  000d3070: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -000d3080: 696f 6e20 4f53 4275 696c 6420 426c 7565  ion OSBuild Blue
│ │ │ -000d3090: 7072 696e 7420 736e 6970 7065 7420 e287  print snippet ..
│ │ │ -000d30a0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -000d30b0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -000d30c0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -000d30d0: 3d22 6964 6d31 3035 3532 223e 3c70 7265  ="idm10552"><pre
│ │ │ -000d30e0: 3e3c 636f 6465 3e0a 5b5b 7061 636b 6167  ><code>.[[packag
│ │ │ -000d30f0: 6573 5d5d 0a6e 616d 6520 3d20 226c 6f67  es]].name = "log
│ │ │ -000d3100: 726f 7461 7465 220a 7665 7273 696f 6e20  rotate".version 
│ │ │ -000d3110: 3d20 222a 220a 3c2f 636f 6465 3e3c 2f70  = "*".</code></p
│ │ │ -000d3120: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -000d3130: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -000d3140: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -000d3150: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -000d3160: 7461 7267 6574 3d22 2369 646d 3130 3535  target="#idm1055
│ │ │ -000d3170: 3322 2074 6162 696e 6465 783d 2230 2220  3" tabindex="0" 
│ │ │ -000d3180: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -000d3190: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -000d31a0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -000d31b0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -000d31c0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -000d31d0: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -000d31e0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -000d31f0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -000d3200: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -000d3210: 7365 2220 6964 3d22 6964 6d31 3035 3533  se" id="idm10553
│ │ │ -000d3220: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -000d3230: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -000d3240: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -000d3250: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -000d3260: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -000d3270: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -000d3280: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -000d3290: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -000d32a0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -000d32b0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -000d32c0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -000d32d0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -000d32e0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -000d32f0: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -000d3300: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -000d3310: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -000d3320: 6520 696e 7374 616c 6c5f 6c6f 6772 6f74  e install_logrot
│ │ │ -000d3330: 6174 650a 0a63 6c61 7373 2069 6e73 7461  ate..class insta
│ │ │ -000d3340: 6c6c 5f6c 6f67 726f 7461 7465 207b 0a20  ll_logrotate {. 
│ │ │ -000d3350: 2070 6163 6b61 6765 207b 2027 6c6f 6772   package { 'logr
│ │ │ -000d3360: 6f74 6174 6527 3a0a 2020 2020 656e 7375  otate':.    ensu
│ │ │ -000d3370: 7265 203d 2667 743b 2027 696e 7374 616c  re =&gt; 'instal
│ │ │ -000d3380: 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  led',.  }.}.</co
│ │ │ -000d3390: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -000d33a0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -000d33b0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -000d33c0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -000d33d0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -000d33e0: 646d 3130 3535 3422 2074 6162 696e 6465  dm10554" tabinde
│ │ │ -000d33f0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -000d3400: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -000d3410: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -000d3420: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -000d3430: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -000d3440: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -000d3450: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -000d3460: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -000d3470: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -000d3480: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -000d3490: 646d 3130 3535 3422 3e3c 7461 626c 6520  dm10554"><table 
│ │ │ -000d34a0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -000d34b0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -000d34c0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -000d34d0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -000d34e0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -000d34f0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -000d3500: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -000d3510: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -000d3520: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -000d3530: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -000d3540: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -000d3550: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -000d3560: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -000d3570: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -000d3580: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -000d3590: 3e2d 206e 616d 653a 2047 6174 6865 7220  >- name: Gather 
│ │ │ -000d35a0: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ -000d35b0: 730a 2020 7061 636b 6167 655f 6661 6374  s.  package_fact
│ │ │ -000d35c0: 733a 0a20 2020 206d 616e 6167 6572 3a20  s:.    manager: 
│ │ │ -000d35d0: 6175 746f 0a20 2074 6167 733a 0a20 202d  auto.  tags:.  -
│ │ │ -000d35e0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -000d35f0: 3628 6129 0a20 202d 2050 4349 2d44 5353  6(a).  - PCI-DSS
│ │ │ -000d3600: 2d52 6571 2d31 302e 370a 2020 2d20 5043  -Req-10.7.  - PC
│ │ │ -000d3610: 492d 4453 5376 342d 3130 2e35 0a20 202d  I-DSSv4-10.5.  -
│ │ │ -000d3620: 2050 4349 2d44 5353 7634 2d31 302e 352e   PCI-DSSv4-10.5.
│ │ │ -000d3630: 310a 2020 2d20 656e 6162 6c65 5f73 7472  1.  - enable_str
│ │ │ -000d3640: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -000d3650: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -000d3660: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -000d3670: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -000d3680: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -000d3690: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -000d36a0: 5f6c 6f67 726f 7461 7465 5f69 6e73 7461  _logrotate_insta
│ │ │ -000d36b0: 6c6c 6564 0a0a 2d20 6e61 6d65 3a20 456e  lled..- name: En
│ │ │ -000d36c0: 7375 7265 206c 6f67 726f 7461 7465 2069  sure logrotate i
│ │ │ -000d36d0: 7320 696e 7374 616c 6c65 640a 2020 7061  s installed.  pa
│ │ │ -000d36e0: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -000d36f0: 206c 6f67 726f 7461 7465 0a20 2020 2073   logrotate.    s
│ │ │ -000d3700: 7461 7465 3a20 7072 6573 656e 740a 2020  tate: present.  
│ │ │ -000d3710: 7768 656e 3a20 2722 6c69 6e75 782d 6261  when: '"linux-ba
│ │ │ -000d3720: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ -000d3730: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -000d3740: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -000d3750: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -000d3760: 202d 2050 4349 2d44 5353 2d52 6571 2d31   - PCI-DSS-Req-1
│ │ │ -000d3770: 302e 370a 2020 2d20 5043 492d 4453 5376  0.7.  - PCI-DSSv
│ │ │ -000d3780: 342d 3130 2e35 0a20 202d 2050 4349 2d44  4-10.5.  - PCI-D
│ │ │ -000d3790: 5353 7634 2d31 302e 352e 310a 2020 2d20  SSv4-10.5.1.  - 
│ │ │ -000d37a0: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ -000d37b0: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -000d37c0: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -000d37d0: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ -000d37e0: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ -000d37f0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -000d3800: 202d 2070 6163 6b61 6765 5f6c 6f67 726f   - package_logro
│ │ │ -000d3810: 7461 7465 5f69 6e73 7461 6c6c 6564 0a3c  tate_installed.<
│ │ │ +000d3080: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ +000d3090: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +000d30a0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +000d30b0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +000d30c0: 7365 2220 6964 3d22 6964 6d31 3035 3532  se" id="idm10552
│ │ │ +000d30d0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +000d30e0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +000d30f0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +000d3100: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +000d3110: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +000d3120: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +000d3130: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +000d3140: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +000d3150: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +000d3160: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +000d3170: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +000d3180: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +000d3190: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +000d31a0: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +000d31b0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +000d31c0: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +000d31d0: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ +000d31e0: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ +000d31f0: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ +000d3200: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ +000d3210: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +000d3220: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +000d3230: 2d20 5043 492d 4453 532d 5265 712d 3130  - PCI-DSS-Req-10
│ │ │ +000d3240: 2e37 0a20 202d 2050 4349 2d44 5353 7634  .7.  - PCI-DSSv4
│ │ │ +000d3250: 2d31 302e 350a 2020 2d20 5043 492d 4453  -10.5.  - PCI-DS
│ │ │ +000d3260: 5376 342d 3130 2e35 2e31 0a20 202d 2065  Sv4-10.5.1.  - e
│ │ │ +000d3270: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ +000d3280: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +000d3290: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +000d32a0: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ +000d32b0: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ +000d32c0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +000d32d0: 2d20 7061 636b 6167 655f 6c6f 6772 6f74  - package_logrot
│ │ │ +000d32e0: 6174 655f 696e 7374 616c 6c65 640a 0a2d  ate_installed..-
│ │ │ +000d32f0: 206e 616d 653a 2045 6e73 7572 6520 6c6f   name: Ensure lo
│ │ │ +000d3300: 6772 6f74 6174 6520 6973 2069 6e73 7461  grotate is insta
│ │ │ +000d3310: 6c6c 6564 0a20 2070 6163 6b61 6765 3a0a  lled.  package:.
│ │ │ +000d3320: 2020 2020 6e61 6d65 3a20 6c6f 6772 6f74      name: logrot
│ │ │ +000d3330: 6174 650a 2020 2020 7374 6174 653a 2070  ate.    state: p
│ │ │ +000d3340: 7265 7365 6e74 0a20 2077 6865 6e3a 2027  resent.  when: '
│ │ │ +000d3350: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ +000d3360: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ +000d3370: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ +000d3380: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +000d3390: 434d 2d36 2861 290a 2020 2d20 5043 492d  CM-6(a).  - PCI-
│ │ │ +000d33a0: 4453 532d 5265 712d 3130 2e37 0a20 202d  DSS-Req-10.7.  -
│ │ │ +000d33b0: 2050 4349 2d44 5353 7634 2d31 302e 350a   PCI-DSSv4-10.5.
│ │ │ +000d33c0: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ +000d33d0: 2e35 2e31 0a20 202d 2065 6e61 626c 655f  .5.1.  - enable_
│ │ │ +000d33e0: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ +000d33f0: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +000d3400: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +000d3410: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ +000d3420: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +000d3430: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +000d3440: 6167 655f 6c6f 6772 6f74 6174 655f 696e  age_logrotate_in
│ │ │ +000d3450: 7374 616c 6c65 640a 3c2f 636f 6465 3e3c  stalled.</code><
│ │ │ +000d3460: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +000d3470: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +000d3480: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +000d3490: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +000d34a0: 612d 7461 7267 6574 3d22 2369 646d 3130  a-target="#idm10
│ │ │ +000d34b0: 3535 3322 2074 6162 696e 6465 783d 2230  553" tabindex="0
│ │ │ +000d34c0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +000d34d0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +000d34e0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +000d34f0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +000d3500: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +000d3510: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +000d3520: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +000d3530: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +000d3540: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +000d3550: 6170 7365 2220 6964 3d22 6964 6d31 3035  apse" id="idm105
│ │ │ +000d3560: 3533 223e 3c74 6162 6c65 2063 6c61 7373  53"><table class
│ │ │ +000d3570: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +000d3580: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +000d3590: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +000d35a0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +000d35b0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +000d35c0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +000d35d0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +000d35e0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +000d35f0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +000d3600: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +000d3610: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +000d3620: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +000d3630: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +000d3640: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +000d3650: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ +000d3660: 7564 6520 696e 7374 616c 6c5f 6c6f 6772  ude install_logr
│ │ │ +000d3670: 6f74 6174 650a 0a63 6c61 7373 2069 6e73  otate..class ins
│ │ │ +000d3680: 7461 6c6c 5f6c 6f67 726f 7461 7465 207b  tall_logrotate {
│ │ │ +000d3690: 0a20 2070 6163 6b61 6765 207b 2027 6c6f  .  package { 'lo
│ │ │ +000d36a0: 6772 6f74 6174 6527 3a0a 2020 2020 656e  grotate':.    en
│ │ │ +000d36b0: 7375 7265 203d 2667 743b 2027 696e 7374  sure =&gt; 'inst
│ │ │ +000d36c0: 616c 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f  alled',.  }.}.</
│ │ │ +000d36d0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +000d36e0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +000d36f0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +000d3700: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +000d3710: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +000d3720: 2369 646d 3130 3535 3422 2074 6162 696e  #idm10554" tabin
│ │ │ +000d3730: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +000d3740: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +000d3750: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +000d3760: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +000d3770: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +000d3780: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ +000d3790: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ +000d37a0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +000d37b0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +000d37c0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +000d37d0: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ +000d37e0: 3535 3422 3e3c 7072 653e 3c63 6f64 653e  554"><pre><code>
│ │ │ +000d37f0: 0a5b 5b70 6163 6b61 6765 735d 5d0a 6e61  .[[packages]].na
│ │ │ +000d3800: 6d65 203d 2022 6c6f 6772 6f74 6174 6522  me = "logrotate"
│ │ │ +000d3810: 0a76 6572 7369 6f6e 203d 2022 2a22 0a3c  .version = "*".<
│ │ │  000d3820: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  000d3830: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │  000d3840: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │  000d3850: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │  000d3860: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  000d3870: 2223 6964 6d31 3035 3535 2220 7461 6269  "#idm10555" tabi
│ │ │  000d3880: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ @@ -56038,129 +56038,129 @@
│ │ │  000dae50: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  000dae60: 3130 3036 3322 2074 6162 696e 6465 783d  10063" tabindex=
│ │ │  000dae70: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │  000dae80: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │  000dae90: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │  000daea0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │  000daeb0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -000daec0: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ -000daed0: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ -000daee0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -000daef0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -000daf00: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -000daf10: 6522 2069 643d 2269 646d 3130 3036 3322  e" id="idm10063"
│ │ │ -000daf20: 3e3c 7072 653e 3c63 6f64 653e 0a5b 5b70  ><pre><code>.[[p
│ │ │ -000daf30: 6163 6b61 6765 735d 5d0a 6e61 6d65 203d  ackages]].name =
│ │ │ -000daf40: 2022 7273 7973 6c6f 672d 676e 7574 6c73   "rsyslog-gnutls
│ │ │ -000daf50: 220a 7665 7273 696f 6e20 3d20 222a 220a  ".version = "*".
│ │ │ -000daf60: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -000daf70: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -000daf80: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -000daf90: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -000dafa0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -000dafb0: 3d22 2369 646d 3130 3036 3422 2074 6162  ="#idm10064" tab
│ │ │ -000dafc0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -000dafd0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -000dafe0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -000daff0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -000db000: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -000db010: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -000db020: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -000db030: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -000db040: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -000db050: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -000db060: 3d22 6964 6d31 3030 3634 223e 3c74 6162  ="idm10064"><tab
│ │ │ -000db070: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -000db080: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -000db090: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -000db0a0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -000db0b0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -000db0c0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -000db0d0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -000db0e0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -000db0f0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -000db100: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -000db110: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -000db120: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -000db130: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -000db140: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -000db150: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -000db160: 6f64 653e 696e 636c 7564 6520 696e 7374  ode>include inst
│ │ │ -000db170: 616c 6c5f 7273 7973 6c6f 672d 676e 7574  all_rsyslog-gnut
│ │ │ -000db180: 6c73 0a0a 636c 6173 7320 696e 7374 616c  ls..class instal
│ │ │ -000db190: 6c5f 7273 7973 6c6f 672d 676e 7574 6c73  l_rsyslog-gnutls
│ │ │ -000db1a0: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ -000db1b0: 7273 7973 6c6f 672d 676e 7574 6c73 273a  rsyslog-gnutls':
│ │ │ -000db1c0: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ -000db1d0: 3b20 2769 6e73 7461 6c6c 6564 272c 0a20  ; 'installed',. 
│ │ │ -000db1e0: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -000db1f0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -000db200: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -000db210: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -000db220: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -000db230: 6172 6765 743d 2223 6964 6d31 3030 3635  arget="#idm10065
│ │ │ -000db240: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -000db250: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -000db260: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -000db270: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -000db280: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -000db290: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -000db2a0: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -000db2b0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -000db2c0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -000db2d0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -000db2e0: 7365 2220 6964 3d22 6964 6d31 3030 3635  se" id="idm10065
│ │ │ -000db2f0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -000db300: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -000db310: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -000db320: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -000db330: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -000db340: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -000db350: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -000db360: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -000db370: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -000db380: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -000db390: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -000db3a0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -000db3b0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -000db3c0: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -000db3d0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -000db3e0: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -000db3f0: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ -000db400: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ -000db410: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ -000db420: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ -000db430: 7461 6773 3a0a 2020 2d20 656e 6162 6c65  tags:.  - enable
│ │ │ -000db440: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -000db450: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -000db460: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -000db470: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -000db480: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -000db490: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -000db4a0: 6b61 6765 5f72 7379 736c 6f67 2d67 6e75  kage_rsyslog-gnu
│ │ │ -000db4b0: 746c 735f 696e 7374 616c 6c65 640a 0a2d  tls_installed..-
│ │ │ -000db4c0: 206e 616d 653a 2045 6e73 7572 6520 7273   name: Ensure rs
│ │ │ -000db4d0: 7973 6c6f 672d 676e 7574 6c73 2069 7320  yslog-gnutls is 
│ │ │ -000db4e0: 696e 7374 616c 6c65 640a 2020 7061 636b  installed.  pack
│ │ │ -000db4f0: 6167 653a 0a20 2020 206e 616d 653a 2072  age:.    name: r
│ │ │ -000db500: 7379 736c 6f67 2d67 6e75 746c 730a 2020  syslog-gnutls.  
│ │ │ -000db510: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ -000db520: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ -000db530: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ -000db540: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -000db550: 270a 2020 7461 6773 3a0a 2020 2d20 656e  '.  tags:.  - en
│ │ │ -000db560: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -000db570: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -000db580: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -000db590: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -000db5a0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -000db5b0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -000db5c0: 2070 6163 6b61 6765 5f72 7379 736c 6f67   package_rsyslog
│ │ │ -000db5d0: 2d67 6e75 746c 735f 696e 7374 616c 6c65  -gnutls_installe
│ │ │ -000db5e0: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +000daec0: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ +000daed0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +000daee0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +000daef0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +000daf00: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +000daf10: 3130 3036 3322 3e3c 7461 626c 6520 636c  10063"><table cl
│ │ │ +000daf20: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +000daf30: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +000daf40: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +000daf50: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +000daf60: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +000daf70: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +000daf80: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +000daf90: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +000dafa0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +000dafb0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +000dafc0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +000dafd0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +000dafe0: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ +000daff0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +000db000: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ +000db010: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ +000db020: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ +000db030: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ +000db040: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ +000db050: 746f 0a20 2074 6167 733a 0a20 202d 2065  to.  tags:.  - e
│ │ │ +000db060: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ +000db070: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +000db080: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +000db090: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ +000db0a0: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ +000db0b0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +000db0c0: 2d20 7061 636b 6167 655f 7273 7973 6c6f  - package_rsyslo
│ │ │ +000db0d0: 672d 676e 7574 6c73 5f69 6e73 7461 6c6c  g-gnutls_install
│ │ │ +000db0e0: 6564 0a0a 2d20 6e61 6d65 3a20 456e 7375  ed..- name: Ensu
│ │ │ +000db0f0: 7265 2072 7379 736c 6f67 2d67 6e75 746c  re rsyslog-gnutl
│ │ │ +000db100: 7320 6973 2069 6e73 7461 6c6c 6564 0a20  s is installed. 
│ │ │ +000db110: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +000db120: 6d65 3a20 7273 7973 6c6f 672d 676e 7574  me: rsyslog-gnut
│ │ │ +000db130: 6c73 0a20 2020 2073 7461 7465 3a20 7072  ls.    state: pr
│ │ │ +000db140: 6573 656e 740a 2020 7768 656e 3a20 2722  esent.  when: '"
│ │ │ +000db150: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ +000db160: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ +000db170: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ +000db180: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ +000db190: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ +000db1a0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +000db1b0: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ +000db1c0: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ +000db1d0: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +000db1e0: 640a 2020 2d20 7061 636b 6167 655f 7273  d.  - package_rs
│ │ │ +000db1f0: 7973 6c6f 672d 676e 7574 6c73 5f69 6e73  yslog-gnutls_ins
│ │ │ +000db200: 7461 6c6c 6564 0a3c 2f63 6f64 653e 3c2f  talled.</code></
│ │ │ +000db210: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +000db220: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +000db230: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +000db240: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +000db250: 2d74 6172 6765 743d 2223 6964 6d31 3030  -target="#idm100
│ │ │ +000db260: 3634 2220 7461 6269 6e64 6578 3d22 3022  64" tabindex="0"
│ │ │ +000db270: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +000db280: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +000db290: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +000db2a0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +000db2b0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +000db2c0: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ +000db2d0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +000db2e0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +000db2f0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +000db300: 7073 6522 2069 643d 2269 646d 3130 3036  pse" id="idm1006
│ │ │ +000db310: 3422 3e3c 7461 626c 6520 636c 6173 733d  4"><table class=
│ │ │ +000db320: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +000db330: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +000db340: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +000db350: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +000db360: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +000db370: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +000db380: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +000db390: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +000db3a0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +000db3b0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +000db3c0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +000db3d0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +000db3e0: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ +000db3f0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +000db400: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ +000db410: 6465 2069 6e73 7461 6c6c 5f72 7379 736c  de install_rsysl
│ │ │ +000db420: 6f67 2d67 6e75 746c 730a 0a63 6c61 7373  og-gnutls..class
│ │ │ +000db430: 2069 6e73 7461 6c6c 5f72 7379 736c 6f67   install_rsyslog
│ │ │ +000db440: 2d67 6e75 746c 7320 7b0a 2020 7061 636b  -gnutls {.  pack
│ │ │ +000db450: 6167 6520 7b20 2772 7379 736c 6f67 2d67  age { 'rsyslog-g
│ │ │ +000db460: 6e75 746c 7327 3a0a 2020 2020 656e 7375  nutls':.    ensu
│ │ │ +000db470: 7265 203d 2667 743b 2027 696e 7374 616c  re =&gt; 'instal
│ │ │ +000db480: 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  led',.  }.}.</co
│ │ │ +000db490: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +000db4a0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +000db4b0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +000db4c0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +000db4d0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +000db4e0: 646d 3130 3036 3522 2074 6162 696e 6465  dm10065" tabinde
│ │ │ +000db4f0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +000db500: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +000db510: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +000db520: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +000db530: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +000db540: 656d 6564 6961 7469 6f6e 204f 5342 7569  emediation OSBui
│ │ │ +000db550: 6c64 2042 6c75 6570 7269 6e74 2073 6e69  ld Blueprint sni
│ │ │ +000db560: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +000db570: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +000db580: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +000db590: 7073 6522 2069 643d 2269 646d 3130 3036  pse" id="idm1006
│ │ │ +000db5a0: 3522 3e3c 7072 653e 3c63 6f64 653e 0a5b  5"><pre><code>.[
│ │ │ +000db5b0: 5b70 6163 6b61 6765 735d 5d0a 6e61 6d65  [packages]].name
│ │ │ +000db5c0: 203d 2022 7273 7973 6c6f 672d 676e 7574   = "rsyslog-gnut
│ │ │ +000db5d0: 6c73 220a 7665 7273 696f 6e20 3d20 222a  ls".version = "*
│ │ │ +000db5e0: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │  000db5f0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │  000db600: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │  000db610: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │  000db620: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │  000db630: 6574 3d22 2369 646d 3130 3036 3622 2074  et="#idm10066" t
│ │ │  000db640: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  000db650: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ @@ -56419,128 +56419,128 @@
│ │ │  000dc620: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  000dc630: 646d 3130 3131 3422 2074 6162 696e 6465  dm10114" tabinde
│ │ │  000dc640: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  000dc650: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  000dc660: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  000dc670: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  000dc680: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -000dc690: 656d 6564 6961 7469 6f6e 204f 5342 7569  emediation OSBui
│ │ │ -000dc6a0: 6c64 2042 6c75 6570 7269 6e74 2073 6e69  ld Blueprint sni
│ │ │ -000dc6b0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -000dc6c0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -000dc6d0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -000dc6e0: 7073 6522 2069 643d 2269 646d 3130 3131  pse" id="idm1011
│ │ │ -000dc6f0: 3422 3e3c 7072 653e 3c63 6f64 653e 0a5b  4"><pre><code>.[
│ │ │ -000dc700: 5b70 6163 6b61 6765 735d 5d0a 6e61 6d65  [packages]].name
│ │ │ -000dc710: 203d 2022 7273 7973 6c6f 6722 0a76 6572   = "rsyslog".ver
│ │ │ -000dc720: 7369 6f6e 203d 2022 2a22 0a3c 2f63 6f64  sion = "*".</cod
│ │ │ -000dc730: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -000dc740: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -000dc750: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -000dc760: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -000dc770: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -000dc780: 6d31 3031 3135 2220 7461 6269 6e64 6578  m10115" tabindex
│ │ │ -000dc790: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -000dc7a0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -000dc7b0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -000dc7c0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -000dc7d0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -000dc7e0: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -000dc7f0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -000dc800: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -000dc810: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -000dc820: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -000dc830: 3130 3131 3522 3e3c 7461 626c 6520 636c  10115"><table cl
│ │ │ -000dc840: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -000dc850: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -000dc860: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -000dc870: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -000dc880: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -000dc890: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -000dc8a0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -000dc8b0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -000dc8c0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -000dc8d0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -000dc8e0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -000dc8f0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -000dc900: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -000dc910: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -000dc920: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ -000dc930: 6e63 6c75 6465 2069 6e73 7461 6c6c 5f72  nclude install_r
│ │ │ -000dc940: 7379 736c 6f67 0a0a 636c 6173 7320 696e  syslog..class in
│ │ │ -000dc950: 7374 616c 6c5f 7273 7973 6c6f 6720 7b0a  stall_rsyslog {.
│ │ │ -000dc960: 2020 7061 636b 6167 6520 7b20 2772 7379    package { 'rsy
│ │ │ -000dc970: 736c 6f67 273a 0a20 2020 2065 6e73 7572  slog':.    ensur
│ │ │ -000dc980: 6520 3d26 6774 3b20 2769 6e73 7461 6c6c  e =&gt; 'install
│ │ │ -000dc990: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ -000dc9a0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -000dc9b0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -000dc9c0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -000dc9d0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -000dc9e0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -000dc9f0: 6d31 3031 3136 2220 7461 6269 6e64 6578  m10116" tabindex
│ │ │ -000dca00: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -000dca10: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -000dca20: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -000dca30: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -000dca40: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -000dca50: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -000dca60: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -000dca70: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -000dca80: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -000dca90: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -000dcaa0: 6d31 3031 3136 223e 3c74 6162 6c65 2063  m10116"><table c
│ │ │ -000dcab0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -000dcac0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -000dcad0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -000dcae0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -000dcaf0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -000dcb00: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -000dcb10: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -000dcb20: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -000dcb30: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -000dcb40: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -000dcb50: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -000dcb60: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -000dcb70: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -000dcb80: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -000dcb90: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -000dcba0: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ -000dcbb0: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ -000dcbc0: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ -000dcbd0: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ -000dcbe0: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ -000dcbf0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -000dcc00: 2861 290a 2020 2d20 656e 6162 6c65 5f73  (a).  - enable_s
│ │ │ -000dcc10: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -000dcc20: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -000dcc30: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -000dcc40: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -000dcc50: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -000dcc60: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -000dcc70: 6765 5f72 7379 736c 6f67 5f69 6e73 7461  ge_rsyslog_insta
│ │ │ -000dcc80: 6c6c 6564 0a0a 2d20 6e61 6d65 3a20 456e  lled..- name: En
│ │ │ -000dcc90: 7375 7265 2072 7379 736c 6f67 2069 7320  sure rsyslog is 
│ │ │ -000dcca0: 696e 7374 616c 6c65 640a 2020 7061 636b  installed.  pack
│ │ │ -000dccb0: 6167 653a 0a20 2020 206e 616d 653a 2072  age:.    name: r
│ │ │ -000dccc0: 7379 736c 6f67 0a20 2020 2073 7461 7465  syslog.    state
│ │ │ -000dccd0: 3a20 7072 6573 656e 740a 2020 7768 656e  : present.  when
│ │ │ -000dcce0: 3a20 2722 6c69 6e75 782d 6261 7365 2220  : '"linux-base" 
│ │ │ -000dccf0: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ -000dcd00: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ -000dcd10: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -000dcd20: 3533 2d43 4d2d 3628 6129 0a20 202d 2065  53-CM-6(a).  - e
│ │ │ -000dcd30: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -000dcd40: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -000dcd50: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -000dcd60: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -000dcd70: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -000dcd80: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -000dcd90: 2d20 7061 636b 6167 655f 7273 7973 6c6f  - package_rsyslo
│ │ │ -000dcda0: 675f 696e 7374 616c 6c65 640a 3c2f 636f  g_installed.</co
│ │ │ +000dc690: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +000dc6a0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +000dc6b0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +000dc6c0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +000dc6d0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +000dc6e0: 646d 3130 3131 3422 3e3c 7461 626c 6520  dm10114"><table 
│ │ │ +000dc6f0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +000dc700: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +000dc710: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +000dc720: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +000dc730: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +000dc740: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +000dc750: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +000dc760: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +000dc770: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +000dc780: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +000dc790: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +000dc7a0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +000dc7b0: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ +000dc7c0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +000dc7d0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +000dc7e0: 3e2d 206e 616d 653a 2047 6174 6865 7220  >- name: Gather 
│ │ │ +000dc7f0: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ +000dc800: 730a 2020 7061 636b 6167 655f 6661 6374  s.  package_fact
│ │ │ +000dc810: 733a 0a20 2020 206d 616e 6167 6572 3a20  s:.    manager: 
│ │ │ +000dc820: 6175 746f 0a20 2074 6167 733a 0a20 202d  auto.  tags:.  -
│ │ │ +000dc830: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +000dc840: 3628 6129 0a20 202d 2065 6e61 626c 655f  6(a).  - enable_
│ │ │ +000dc850: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ +000dc860: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +000dc870: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +000dc880: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ +000dc890: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +000dc8a0: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +000dc8b0: 6167 655f 7273 7973 6c6f 675f 696e 7374  age_rsyslog_inst
│ │ │ +000dc8c0: 616c 6c65 640a 0a2d 206e 616d 653a 2045  alled..- name: E
│ │ │ +000dc8d0: 6e73 7572 6520 7273 7973 6c6f 6720 6973  nsure rsyslog is
│ │ │ +000dc8e0: 2069 6e73 7461 6c6c 6564 0a20 2070 6163   installed.  pac
│ │ │ +000dc8f0: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ +000dc900: 7273 7973 6c6f 670a 2020 2020 7374 6174  rsyslog.    stat
│ │ │ +000dc910: 653a 2070 7265 7365 6e74 0a20 2077 6865  e: present.  whe
│ │ │ +000dc920: 6e3a 2027 226c 696e 7578 2d62 6173 6522  n: '"linux-base"
│ │ │ +000dc930: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ +000dc940: 732e 7061 636b 6167 6573 270a 2020 7461  s.packages'.  ta
│ │ │ +000dc950: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +000dc960: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +000dc970: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +000dc980: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +000dc990: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +000dc9a0: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +000dc9b0: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +000dc9c0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +000dc9d0: 202d 2070 6163 6b61 6765 5f72 7379 736c   - package_rsysl
│ │ │ +000dc9e0: 6f67 5f69 6e73 7461 6c6c 6564 0a3c 2f63  og_installed.</c
│ │ │ +000dc9f0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +000dca00: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +000dca10: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +000dca20: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +000dca30: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +000dca40: 6964 6d31 3031 3135 2220 7461 6269 6e64  idm10115" tabind
│ │ │ +000dca50: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +000dca60: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +000dca70: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +000dca80: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +000dca90: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +000dcaa0: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ +000dcab0: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ +000dcac0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +000dcad0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +000dcae0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +000dcaf0: 646d 3130 3131 3522 3e3c 7461 626c 6520  dm10115"><table 
│ │ │ +000dcb00: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +000dcb10: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +000dcb20: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +000dcb30: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +000dcb40: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +000dcb50: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +000dcb60: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +000dcb70: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +000dcb80: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +000dcb90: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +000dcba0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +000dcbb0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +000dcbc0: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ +000dcbd0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +000dcbe0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +000dcbf0: 3e69 6e63 6c75 6465 2069 6e73 7461 6c6c  >include install
│ │ │ +000dcc00: 5f72 7379 736c 6f67 0a0a 636c 6173 7320  _rsyslog..class 
│ │ │ +000dcc10: 696e 7374 616c 6c5f 7273 7973 6c6f 6720  install_rsyslog 
│ │ │ +000dcc20: 7b0a 2020 7061 636b 6167 6520 7b20 2772  {.  package { 'r
│ │ │ +000dcc30: 7379 736c 6f67 273a 0a20 2020 2065 6e73  syslog':.    ens
│ │ │ +000dcc40: 7572 6520 3d26 6774 3b20 2769 6e73 7461  ure =&gt; 'insta
│ │ │ +000dcc50: 6c6c 6564 272c 0a20 207d 0a7d 0a3c 2f63  lled',.  }.}.</c
│ │ │ +000dcc60: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +000dcc70: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +000dcc80: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +000dcc90: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +000dcca0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +000dccb0: 6964 6d31 3031 3136 2220 7461 6269 6e64  idm10116" tabind
│ │ │ +000dccc0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +000dccd0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +000dcce0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +000dccf0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +000dcd00: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +000dcd10: 5265 6d65 6469 6174 696f 6e20 4f53 4275  Remediation OSBu
│ │ │ +000dcd20: 696c 6420 426c 7565 7072 696e 7420 736e  ild Blueprint sn
│ │ │ +000dcd30: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +000dcd40: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +000dcd50: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +000dcd60: 6170 7365 2220 6964 3d22 6964 6d31 3031  apse" id="idm101
│ │ │ +000dcd70: 3136 223e 3c70 7265 3e3c 636f 6465 3e0a  16"><pre><code>.
│ │ │ +000dcd80: 5b5b 7061 636b 6167 6573 5d5d 0a6e 616d  [[packages]].nam
│ │ │ +000dcd90: 6520 3d20 2272 7379 736c 6f67 220a 7665  e = "rsyslog".ve
│ │ │ +000dcda0: 7273 696f 6e20 3d20 222a 220a 3c2f 636f  rsion = "*".</co
│ │ │  000dcdb0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  000dcdc0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │  000dcdd0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │  000dcde0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │  000dcdf0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  000dce00: 646d 3130 3131 3722 2074 6162 696e 6465  dm10117" tabinde
│ │ │  000dce10: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ @@ -56820,150 +56820,150 @@
│ │ │  000ddf30: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  000ddf40: 3d22 2369 646d 3130 3230 3022 2074 6162  ="#idm10200" tab
│ │ │  000ddf50: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │  000ddf60: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │  000ddf70: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │  000ddf80: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │  000ddf90: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -000ddfa0: 2122 3e52 656d 6564 6961 7469 6f6e 204f  !">Remediation O
│ │ │ -000ddfb0: 5342 7569 6c64 2042 6c75 6570 7269 6e74  SBuild Blueprint
│ │ │ -000ddfc0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -000ddfd0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -000ddfe0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -000ddff0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -000de000: 3130 3230 3022 3e3c 7072 653e 3c63 6f64  10200"><pre><cod
│ │ │ -000de010: 653e 0a5b 6375 7374 6f6d 697a 6174 696f  e>.[customizatio
│ │ │ -000de020: 6e73 2e73 6572 7669 6365 735d 0a65 6e61  ns.services].ena
│ │ │ -000de030: 626c 6564 203d 205b 2272 7379 736c 6f67  bled = ["rsyslog
│ │ │ -000de040: 225d 0a3c 2f63 6f64 653e 3c2f 7072 653e  "].</code></pre>
│ │ │ -000de050: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -000de060: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -000de070: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -000de080: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -000de090: 6765 743d 2223 6964 6d31 3032 3031 2220  get="#idm10201" 
│ │ │ -000de0a0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -000de0b0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -000de0c0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -000de0d0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -000de0e0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -000de0f0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -000de100: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -000de110: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -000de120: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -000de130: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -000de140: 2069 643d 2269 646d 3130 3230 3122 3e3c   id="idm10201"><
│ │ │ -000de150: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -000de160: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -000de170: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -000de180: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -000de190: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -000de1a0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -000de1b0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -000de1c0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -000de1d0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -000de1e0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -000de1f0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -000de200: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -000de210: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -000de220: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -000de230: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -000de240: 3e3c 636f 6465 3e69 6e63 6c75 6465 2065  ><code>include e
│ │ │ -000de250: 6e61 626c 655f 7273 7973 6c6f 670a 0a63  nable_rsyslog..c
│ │ │ -000de260: 6c61 7373 2065 6e61 626c 655f 7273 7973  lass enable_rsys
│ │ │ -000de270: 6c6f 6720 7b0a 2020 7365 7276 6963 6520  log {.  service 
│ │ │ -000de280: 7b27 7273 7973 6c6f 6727 3a0a 2020 2020  {'rsyslog':.    
│ │ │ -000de290: 656e 6162 6c65 203d 2667 743b 2074 7275  enable =&gt; tru
│ │ │ -000de2a0: 652c 0a20 2020 2065 6e73 7572 6520 3d26  e,.    ensure =&
│ │ │ -000de2b0: 6774 3b20 2772 756e 6e69 6e67 272c 0a20  gt; 'running',. 
│ │ │ -000de2c0: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -000de2d0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -000de2e0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -000de2f0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -000de300: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -000de310: 6172 6765 743d 2223 6964 6d31 3032 3032  arget="#idm10202
│ │ │ -000de320: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -000de330: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -000de340: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -000de350: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -000de360: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -000de370: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -000de380: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -000de390: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -000de3a0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -000de3b0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -000de3c0: 7365 2220 6964 3d22 6964 6d31 3032 3032  se" id="idm10202
│ │ │ -000de3d0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -000de3e0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -000de3f0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -000de400: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -000de410: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -000de420: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -000de430: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -000de440: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -000de450: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -000de460: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -000de470: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -000de480: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -000de490: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -000de4a0: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -000de4b0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -000de4c0: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -000de4d0: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ -000de4e0: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ -000de4f0: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ -000de500: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ -000de510: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -000de520: 3030 2d35 332d 4155 2d34 2831 290a 2020  00-53-AU-4(1).  
│ │ │ -000de530: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -000de540: 2d36 2861 290a 2020 2d20 656e 6162 6c65  -6(a).  - enable
│ │ │ -000de550: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -000de560: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -000de570: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -000de580: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -000de590: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -000de5a0: 745f 6e65 6564 6564 0a20 202d 2073 6572  t_needed.  - ser
│ │ │ -000de5b0: 7669 6365 5f72 7379 736c 6f67 5f65 6e61  vice_rsyslog_ena
│ │ │ -000de5c0: 626c 6564 0a0a 2d20 6e61 6d65 3a20 456e  bled..- name: En
│ │ │ -000de5d0: 6162 6c65 2072 7379 736c 6f67 2053 6572  able rsyslog Ser
│ │ │ -000de5e0: 7669 6365 202d 2045 6e61 626c 6520 7365  vice - Enable se
│ │ │ -000de5f0: 7276 6963 6520 7273 7973 6c6f 670a 2020  rvice rsyslog.  
│ │ │ -000de600: 626c 6f63 6b3a 0a0a 2020 2d20 6e61 6d65  block:..  - name
│ │ │ -000de610: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ -000de620: 6b61 6765 2066 6163 7473 0a20 2020 2070  kage facts.    p
│ │ │ -000de630: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ -000de640: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ -000de650: 6f0a 0a20 202d 206e 616d 653a 2045 6e61  o..  - name: Ena
│ │ │ -000de660: 626c 6520 7273 7973 6c6f 6720 5365 7276  ble rsyslog Serv
│ │ │ -000de670: 6963 6520 2d20 456e 6162 6c65 2053 6572  ice - Enable Ser
│ │ │ -000de680: 7669 6365 2072 7379 736c 6f67 0a20 2020  vice rsyslog.   
│ │ │ -000de690: 2061 6e73 6962 6c65 2e62 7569 6c74 696e   ansible.builtin
│ │ │ -000de6a0: 2e73 7973 7465 6d64 3a0a 2020 2020 2020  .systemd:.      
│ │ │ -000de6b0: 6e61 6d65 3a20 7273 7973 6c6f 670a 2020  name: rsyslog.  
│ │ │ -000de6c0: 2020 2020 656e 6162 6c65 643a 2074 7275      enabled: tru
│ │ │ -000de6d0: 650a 2020 2020 2020 7374 6174 653a 2073  e.      state: s
│ │ │ -000de6e0: 7461 7274 6564 0a20 2020 2020 206d 6173  tarted.      mas
│ │ │ -000de6f0: 6b65 643a 2066 616c 7365 0a20 2020 2077  ked: false.    w
│ │ │ -000de700: 6865 6e3a 0a20 2020 202d 2027 2272 7379  hen:.    - '"rsy
│ │ │ -000de710: 736c 6f67 2220 696e 2061 6e73 6962 6c65  slog" in ansible
│ │ │ -000de720: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ -000de730: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ -000de740: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ -000de750: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -000de760: 270a 2020 7461 6773 3a0a 2020 2d20 4e49  '.  tags:.  - NI
│ │ │ -000de770: 5354 2d38 3030 2d35 332d 4155 2d34 2831  ST-800-53-AU-4(1
│ │ │ -000de780: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -000de790: 332d 434d 2d36 2861 290a 2020 2d20 656e  3-CM-6(a).  - en
│ │ │ -000de7a0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -000de7b0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -000de7c0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -000de7d0: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -000de7e0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -000de7f0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -000de800: 2073 6572 7669 6365 5f72 7379 736c 6f67   service_rsyslog
│ │ │ -000de810: 5f65 6e61 626c 6564 0a3c 2f63 6f64 653e  _enabled.</code>
│ │ │ +000ddfa0: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ +000ddfb0: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ +000ddfc0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +000ddfd0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +000ddfe0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +000ddff0: 643d 2269 646d 3130 3230 3022 3e3c 7461  d="idm10200"><ta
│ │ │ +000de000: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +000de010: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +000de020: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +000de030: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +000de040: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +000de050: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +000de060: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +000de070: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +000de080: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +000de090: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +000de0a0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +000de0b0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +000de0c0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +000de0d0: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ +000de0e0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +000de0f0: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ +000de100: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ +000de110: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ +000de120: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ +000de130: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ +000de140: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +000de150: 2d41 552d 3428 3129 0a20 202d 204e 4953  -AU-4(1).  - NIS
│ │ │ +000de160: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +000de170: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +000de180: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +000de190: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +000de1a0: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +000de1b0: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +000de1c0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +000de1d0: 6465 640a 2020 2d20 7365 7276 6963 655f  ded.  - service_
│ │ │ +000de1e0: 7273 7973 6c6f 675f 656e 6162 6c65 640a  rsyslog_enabled.
│ │ │ +000de1f0: 0a2d 206e 616d 653a 2045 6e61 626c 6520  .- name: Enable 
│ │ │ +000de200: 7273 7973 6c6f 6720 5365 7276 6963 6520  rsyslog Service 
│ │ │ +000de210: 2d20 456e 6162 6c65 2073 6572 7669 6365  - Enable service
│ │ │ +000de220: 2072 7379 736c 6f67 0a20 2062 6c6f 636b   rsyslog.  block
│ │ │ +000de230: 3a0a 0a20 202d 206e 616d 653a 2047 6174  :..  - name: Gat
│ │ │ +000de240: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ +000de250: 6661 6374 730a 2020 2020 7061 636b 6167  facts.    packag
│ │ │ +000de260: 655f 6661 6374 733a 0a20 2020 2020 206d  e_facts:.      m
│ │ │ +000de270: 616e 6167 6572 3a20 6175 746f 0a0a 2020  anager: auto..  
│ │ │ +000de280: 2d20 6e61 6d65 3a20 456e 6162 6c65 2072  - name: Enable r
│ │ │ +000de290: 7379 736c 6f67 2053 6572 7669 6365 202d  syslog Service -
│ │ │ +000de2a0: 2045 6e61 626c 6520 5365 7276 6963 6520   Enable Service 
│ │ │ +000de2b0: 7273 7973 6c6f 670a 2020 2020 616e 7369  rsyslog.    ansi
│ │ │ +000de2c0: 626c 652e 6275 696c 7469 6e2e 7379 7374  ble.builtin.syst
│ │ │ +000de2d0: 656d 643a 0a20 2020 2020 206e 616d 653a  emd:.      name:
│ │ │ +000de2e0: 2072 7379 736c 6f67 0a20 2020 2020 2065   rsyslog.      e
│ │ │ +000de2f0: 6e61 626c 6564 3a20 7472 7565 0a20 2020  nabled: true.   
│ │ │ +000de300: 2020 2073 7461 7465 3a20 7374 6172 7465     state: starte
│ │ │ +000de310: 640a 2020 2020 2020 6d61 736b 6564 3a20  d.      masked: 
│ │ │ +000de320: 6661 6c73 650a 2020 2020 7768 656e 3a0a  false.    when:.
│ │ │ +000de330: 2020 2020 2d20 2722 7273 7973 6c6f 6722      - '"rsyslog"
│ │ │ +000de340: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ +000de350: 732e 7061 636b 6167 6573 270a 2020 7768  s.packages'.  wh
│ │ │ +000de360: 656e 3a20 2722 6c69 6e75 782d 6261 7365  en: '"linux-base
│ │ │ +000de370: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ +000de380: 7473 2e70 6163 6b61 6765 7327 0a20 2074  ts.packages'.  t
│ │ │ +000de390: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +000de3a0: 302d 3533 2d41 552d 3428 3129 0a20 202d  0-53-AU-4(1).  -
│ │ │ +000de3b0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +000de3c0: 3628 6129 0a20 202d 2065 6e61 626c 655f  6(a).  - enable_
│ │ │ +000de3d0: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ +000de3e0: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +000de3f0: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +000de400: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ +000de410: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +000de420: 5f6e 6565 6465 640a 2020 2d20 7365 7276  _needed.  - serv
│ │ │ +000de430: 6963 655f 7273 7973 6c6f 675f 656e 6162  ice_rsyslog_enab
│ │ │ +000de440: 6c65 640a 3c2f 636f 6465 3e3c 2f70 7265  led.</code></pre
│ │ │ +000de450: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +000de460: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +000de470: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +000de480: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +000de490: 7267 6574 3d22 2369 646d 3130 3230 3122  rget="#idm10201"
│ │ │ +000de4a0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +000de4b0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +000de4c0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +000de4d0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +000de4e0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +000de4f0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +000de500: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +000de510: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +000de520: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +000de530: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +000de540: 2220 6964 3d22 6964 6d31 3032 3031 223e  " id="idm10201">
│ │ │ +000de550: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +000de560: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +000de570: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +000de580: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +000de590: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +000de5a0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +000de5b0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +000de5c0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +000de5d0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +000de5e0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +000de5f0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +000de600: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +000de610: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +000de620: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +000de630: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +000de640: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +000de650: 656e 6162 6c65 5f72 7379 736c 6f67 0a0a  enable_rsyslog..
│ │ │ +000de660: 636c 6173 7320 656e 6162 6c65 5f72 7379  class enable_rsy
│ │ │ +000de670: 736c 6f67 207b 0a20 2073 6572 7669 6365  slog {.  service
│ │ │ +000de680: 207b 2772 7379 736c 6f67 273a 0a20 2020   {'rsyslog':.   
│ │ │ +000de690: 2065 6e61 626c 6520 3d26 6774 3b20 7472   enable =&gt; tr
│ │ │ +000de6a0: 7565 2c0a 2020 2020 656e 7375 7265 203d  ue,.    ensure =
│ │ │ +000de6b0: 2667 743b 2027 7275 6e6e 696e 6727 2c0a  &gt; 'running',.
│ │ │ +000de6c0: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ +000de6d0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +000de6e0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +000de6f0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +000de700: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +000de710: 7461 7267 6574 3d22 2369 646d 3130 3230  target="#idm1020
│ │ │ +000de720: 3222 2074 6162 696e 6465 783d 2230 2220  2" tabindex="0" 
│ │ │ +000de730: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +000de740: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +000de750: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +000de760: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +000de770: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +000de780: 7469 6f6e 204f 5342 7569 6c64 2042 6c75  tion OSBuild Blu
│ │ │ +000de790: 6570 7269 6e74 2073 6e69 7070 6574 20e2  eprint snippet .
│ │ │ +000de7a0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +000de7b0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +000de7c0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +000de7d0: 643d 2269 646d 3130 3230 3222 3e3c 7072  d="idm10202"><pr
│ │ │ +000de7e0: 653e 3c63 6f64 653e 0a5b 6375 7374 6f6d  e><code>.[custom
│ │ │ +000de7f0: 697a 6174 696f 6e73 2e73 6572 7669 6365  izations.service
│ │ │ +000de800: 735d 0a65 6e61 626c 6564 203d 205b 2272  s].enabled = ["r
│ │ │ +000de810: 7379 736c 6f67 225d 0a3c 2f63 6f64 653e  syslog"].</code>
│ │ │  000de820: 3c2f 7072 653e 3c2f 6469 763e 3c2f 6469  </pre></div></di
│ │ │  000de830: 763e 3c2f 7464 3e3c 2f74 723e 3c2f 7462  v></td></tr></tb
│ │ │  000de840: 6f64 793e 3c2f 7461 626c 653e 3c2f 7464  ody></table></td
│ │ │  000de850: 3e3c 2f74 723e 3c74 7220 6461 7461 2d74  ></tr><tr data-t
│ │ │  000de860: 742d 6964 3d22 6368 696c 6472 656e 2d78  t-id="children-x
│ │ │  000de870: 6363 6466 5f6f 7267 2e73 7367 7072 6f6a  ccdf_org.ssgproj
│ │ │  000de880: 6563 742e 636f 6e74 656e 745f 6772 6f75  ect.content_grou
│ │ │ @@ -118465,94 +118465,94 @@
│ │ │  001cec00: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  001cec10: 6d32 3030 3435 2220 7461 6269 6e64 6578  m20045" tabindex
│ │ │  001cec20: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │  001cec30: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │  001cec40: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │  001cec50: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │  001cec60: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -001cec70: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -001cec80: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -001cec90: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -001ceca0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -001cecb0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -001cecc0: 3230 3034 3522 3e3c 7461 626c 6520 636c  20045"><table cl
│ │ │ -001cecd0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -001cece0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -001cecf0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -001ced00: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -001ced10: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -001ced20: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -001ced30: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -001ced40: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -001ced50: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -001ced60: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -001ced70: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -001ced80: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -001ced90: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -001ceda0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -001cedb0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -001cedc0: 696e 636c 7564 6520 7265 6d6f 7665 5f64  include remove_d
│ │ │ -001cedd0: 6863 700a 0a63 6c61 7373 2072 656d 6f76  hcp..class remov
│ │ │ -001cede0: 655f 6468 6370 207b 0a20 2070 6163 6b61  e_dhcp {.  packa
│ │ │ -001cedf0: 6765 207b 2027 6468 6370 273a 0a20 2020  ge { 'dhcp':.   
│ │ │ -001cee00: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ -001cee10: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │ -001cee20: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -001cee30: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -001cee40: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -001cee50: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -001cee60: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -001cee70: 2369 646d 3230 3034 3622 2074 6162 696e  #idm20046" tabin
│ │ │ -001cee80: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -001cee90: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -001ceea0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -001ceeb0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -001ceec0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -001ceed0: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -001ceee0: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -001ceef0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -001cef00: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -001cef10: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -001cef20: 2269 646d 3230 3034 3622 3e3c 7461 626c  "idm20046"><tabl
│ │ │ -001cef30: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -001cef40: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -001cef50: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -001cef60: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -001cef70: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -001cef80: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -001cef90: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -001cefa0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -001cefb0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -001cefc0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -001cefd0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -001cefe0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -001ceff0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -001cf000: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -001cf010: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -001cf020: 6f64 653e 2d20 6e61 6d65 3a20 456e 7375  ode>- name: Ensu
│ │ │ -001cf030: 7265 2064 6863 7020 6973 2072 656d 6f76  re dhcp is remov
│ │ │ -001cf040: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ -001cf050: 2020 6e61 6d65 3a20 6468 6370 0a20 2020    name: dhcp.   
│ │ │ -001cf060: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ -001cf070: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -001cf080: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -001cf090: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -001cf0a0: 4d2d 3728 6129 0a20 202d 204e 4953 542d  M-7(a).  - NIST-
│ │ │ -001cf0b0: 3830 302d 3533 2d43 4d2d 3728 6229 0a20  800-53-CM-7(b). 
│ │ │ -001cf0c0: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ -001cf0d0: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -001cf0e0: 2e32 2e34 0a20 202d 2064 6973 6162 6c65  .2.4.  - disable
│ │ │ -001cf0f0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -001cf100: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -001cf110: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -001cf120: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -001cf130: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -001cf140: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -001cf150: 6b61 6765 5f64 6863 705f 7265 6d6f 7665  kage_dhcp_remove
│ │ │ -001cf160: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +001cec70: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ +001cec80: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ +001cec90: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +001ceca0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +001cecb0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +001cecc0: 6d32 3030 3435 223e 3c74 6162 6c65 2063  m20045"><table c
│ │ │ +001cecd0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +001cece0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +001cecf0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +001ced00: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +001ced10: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +001ced20: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +001ced30: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +001ced40: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +001ced50: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +001ced60: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +001ced70: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +001ced80: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +001ced90: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +001ceda0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +001cedb0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +001cedc0: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ +001cedd0: 6468 6370 2069 7320 7265 6d6f 7665 640a  dhcp is removed.
│ │ │ +001cede0: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ +001cedf0: 616d 653a 2064 6863 700a 2020 2020 7374  ame: dhcp.    st
│ │ │ +001cee00: 6174 653a 2061 6273 656e 740a 2020 7461  ate: absent.  ta
│ │ │ +001cee10: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +001cee20: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +001cee30: 4e49 5354 2d38 3030 2d35 332d 434d 2d37  NIST-800-53-CM-7
│ │ │ +001cee40: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ +001cee50: 2d35 332d 434d 2d37 2862 290a 2020 2d20  -53-CM-7(b).  - 
│ │ │ +001cee60: 5043 492d 4453 5376 342d 322e 320a 2020  PCI-DSSv4-2.2.  
│ │ │ +001cee70: 2d20 5043 492d 4453 5376 342d 322e 322e  - PCI-DSSv4-2.2.
│ │ │ +001cee80: 340a 2020 2d20 6469 7361 626c 655f 7374  4.  - disable_st
│ │ │ +001cee90: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +001ceea0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +001ceeb0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +001ceec0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +001ceed0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +001ceee0: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +001ceef0: 655f 6468 6370 5f72 656d 6f76 6564 0a3c  e_dhcp_removed.<
│ │ │ +001cef00: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +001cef10: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +001cef20: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +001cef30: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +001cef40: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +001cef50: 2223 6964 6d32 3030 3436 2220 7461 6269  "#idm20046" tabi
│ │ │ +001cef60: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +001cef70: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +001cef80: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +001cef90: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +001cefa0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +001cefb0: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +001cefc0: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +001cefd0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +001cefe0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +001ceff0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +001cf000: 2269 646d 3230 3034 3622 3e3c 7461 626c  "idm20046"><tabl
│ │ │ +001cf010: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +001cf020: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +001cf030: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +001cf040: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +001cf050: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +001cf060: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +001cf070: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +001cf080: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +001cf090: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +001cf0a0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +001cf0b0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +001cf0c0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +001cf0d0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +001cf0e0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +001cf0f0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +001cf100: 6f64 653e 696e 636c 7564 6520 7265 6d6f  ode>include remo
│ │ │ +001cf110: 7665 5f64 6863 700a 0a63 6c61 7373 2072  ve_dhcp..class r
│ │ │ +001cf120: 656d 6f76 655f 6468 6370 207b 0a20 2070  emove_dhcp {.  p
│ │ │ +001cf130: 6163 6b61 6765 207b 2027 6468 6370 273a  ackage { 'dhcp':
│ │ │ +001cf140: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +001cf150: 3b20 2770 7572 6765 6427 2c0a 2020 7d0a  ; 'purged',.  }.
│ │ │ +001cf160: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │  001cf170: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │  001cf180: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │  001cf190: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │  001cf1a0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │  001cf1b0: 6574 3d22 2369 646d 3230 3034 3722 2074  et="#idm20047" t
│ │ │  001cf1c0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  001cf1d0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ @@ -118718,86 +118718,86 @@
│ │ │  001cfbd0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  001cfbe0: 3230 3035 3722 2074 6162 696e 6465 783d  20057" tabindex=
│ │ │  001cfbf0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │  001cfc00: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │  001cfc10: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │  001cfc20: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │  001cfc30: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -001cfc40: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ -001cfc50: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -001cfc60: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -001cfc70: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -001cfc80: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -001cfc90: 3030 3537 223e 3c74 6162 6c65 2063 6c61  0057"><table cla
│ │ │ -001cfca0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -001cfcb0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -001cfcc0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -001cfcd0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -001cfce0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -001cfcf0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -001cfd00: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -001cfd10: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -001cfd20: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -001cfd30: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -001cfd40: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -001cfd50: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -001cfd60: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -001cfd70: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -001cfd80: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ -001cfd90: 6e63 6c75 6465 2072 656d 6f76 655f 6b65  nclude remove_ke
│ │ │ -001cfda0: 610a 0a63 6c61 7373 2072 656d 6f76 655f  a..class remove_
│ │ │ -001cfdb0: 6b65 6120 7b0a 2020 7061 636b 6167 6520  kea {.  package 
│ │ │ -001cfdc0: 7b20 276b 6561 273a 0a20 2020 2065 6e73  { 'kea':.    ens
│ │ │ -001cfdd0: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ -001cfde0: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │ -001cfdf0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -001cfe00: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -001cfe10: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -001cfe20: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -001cfe30: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -001cfe40: 3230 3035 3822 2074 6162 696e 6465 783d  20058" tabindex=
│ │ │ -001cfe50: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -001cfe60: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -001cfe70: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -001cfe80: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -001cfe90: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -001cfea0: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ -001cfeb0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -001cfec0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -001cfed0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -001cfee0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -001cfef0: 3230 3035 3822 3e3c 7461 626c 6520 636c  20058"><table cl
│ │ │ -001cff00: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -001cff10: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -001cff20: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -001cff30: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -001cff40: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -001cff50: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -001cff60: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -001cff70: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -001cff80: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -001cff90: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -001cffa0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -001cffb0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -001cffc0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -001cffd0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -001cffe0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -001cfff0: 2d20 6e61 6d65 3a20 456e 7375 7265 206b  - name: Ensure k
│ │ │ -001d0000: 6561 2069 7320 7265 6d6f 7665 640a 2020  ea is removed.  
│ │ │ -001d0010: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ -001d0020: 653a 206b 6561 0a20 2020 2073 7461 7465  e: kea.    state
│ │ │ -001d0030: 3a20 6162 7365 6e74 0a20 2074 6167 733a  : absent.  tags:
│ │ │ -001d0040: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ -001d0050: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -001d0060: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -001d0070: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -001d0080: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -001d0090: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -001d00a0: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -001d00b0: 5f6b 6561 5f72 656d 6f76 6564 0a3c 2f63  _kea_removed.</c
│ │ │ +001cfc40: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ +001cfc50: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +001cfc60: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +001cfc70: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +001cfc80: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +001cfc90: 3230 3035 3722 3e3c 7461 626c 6520 636c  20057"><table cl
│ │ │ +001cfca0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +001cfcb0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +001cfcc0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +001cfcd0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +001cfce0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +001cfcf0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +001cfd00: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +001cfd10: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +001cfd20: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +001cfd30: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +001cfd40: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +001cfd50: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +001cfd60: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +001cfd70: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +001cfd80: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +001cfd90: 2d20 6e61 6d65 3a20 456e 7375 7265 206b  - name: Ensure k
│ │ │ +001cfda0: 6561 2069 7320 7265 6d6f 7665 640a 2020  ea is removed.  
│ │ │ +001cfdb0: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ +001cfdc0: 653a 206b 6561 0a20 2020 2073 7461 7465  e: kea.    state
│ │ │ +001cfdd0: 3a20 6162 7365 6e74 0a20 2074 6167 733a  : absent.  tags:
│ │ │ +001cfde0: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ +001cfdf0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +001cfe00: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +001cfe10: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +001cfe20: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +001cfe30: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +001cfe40: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +001cfe50: 5f6b 6561 5f72 656d 6f76 6564 0a3c 2f63  _kea_removed.</c
│ │ │ +001cfe60: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +001cfe70: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +001cfe80: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +001cfe90: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +001cfea0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +001cfeb0: 6964 6d32 3030 3538 2220 7461 6269 6e64  idm20058" tabind
│ │ │ +001cfec0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +001cfed0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +001cfee0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +001cfef0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +001cff00: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +001cff10: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ +001cff20: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ +001cff30: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +001cff40: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +001cff50: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +001cff60: 646d 3230 3035 3822 3e3c 7461 626c 6520  dm20058"><table 
│ │ │ +001cff70: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +001cff80: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +001cff90: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +001cffa0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +001cffb0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +001cffc0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001cffd0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +001cffe0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +001cfff0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +001d0000: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +001d0010: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +001d0020: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +001d0030: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +001d0040: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +001d0050: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +001d0060: 653e 696e 636c 7564 6520 7265 6d6f 7665  e>include remove
│ │ │ +001d0070: 5f6b 6561 0a0a 636c 6173 7320 7265 6d6f  _kea..class remo
│ │ │ +001d0080: 7665 5f6b 6561 207b 0a20 2070 6163 6b61  ve_kea {.  packa
│ │ │ +001d0090: 6765 207b 2027 6b65 6127 3a0a 2020 2020  ge { 'kea':.    
│ │ │ +001d00a0: 656e 7375 7265 203d 2667 743b 2027 7075  ensure =&gt; 'pu
│ │ │ +001d00b0: 7267 6564 272c 0a20 207d 0a7d 0a3c 2f63  rged',.  }.}.</c
│ │ │  001d00c0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │  001d00d0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │  001d00e0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │  001d00f0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │  001d0100: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  001d0110: 6964 6d32 3030 3539 2220 7461 6269 6e64  idm20059" tabind
│ │ │  001d0120: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ @@ -119935,113 +119935,113 @@
│ │ │  001d47e0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  001d47f0: 2223 6964 6d32 3032 3136 2220 7461 6269  "#idm20216" tabi
│ │ │  001d4800: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │  001d4810: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │  001d4820: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │  001d4830: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │  001d4840: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -001d4850: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ -001d4860: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ -001d4870: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -001d4880: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -001d4890: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -001d48a0: 2269 646d 3230 3231 3622 3e3c 7461 626c  "idm20216"><tabl
│ │ │ -001d48b0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -001d48c0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -001d48d0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -001d48e0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -001d48f0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -001d4900: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -001d4910: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -001d4920: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -001d4930: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -001d4940: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -001d4950: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -001d4960: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -001d4970: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -001d4980: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -001d4990: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -001d49a0: 6f64 653e 696e 636c 7564 6520 7265 6d6f  ode>include remo
│ │ │ -001d49b0: 7665 5f73 656e 646d 6169 6c0a 0a63 6c61  ve_sendmail..cla
│ │ │ -001d49c0: 7373 2072 656d 6f76 655f 7365 6e64 6d61  ss remove_sendma
│ │ │ -001d49d0: 696c 207b 0a20 2070 6163 6b61 6765 207b  il {.  package {
│ │ │ -001d49e0: 2027 7365 6e64 6d61 696c 273a 0a20 2020   'sendmail':.   
│ │ │ -001d49f0: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ -001d4a00: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │ -001d4a10: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -001d4a20: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -001d4a30: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -001d4a40: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -001d4a50: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -001d4a60: 2369 646d 3230 3231 3722 2074 6162 696e  #idm20217" tabin
│ │ │ -001d4a70: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -001d4a80: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -001d4a90: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -001d4aa0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -001d4ab0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -001d4ac0: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -001d4ad0: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -001d4ae0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -001d4af0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -001d4b00: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -001d4b10: 2269 646d 3230 3231 3722 3e3c 7461 626c  "idm20217"><tabl
│ │ │ -001d4b20: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -001d4b30: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -001d4b40: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -001d4b50: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -001d4b60: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -001d4b70: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -001d4b80: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -001d4b90: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -001d4ba0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -001d4bb0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -001d4bc0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -001d4bd0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -001d4be0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -001d4bf0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -001d4c00: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -001d4c10: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ -001d4c20: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ -001d4c30: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ -001d4c40: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ -001d4c50: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ -001d4c60: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -001d4c70: 434d 2d36 2861 290a 2020 2d20 4e49 5354  CM-6(a).  - NIST
│ │ │ -001d4c80: 2d38 3030 2d35 332d 434d 2d37 2861 290a  -800-53-CM-7(a).
│ │ │ -001d4c90: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -001d4ca0: 434d 2d37 2862 290a 2020 2d20 6469 7361  CM-7(b).  - disa
│ │ │ -001d4cb0: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -001d4cc0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -001d4cd0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -001d4ce0: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ -001d4cf0: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ -001d4d00: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -001d4d10: 7061 636b 6167 655f 7365 6e64 6d61 696c  package_sendmail
│ │ │ -001d4d20: 5f72 656d 6f76 6564 0a0a 2d20 6e61 6d65  _removed..- name
│ │ │ -001d4d30: 3a20 456e 7375 7265 2073 656e 646d 6169  : Ensure sendmai
│ │ │ -001d4d40: 6c20 6973 2072 656d 6f76 6564 0a20 2070  l is removed.  p
│ │ │ -001d4d50: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -001d4d60: 3a20 7365 6e64 6d61 696c 0a20 2020 2073  : sendmail.    s
│ │ │ -001d4d70: 7461 7465 3a20 6162 7365 6e74 0a20 2077  tate: absent.  w
│ │ │ -001d4d80: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ -001d4d90: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ -001d4da0: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -001d4db0: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -001d4dc0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ -001d4dd0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -001d4de0: 2d37 2861 290a 2020 2d20 4e49 5354 2d38  -7(a).  - NIST-8
│ │ │ -001d4df0: 3030 2d35 332d 434d 2d37 2862 290a 2020  00-53-CM-7(b).  
│ │ │ -001d4e00: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ -001d4e10: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -001d4e20: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -001d4e30: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ -001d4e40: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ -001d4e50: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -001d4e60: 640a 2020 2d20 7061 636b 6167 655f 7365  d.  - package_se
│ │ │ -001d4e70: 6e64 6d61 696c 5f72 656d 6f76 6564 0a3c  ndmail_removed.<
│ │ │ +001d4850: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ +001d4860: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ +001d4870: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +001d4880: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +001d4890: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +001d48a0: 3d22 6964 6d32 3032 3136 223e 3c74 6162  ="idm20216"><tab
│ │ │ +001d48b0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +001d48c0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +001d48d0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +001d48e0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +001d48f0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +001d4900: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +001d4910: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +001d4920: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +001d4930: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +001d4940: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +001d4950: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +001d4960: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +001d4970: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +001d4980: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ +001d4990: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +001d49a0: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ +001d49b0: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ +001d49c0: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ +001d49d0: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ +001d49e0: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ +001d49f0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +001d4a00: 2d43 4d2d 3628 6129 0a20 202d 204e 4953  -CM-6(a).  - NIS
│ │ │ +001d4a10: 542d 3830 302d 3533 2d43 4d2d 3728 6129  T-800-53-CM-7(a)
│ │ │ +001d4a20: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +001d4a30: 2d43 4d2d 3728 6229 0a20 202d 2064 6973  -CM-7(b).  - dis
│ │ │ +001d4a40: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +001d4a50: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +001d4a60: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +001d4a70: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +001d4a80: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +001d4a90: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +001d4aa0: 2070 6163 6b61 6765 5f73 656e 646d 6169   package_sendmai
│ │ │ +001d4ab0: 6c5f 7265 6d6f 7665 640a 0a2d 206e 616d  l_removed..- nam
│ │ │ +001d4ac0: 653a 2045 6e73 7572 6520 7365 6e64 6d61  e: Ensure sendma
│ │ │ +001d4ad0: 696c 2069 7320 7265 6d6f 7665 640a 2020  il is removed.  
│ │ │ +001d4ae0: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ +001d4af0: 653a 2073 656e 646d 6169 6c0a 2020 2020  e: sendmail.    
│ │ │ +001d4b00: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ +001d4b10: 7768 656e 3a20 2722 6c69 6e75 782d 6261  when: '"linux-ba
│ │ │ +001d4b20: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ +001d4b30: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ +001d4b40: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ +001d4b50: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ +001d4b60: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +001d4b70: 4d2d 3728 6129 0a20 202d 204e 4953 542d  M-7(a).  - NIST-
│ │ │ +001d4b80: 3830 302d 3533 2d43 4d2d 3728 6229 0a20  800-53-CM-7(b). 
│ │ │ +001d4b90: 202d 2064 6973 6162 6c65 5f73 7472 6174   - disable_strat
│ │ │ +001d4ba0: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ +001d4bb0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +001d4bc0: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ +001d4bd0: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ +001d4be0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +001d4bf0: 6564 0a20 202d 2070 6163 6b61 6765 5f73  ed.  - package_s
│ │ │ +001d4c00: 656e 646d 6169 6c5f 7265 6d6f 7665 640a  endmail_removed.
│ │ │ +001d4c10: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +001d4c20: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +001d4c30: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +001d4c40: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +001d4c50: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +001d4c60: 3d22 2369 646d 3230 3231 3722 2074 6162  ="#idm20217" tab
│ │ │ +001d4c70: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +001d4c80: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +001d4c90: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +001d4ca0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +001d4cb0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +001d4cc0: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ +001d4cd0: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ +001d4ce0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +001d4cf0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +001d4d00: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +001d4d10: 3d22 6964 6d32 3032 3137 223e 3c74 6162  ="idm20217"><tab
│ │ │ +001d4d20: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +001d4d30: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +001d4d40: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +001d4d50: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +001d4d60: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +001d4d70: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +001d4d80: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +001d4d90: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +001d4da0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +001d4db0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +001d4dc0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +001d4dd0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +001d4de0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +001d4df0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ +001d4e00: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +001d4e10: 636f 6465 3e69 6e63 6c75 6465 2072 656d  code>include rem
│ │ │ +001d4e20: 6f76 655f 7365 6e64 6d61 696c 0a0a 636c  ove_sendmail..cl
│ │ │ +001d4e30: 6173 7320 7265 6d6f 7665 5f73 656e 646d  ass remove_sendm
│ │ │ +001d4e40: 6169 6c20 7b0a 2020 7061 636b 6167 6520  ail {.  package 
│ │ │ +001d4e50: 7b20 2773 656e 646d 6169 6c27 3a0a 2020  { 'sendmail':.  
│ │ │ +001d4e60: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +001d4e70: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │  001d4e80: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  001d4e90: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │  001d4ea0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │  001d4eb0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │  001d4ec0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  001d4ed0: 2223 6964 6d32 3032 3138 2220 7461 6269  "#idm20218" tabi
│ │ │  001d4ee0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ @@ -120548,132 +120548,132 @@
│ │ │  001d6e30: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  001d6e40: 646d 3230 3437 3522 2074 6162 696e 6465  dm20475" tabinde
│ │ │  001d6e50: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  001d6e60: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  001d6e70: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  001d6e80: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  001d6e90: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -001d6ea0: 656d 6564 6961 7469 6f6e 204f 5342 7569  emediation OSBui
│ │ │ -001d6eb0: 6c64 2042 6c75 6570 7269 6e74 2073 6e69  ld Blueprint sni
│ │ │ -001d6ec0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -001d6ed0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -001d6ee0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -001d6ef0: 7073 6522 2069 643d 2269 646d 3230 3437  pse" id="idm2047
│ │ │ -001d6f00: 3522 3e3c 7072 653e 3c63 6f64 653e 0a5b  5"><pre><code>.[
│ │ │ -001d6f10: 5b70 6163 6b61 6765 735d 5d0a 6e61 6d65  [packages]].name
│ │ │ -001d6f20: 203d 2022 6368 726f 6e79 220a 7665 7273   = "chrony".vers
│ │ │ -001d6f30: 696f 6e20 3d20 222a 220a 3c2f 636f 6465  ion = "*".</code
│ │ │ -001d6f40: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -001d6f50: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -001d6f60: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -001d6f70: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -001d6f80: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -001d6f90: 3230 3437 3622 2074 6162 696e 6465 783d  20476" tabindex=
│ │ │ -001d6fa0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -001d6fb0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -001d6fc0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -001d6fd0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -001d6fe0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -001d6ff0: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ -001d7000: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -001d7010: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -001d7020: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -001d7030: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -001d7040: 3034 3736 223e 3c74 6162 6c65 2063 6c61  0476"><table cla
│ │ │ -001d7050: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -001d7060: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -001d7070: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -001d7080: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -001d7090: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -001d70a0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -001d70b0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -001d70c0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -001d70d0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -001d70e0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -001d70f0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -001d7100: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -001d7110: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -001d7120: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -001d7130: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -001d7140: 636c 7564 6520 696e 7374 616c 6c5f 6368  clude install_ch
│ │ │ -001d7150: 726f 6e79 0a0a 636c 6173 7320 696e 7374  rony..class inst
│ │ │ -001d7160: 616c 6c5f 6368 726f 6e79 207b 0a20 2070  all_chrony {.  p
│ │ │ -001d7170: 6163 6b61 6765 207b 2027 6368 726f 6e79  ackage { 'chrony
│ │ │ -001d7180: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ -001d7190: 6774 3b20 2769 6e73 7461 6c6c 6564 272c  gt; 'installed',
│ │ │ -001d71a0: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │ -001d71b0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -001d71c0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -001d71d0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -001d71e0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -001d71f0: 2d74 6172 6765 743d 2223 6964 6d32 3034  -target="#idm204
│ │ │ -001d7200: 3737 2220 7461 6269 6e64 6578 3d22 3022  77" tabindex="0"
│ │ │ -001d7210: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -001d7220: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -001d7230: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -001d7240: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -001d7250: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -001d7260: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ -001d7270: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -001d7280: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -001d7290: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -001d72a0: 6170 7365 2220 6964 3d22 6964 6d32 3034  apse" id="idm204
│ │ │ -001d72b0: 3737 223e 3c74 6162 6c65 2063 6c61 7373  77"><table class
│ │ │ -001d72c0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -001d72d0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -001d72e0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -001d72f0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -001d7300: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -001d7310: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -001d7320: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -001d7330: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -001d7340: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001d7350: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -001d7360: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -001d7370: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -001d7380: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ -001d7390: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -001d73a0: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ -001d73b0: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ -001d73c0: 6163 6b61 6765 2066 6163 7473 0a20 2070  ackage facts.  p
│ │ │ -001d73d0: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ -001d73e0: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ -001d73f0: 2020 7461 6773 3a0a 2020 2d20 5043 492d    tags:.  - PCI-
│ │ │ -001d7400: 4453 532d 5265 712d 3130 2e34 0a20 202d  DSS-Req-10.4.  -
│ │ │ -001d7410: 2050 4349 2d44 5353 7634 2d31 302e 360a   PCI-DSSv4-10.6.
│ │ │ -001d7420: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ -001d7430: 2e36 2e31 0a20 202d 2065 6e61 626c 655f  .6.1.  - enable_
│ │ │ -001d7440: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -001d7450: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -001d7460: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -001d7470: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ -001d7480: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -001d7490: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -001d74a0: 6167 655f 6368 726f 6e79 5f69 6e73 7461  age_chrony_insta
│ │ │ -001d74b0: 6c6c 6564 0a0a 2d20 6e61 6d65 3a20 456e  lled..- name: En
│ │ │ -001d74c0: 7375 7265 2063 6872 6f6e 7920 6973 2069  sure chrony is i
│ │ │ -001d74d0: 6e73 7461 6c6c 6564 0a20 2070 6163 6b61  nstalled.  packa
│ │ │ -001d74e0: 6765 3a0a 2020 2020 6e61 6d65 3a20 6368  ge:.    name: ch
│ │ │ -001d74f0: 726f 6e79 0a20 2020 2073 7461 7465 3a20  rony.    state: 
│ │ │ -001d7500: 7072 6573 656e 740a 2020 7768 656e 3a20  present.  when: 
│ │ │ -001d7510: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ -001d7520: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -001d7530: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ -001d7540: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -001d7550: 2d31 302e 340a 2020 2d20 5043 492d 4453  -10.4.  - PCI-DS
│ │ │ -001d7560: 5376 342d 3130 2e36 0a20 202d 2050 4349  Sv4-10.6.  - PCI
│ │ │ -001d7570: 2d44 5353 7634 2d31 302e 362e 310a 2020  -DSSv4-10.6.1.  
│ │ │ -001d7580: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -001d7590: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -001d75a0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -001d75b0: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -001d75c0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -001d75d0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -001d75e0: 0a20 202d 2070 6163 6b61 6765 5f63 6872  .  - package_chr
│ │ │ -001d75f0: 6f6e 795f 696e 7374 616c 6c65 640a 3c2f  ony_installed.</
│ │ │ +001d6ea0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +001d6eb0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +001d6ec0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +001d6ed0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +001d6ee0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +001d6ef0: 646d 3230 3437 3522 3e3c 7461 626c 6520  dm20475"><table 
│ │ │ +001d6f00: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +001d6f10: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +001d6f20: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +001d6f30: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +001d6f40: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +001d6f50: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001d6f60: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +001d6f70: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +001d6f80: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +001d6f90: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +001d6fa0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +001d6fb0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +001d6fc0: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ +001d6fd0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +001d6fe0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +001d6ff0: 3e2d 206e 616d 653a 2047 6174 6865 7220  >- name: Gather 
│ │ │ +001d7000: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ +001d7010: 730a 2020 7061 636b 6167 655f 6661 6374  s.  package_fact
│ │ │ +001d7020: 733a 0a20 2020 206d 616e 6167 6572 3a20  s:.    manager: 
│ │ │ +001d7030: 6175 746f 0a20 2074 6167 733a 0a20 202d  auto.  tags:.  -
│ │ │ +001d7040: 2050 4349 2d44 5353 2d52 6571 2d31 302e   PCI-DSS-Req-10.
│ │ │ +001d7050: 340a 2020 2d20 5043 492d 4453 5376 342d  4.  - PCI-DSSv4-
│ │ │ +001d7060: 3130 2e36 0a20 202d 2050 4349 2d44 5353  10.6.  - PCI-DSS
│ │ │ +001d7070: 7634 2d31 302e 362e 310a 2020 2d20 656e  v4-10.6.1.  - en
│ │ │ +001d7080: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +001d7090: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +001d70a0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +001d70b0: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +001d70c0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +001d70d0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +001d70e0: 2070 6163 6b61 6765 5f63 6872 6f6e 795f   package_chrony_
│ │ │ +001d70f0: 696e 7374 616c 6c65 640a 0a2d 206e 616d  installed..- nam
│ │ │ +001d7100: 653a 2045 6e73 7572 6520 6368 726f 6e79  e: Ensure chrony
│ │ │ +001d7110: 2069 7320 696e 7374 616c 6c65 640a 2020   is installed.  
│ │ │ +001d7120: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ +001d7130: 653a 2063 6872 6f6e 790a 2020 2020 7374  e: chrony.    st
│ │ │ +001d7140: 6174 653a 2070 7265 7365 6e74 0a20 2077  ate: present.  w
│ │ │ +001d7150: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ +001d7160: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ +001d7170: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ +001d7180: 7461 6773 3a0a 2020 2d20 5043 492d 4453  tags:.  - PCI-DS
│ │ │ +001d7190: 532d 5265 712d 3130 2e34 0a20 202d 2050  S-Req-10.4.  - P
│ │ │ +001d71a0: 4349 2d44 5353 7634 2d31 302e 360a 2020  CI-DSSv4-10.6.  
│ │ │ +001d71b0: 2d20 5043 492d 4453 5376 342d 3130 2e36  - PCI-DSSv4-10.6
│ │ │ +001d71c0: 2e31 0a20 202d 2065 6e61 626c 655f 7374  .1.  - enable_st
│ │ │ +001d71d0: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +001d71e0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +001d71f0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +001d7200: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +001d7210: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +001d7220: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +001d7230: 655f 6368 726f 6e79 5f69 6e73 7461 6c6c  e_chrony_install
│ │ │ +001d7240: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +001d7250: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +001d7260: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +001d7270: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +001d7280: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +001d7290: 6765 743d 2223 6964 6d32 3034 3736 2220  get="#idm20476" 
│ │ │ +001d72a0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +001d72b0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +001d72c0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +001d72d0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +001d72e0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +001d72f0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +001d7300: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ +001d7310: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +001d7320: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +001d7330: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +001d7340: 2069 643d 2269 646d 3230 3437 3622 3e3c   id="idm20476"><
│ │ │ +001d7350: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +001d7360: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +001d7370: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +001d7380: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +001d7390: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +001d73a0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +001d73b0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001d73c0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +001d73d0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +001d73e0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +001d73f0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +001d7400: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001d7410: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +001d7420: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +001d7430: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +001d7440: 3e3c 636f 6465 3e69 6e63 6c75 6465 2069  ><code>include i
│ │ │ +001d7450: 6e73 7461 6c6c 5f63 6872 6f6e 790a 0a63  nstall_chrony..c
│ │ │ +001d7460: 6c61 7373 2069 6e73 7461 6c6c 5f63 6872  lass install_chr
│ │ │ +001d7470: 6f6e 7920 7b0a 2020 7061 636b 6167 6520  ony {.  package 
│ │ │ +001d7480: 7b20 2763 6872 6f6e 7927 3a0a 2020 2020  { 'chrony':.    
│ │ │ +001d7490: 656e 7375 7265 203d 2667 743b 2027 696e  ensure =&gt; 'in
│ │ │ +001d74a0: 7374 616c 6c65 6427 2c0a 2020 7d0a 7d0a  stalled',.  }.}.
│ │ │ +001d74b0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +001d74c0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +001d74d0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +001d74e0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +001d74f0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +001d7500: 3d22 2369 646d 3230 3437 3722 2074 6162  ="#idm20477" tab
│ │ │ +001d7510: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +001d7520: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +001d7530: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +001d7540: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +001d7550: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +001d7560: 2122 3e52 656d 6564 6961 7469 6f6e 204f  !">Remediation O
│ │ │ +001d7570: 5342 7569 6c64 2042 6c75 6570 7269 6e74  SBuild Blueprint
│ │ │ +001d7580: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +001d7590: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +001d75a0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +001d75b0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +001d75c0: 3230 3437 3722 3e3c 7072 653e 3c63 6f64  20477"><pre><cod
│ │ │ +001d75d0: 653e 0a5b 5b70 6163 6b61 6765 735d 5d0a  e>.[[packages]].
│ │ │ +001d75e0: 6e61 6d65 203d 2022 6368 726f 6e79 220a  name = "chrony".
│ │ │ +001d75f0: 7665 7273 696f 6e20 3d20 222a 220a 3c2f  version = "*".</
│ │ │  001d7600: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │  001d7610: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │  001d7620: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │  001d7630: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │  001d7640: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  001d7650: 2369 646d 3230 3437 3822 2074 6162 696e  #idm20478" tabin
│ │ │  001d7660: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ @@ -122689,117 +122689,117 @@
│ │ │  001df400: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  001df410: 3d22 2369 646d 3230 3837 3622 2074 6162  ="#idm20876" tab
│ │ │  001df420: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │  001df430: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │  001df440: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │  001df450: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │  001df460: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -001df470: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -001df480: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -001df490: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -001df4a0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -001df4b0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -001df4c0: 3d22 6964 6d32 3038 3736 223e 3c74 6162  ="idm20876"><tab
│ │ │ -001df4d0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -001df4e0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -001df4f0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -001df500: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -001df510: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -001df520: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -001df530: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -001df540: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -001df550: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -001df560: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -001df570: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -001df580: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -001df590: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -001df5a0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -001df5b0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -001df5c0: 636f 6465 3e69 6e63 6c75 6465 2072 656d  code>include rem
│ │ │ -001df5d0: 6f76 655f 7869 6e65 7464 0a0a 636c 6173  ove_xinetd..clas
│ │ │ -001df5e0: 7320 7265 6d6f 7665 5f78 696e 6574 6420  s remove_xinetd 
│ │ │ -001df5f0: 7b0a 2020 7061 636b 6167 6520 7b20 2778  {.  package { 'x
│ │ │ -001df600: 696e 6574 6427 3a0a 2020 2020 656e 7375  inetd':.    ensu
│ │ │ -001df610: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ -001df620: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -001df630: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -001df640: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -001df650: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -001df660: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -001df670: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ -001df680: 3038 3737 2220 7461 6269 6e64 6578 3d22  0877" tabindex="
│ │ │ -001df690: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -001df6a0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -001df6b0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -001df6c0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -001df6d0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -001df6e0: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -001df6f0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -001df700: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -001df710: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -001df720: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -001df730: 3038 3737 223e 3c74 6162 6c65 2063 6c61  0877"><table cla
│ │ │ -001df740: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -001df750: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -001df760: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -001df770: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -001df780: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -001df790: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -001df7a0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -001df7b0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -001df7c0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -001df7d0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -001df7e0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -001df7f0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -001df800: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -001df810: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -001df820: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -001df830: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ -001df840: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ -001df850: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ -001df860: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ -001df870: 746f 0a20 2074 6167 733a 0a20 202d 204e  to.  tags:.  - N
│ │ │ -001df880: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -001df890: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ -001df8a0: 3533 2d43 4d2d 3728 6129 0a20 202d 204e  53-CM-7(a).  - N
│ │ │ -001df8b0: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ -001df8c0: 6229 0a20 202d 2050 4349 2d44 5353 7634  b).  - PCI-DSSv4
│ │ │ -001df8d0: 2d32 2e32 0a20 202d 2050 4349 2d44 5353  -2.2.  - PCI-DSS
│ │ │ -001df8e0: 7634 2d32 2e32 2e34 0a20 202d 2064 6973  v4-2.2.4.  - dis
│ │ │ -001df8f0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -001df900: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -001df910: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -001df920: 696f 6e0a 2020 2d20 6c6f 775f 7365 7665  ion.  - low_seve
│ │ │ -001df930: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -001df940: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -001df950: 636b 6167 655f 7869 6e65 7464 5f72 656d  ckage_xinetd_rem
│ │ │ -001df960: 6f76 6564 0a0a 2d20 6e61 6d65 3a20 456e  oved..- name: En
│ │ │ -001df970: 7375 7265 2078 696e 6574 6420 6973 2072  sure xinetd is r
│ │ │ -001df980: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ -001df990: 3a0a 2020 2020 6e61 6d65 3a20 7869 6e65  :.    name: xine
│ │ │ -001df9a0: 7464 0a20 2020 2073 7461 7465 3a20 6162  td.    state: ab
│ │ │ -001df9b0: 7365 6e74 0a20 2077 6865 6e3a 2027 226c  sent.  when: '"l
│ │ │ -001df9c0: 696e 7578 2d62 6173 6522 2069 6e20 616e  inux-base" in an
│ │ │ -001df9d0: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ -001df9e0: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ -001df9f0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -001dfa00: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ -001dfa10: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ -001dfa20: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -001dfa30: 2d37 2862 290a 2020 2d20 5043 492d 4453  -7(b).  - PCI-DS
│ │ │ -001dfa40: 5376 342d 322e 320a 2020 2d20 5043 492d  Sv4-2.2.  - PCI-
│ │ │ -001dfa50: 4453 5376 342d 322e 322e 340a 2020 2d20  DSSv4-2.2.4.  - 
│ │ │ -001dfa60: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ -001dfa70: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -001dfa80: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -001dfa90: 7570 7469 6f6e 0a20 202d 206c 6f77 5f73  uption.  - low_s
│ │ │ -001dfaa0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -001dfab0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -001dfac0: 2070 6163 6b61 6765 5f78 696e 6574 645f   package_xinetd_
│ │ │ -001dfad0: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ +001df470: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ +001df480: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ +001df490: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +001df4a0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +001df4b0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +001df4c0: 643d 2269 646d 3230 3837 3622 3e3c 7461  d="idm20876"><ta
│ │ │ +001df4d0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +001df4e0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +001df4f0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +001df500: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +001df510: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +001df520: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +001df530: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +001df540: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +001df550: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +001df560: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +001df570: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +001df580: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +001df590: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +001df5a0: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +001df5b0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +001df5c0: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ +001df5d0: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ +001df5e0: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ +001df5f0: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ +001df600: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ +001df610: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +001df620: 332d 434d 2d36 2861 290a 2020 2d20 4e49  3-CM-6(a).  - NI
│ │ │ +001df630: 5354 2d38 3030 2d35 332d 434d 2d37 2861  ST-800-53-CM-7(a
│ │ │ +001df640: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +001df650: 332d 434d 2d37 2862 290a 2020 2d20 5043  3-CM-7(b).  - PC
│ │ │ +001df660: 492d 4453 5376 342d 322e 320a 2020 2d20  I-DSSv4-2.2.  - 
│ │ │ +001df670: 5043 492d 4453 5376 342d 322e 322e 340a  PCI-DSSv4-2.2.4.
│ │ │ +001df680: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ +001df690: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +001df6a0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +001df6b0: 6469 7372 7570 7469 6f6e 0a20 202d 206c  disruption.  - l
│ │ │ +001df6c0: 6f77 5f73 6576 6572 6974 790a 2020 2d20  ow_severity.  - 
│ │ │ +001df6d0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +001df6e0: 0a20 202d 2070 6163 6b61 6765 5f78 696e  .  - package_xin
│ │ │ +001df6f0: 6574 645f 7265 6d6f 7665 640a 0a2d 206e  etd_removed..- n
│ │ │ +001df700: 616d 653a 2045 6e73 7572 6520 7869 6e65  ame: Ensure xine
│ │ │ +001df710: 7464 2069 7320 7265 6d6f 7665 640a 2020  td is removed.  
│ │ │ +001df720: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ +001df730: 653a 2078 696e 6574 640a 2020 2020 7374  e: xinetd.    st
│ │ │ +001df740: 6174 653a 2061 6273 656e 740a 2020 7768  ate: absent.  wh
│ │ │ +001df750: 656e 3a20 2722 6c69 6e75 782d 6261 7365  en: '"linux-base
│ │ │ +001df760: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ +001df770: 7473 2e70 6163 6b61 6765 7327 0a20 2074  ts.packages'.  t
│ │ │ +001df780: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +001df790: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +001df7a0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +001df7b0: 3728 6129 0a20 202d 204e 4953 542d 3830  7(a).  - NIST-80
│ │ │ +001df7c0: 302d 3533 2d43 4d2d 3728 6229 0a20 202d  0-53-CM-7(b).  -
│ │ │ +001df7d0: 2050 4349 2d44 5353 7634 2d32 2e32 0a20   PCI-DSSv4-2.2. 
│ │ │ +001df7e0: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +001df7f0: 2e34 0a20 202d 2064 6973 6162 6c65 5f73  .4.  - disable_s
│ │ │ +001df800: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +001df810: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +001df820: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +001df830: 2d20 6c6f 775f 7365 7665 7269 7479 0a20  - low_severity. 
│ │ │ +001df840: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +001df850: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +001df860: 7869 6e65 7464 5f72 656d 6f76 6564 0a3c  xinetd_removed.<
│ │ │ +001df870: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +001df880: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +001df890: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +001df8a0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +001df8b0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +001df8c0: 2223 6964 6d32 3038 3737 2220 7461 6269  "#idm20877" tabi
│ │ │ +001df8d0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +001df8e0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +001df8f0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +001df900: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +001df910: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +001df920: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +001df930: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +001df940: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +001df950: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +001df960: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +001df970: 2269 646d 3230 3837 3722 3e3c 7461 626c  "idm20877"><tabl
│ │ │ +001df980: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +001df990: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +001df9a0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +001df9b0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +001df9c0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +001df9d0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +001df9e0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +001df9f0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +001dfa00: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +001dfa10: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +001dfa20: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +001dfa30: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +001dfa40: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +001dfa50: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +001dfa60: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +001dfa70: 6f64 653e 696e 636c 7564 6520 7265 6d6f  ode>include remo
│ │ │ +001dfa80: 7665 5f78 696e 6574 640a 0a63 6c61 7373  ve_xinetd..class
│ │ │ +001dfa90: 2072 656d 6f76 655f 7869 6e65 7464 207b   remove_xinetd {
│ │ │ +001dfaa0: 0a20 2070 6163 6b61 6765 207b 2027 7869  .  package { 'xi
│ │ │ +001dfab0: 6e65 7464 273a 0a20 2020 2065 6e73 7572  netd':.    ensur
│ │ │ +001dfac0: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ +001dfad0: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │  001dfae0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │  001dfaf0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │  001dfb00: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │  001dfb10: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │  001dfb20: 612d 7461 7267 6574 3d22 2369 646d 3230  a-target="#idm20
│ │ │  001dfb30: 3837 3822 2074 6162 696e 6465 783d 2230  878" tabindex="0
│ │ │  001dfb40: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ @@ -123096,91 +123096,91 @@
│ │ │  001e0d70: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  001e0d80: 3d22 2369 646d 3230 3930 3022 2074 6162  ="#idm20900" tab
│ │ │  001e0d90: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │  001e0da0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │  001e0db0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │  001e0dc0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │  001e0dd0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -001e0de0: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -001e0df0: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -001e0e00: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -001e0e10: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -001e0e20: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -001e0e30: 3d22 6964 6d32 3039 3030 223e 3c74 6162  ="idm20900"><tab
│ │ │ -001e0e40: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -001e0e50: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -001e0e60: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -001e0e70: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -001e0e80: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -001e0e90: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -001e0ea0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -001e0eb0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -001e0ec0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -001e0ed0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -001e0ee0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -001e0ef0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -001e0f00: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -001e0f10: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -001e0f20: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -001e0f30: 636f 6465 3e69 6e63 6c75 6465 2072 656d  code>include rem
│ │ │ -001e0f40: 6f76 655f 7970 6269 6e64 2d6d 740a 0a63  ove_ypbind-mt..c
│ │ │ -001e0f50: 6c61 7373 2072 656d 6f76 655f 7970 6269  lass remove_ypbi
│ │ │ -001e0f60: 6e64 2d6d 7420 7b0a 2020 7061 636b 6167  nd-mt {.  packag
│ │ │ -001e0f70: 6520 7b20 2779 7062 696e 642d 6d74 273a  e { 'ypbind-mt':
│ │ │ -001e0f80: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ -001e0f90: 3b20 2770 7572 6765 6427 2c0a 2020 7d0a  ; 'purged',.  }.
│ │ │ -001e0fa0: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │ -001e0fb0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -001e0fc0: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -001e0fd0: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -001e0fe0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -001e0ff0: 6574 3d22 2369 646d 3230 3930 3122 2074  et="#idm20901" t
│ │ │ -001e1000: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -001e1010: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -001e1020: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -001e1030: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -001e1040: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -001e1050: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -001e1060: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ -001e1070: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -001e1080: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -001e1090: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -001e10a0: 2069 643d 2269 646d 3230 3930 3122 3e3c   id="idm20901"><
│ │ │ -001e10b0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -001e10c0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -001e10d0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -001e10e0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -001e10f0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -001e1100: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -001e1110: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -001e1120: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -001e1130: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -001e1140: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -001e1150: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -001e1160: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -001e1170: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -001e1180: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -001e1190: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -001e11a0: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ -001e11b0: 456e 7375 7265 2079 7062 696e 642d 6d74  Ensure ypbind-mt
│ │ │ -001e11c0: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ -001e11d0: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -001e11e0: 2079 7062 696e 642d 6d74 0a20 2020 2073   ypbind-mt.    s
│ │ │ -001e11f0: 7461 7465 3a20 6162 7365 6e74 0a20 2074  tate: absent.  t
│ │ │ -001e1200: 6167 733a 0a20 202d 2050 4349 2d44 5353  ags:.  - PCI-DSS
│ │ │ -001e1210: 7634 2d32 2e32 0a20 202d 2050 4349 2d44  v4-2.2.  - PCI-D
│ │ │ -001e1220: 5353 7634 2d32 2e32 2e34 0a20 202d 2064  SSv4-2.2.4.  - d
│ │ │ -001e1230: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ -001e1240: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -001e1250: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -001e1260: 7074 696f 6e0a 2020 2d20 6e6f 5f72 6562  ption.  - no_reb
│ │ │ -001e1270: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -001e1280: 6163 6b61 6765 5f79 7062 696e 645f 7265  ackage_ypbind_re
│ │ │ -001e1290: 6d6f 7665 640a 2020 2d20 756e 6b6e 6f77  moved.  - unknow
│ │ │ -001e12a0: 6e5f 7365 7665 7269 7479 0a3c 2f63 6f64  n_severity.</cod
│ │ │ +001e0de0: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ +001e0df0: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ +001e0e00: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +001e0e10: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +001e0e20: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +001e0e30: 643d 2269 646d 3230 3930 3022 3e3c 7461  d="idm20900"><ta
│ │ │ +001e0e40: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +001e0e50: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +001e0e60: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +001e0e70: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +001e0e80: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +001e0e90: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +001e0ea0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +001e0eb0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +001e0ec0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +001e0ed0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +001e0ee0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +001e0ef0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +001e0f00: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +001e0f10: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +001e0f20: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +001e0f30: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ +001e0f40: 7375 7265 2079 7062 696e 642d 6d74 2069  sure ypbind-mt i
│ │ │ +001e0f50: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ +001e0f60: 6167 653a 0a20 2020 206e 616d 653a 2079  age:.    name: y
│ │ │ +001e0f70: 7062 696e 642d 6d74 0a20 2020 2073 7461  pbind-mt.    sta
│ │ │ +001e0f80: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ +001e0f90: 733a 0a20 202d 2050 4349 2d44 5353 7634  s:.  - PCI-DSSv4
│ │ │ +001e0fa0: 2d32 2e32 0a20 202d 2050 4349 2d44 5353  -2.2.  - PCI-DSS
│ │ │ +001e0fb0: 7634 2d32 2e32 2e34 0a20 202d 2064 6973  v4-2.2.4.  - dis
│ │ │ +001e0fc0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +001e0fd0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +001e0fe0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +001e0ff0: 696f 6e0a 2020 2d20 6e6f 5f72 6562 6f6f  ion.  - no_reboo
│ │ │ +001e1000: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ +001e1010: 6b61 6765 5f79 7062 696e 645f 7265 6d6f  kage_ypbind_remo
│ │ │ +001e1020: 7665 640a 2020 2d20 756e 6b6e 6f77 6e5f  ved.  - unknown_
│ │ │ +001e1030: 7365 7665 7269 7479 0a3c 2f63 6f64 653e  severity.</code>
│ │ │ +001e1040: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +001e1050: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +001e1060: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +001e1070: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +001e1080: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ +001e1090: 3039 3031 2220 7461 6269 6e64 6578 3d22  0901" tabindex="
│ │ │ +001e10a0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +001e10b0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +001e10c0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +001e10d0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +001e10e0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +001e10f0: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +001e1100: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +001e1110: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +001e1120: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +001e1130: 6c61 7073 6522 2069 643d 2269 646d 3230  lapse" id="idm20
│ │ │ +001e1140: 3930 3122 3e3c 7461 626c 6520 636c 6173  901"><table clas
│ │ │ +001e1150: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +001e1160: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +001e1170: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +001e1180: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +001e1190: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +001e11a0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +001e11b0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +001e11c0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +001e11d0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +001e11e0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +001e11f0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +001e1200: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +001e1210: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +001e1220: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +001e1230: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +001e1240: 636c 7564 6520 7265 6d6f 7665 5f79 7062  clude remove_ypb
│ │ │ +001e1250: 696e 642d 6d74 0a0a 636c 6173 7320 7265  ind-mt..class re
│ │ │ +001e1260: 6d6f 7665 5f79 7062 696e 642d 6d74 207b  move_ypbind-mt {
│ │ │ +001e1270: 0a20 2070 6163 6b61 6765 207b 2027 7970  .  package { 'yp
│ │ │ +001e1280: 6269 6e64 2d6d 7427 3a0a 2020 2020 656e  bind-mt':.    en
│ │ │ +001e1290: 7375 7265 203d 2667 743b 2027 7075 7267  sure =&gt; 'purg
│ │ │ +001e12a0: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │  001e12b0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │  001e12c0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │  001e12d0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │  001e12e0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │  001e12f0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  001e1300: 6d32 3039 3032 2220 7461 6269 6e64 6578  m20902" tabindex
│ │ │  001e1310: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ @@ -123507,97 +123507,97 @@
│ │ │  001e2720: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  001e2730: 646d 3231 3031 3722 2074 6162 696e 6465  dm21017" tabinde
│ │ │  001e2740: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  001e2750: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  001e2760: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  001e2770: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  001e2780: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -001e2790: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -001e27a0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -001e27b0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -001e27c0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -001e27d0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -001e27e0: 6d32 3130 3137 223e 3c74 6162 6c65 2063  m21017"><table c
│ │ │ -001e27f0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -001e2800: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -001e2810: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -001e2820: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -001e2830: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -001e2840: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -001e2850: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -001e2860: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -001e2870: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -001e2880: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -001e2890: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -001e28a0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -001e28b0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -001e28c0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -001e28d0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -001e28e0: 3e69 6e63 6c75 6465 2072 656d 6f76 655f  >include remove_
│ │ │ -001e28f0: 7970 7365 7276 0a0a 636c 6173 7320 7265  ypserv..class re
│ │ │ -001e2900: 6d6f 7665 5f79 7073 6572 7620 7b0a 2020  move_ypserv {.  
│ │ │ -001e2910: 7061 636b 6167 6520 7b20 2779 7073 6572  package { 'ypser
│ │ │ -001e2920: 7627 3a0a 2020 2020 656e 7375 7265 203d  v':.    ensure =
│ │ │ -001e2930: 2667 743b 2027 7075 7267 6564 272c 0a20  &gt; 'purged',. 
│ │ │ -001e2940: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -001e2950: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -001e2960: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -001e2970: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -001e2980: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -001e2990: 6172 6765 743d 2223 6964 6d32 3130 3138  arget="#idm21018
│ │ │ -001e29a0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -001e29b0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -001e29c0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -001e29d0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -001e29e0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -001e29f0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -001e2a00: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -001e2a10: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -001e2a20: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -001e2a30: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -001e2a40: 7365 2220 6964 3d22 6964 6d32 3130 3138  se" id="idm21018
│ │ │ -001e2a50: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -001e2a60: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -001e2a70: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -001e2a80: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -001e2a90: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -001e2aa0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -001e2ab0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -001e2ac0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -001e2ad0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -001e2ae0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -001e2af0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -001e2b00: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -001e2b10: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -001e2b20: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -001e2b30: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -001e2b40: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ -001e2b50: 653a 2045 6e73 7572 6520 7970 7365 7276  e: Ensure ypserv
│ │ │ -001e2b60: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ -001e2b70: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -001e2b80: 2079 7073 6572 760a 2020 2020 7374 6174   ypserv.    stat
│ │ │ -001e2b90: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ -001e2ba0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -001e2bb0: 332d 434d 2d36 2861 290a 2020 2d20 4e49  3-CM-6(a).  - NI
│ │ │ -001e2bc0: 5354 2d38 3030 2d35 332d 434d 2d37 2861  ST-800-53-CM-7(a
│ │ │ -001e2bd0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -001e2be0: 332d 434d 2d37 2862 290a 2020 2d20 4e49  3-CM-7(b).  - NI
│ │ │ -001e2bf0: 5354 2d38 3030 2d35 332d 4941 2d35 2831  ST-800-53-IA-5(1
│ │ │ -001e2c00: 2928 6329 0a20 202d 2050 4349 2d44 5353  )(c).  - PCI-DSS
│ │ │ -001e2c10: 2d52 6571 2d32 2e32 2e32 0a20 202d 2050  -Req-2.2.2.  - P
│ │ │ -001e2c20: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ -001e2c30: 2050 4349 2d44 5353 7634 2d32 2e32 2e34   PCI-DSSv4-2.2.4
│ │ │ -001e2c40: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ -001e2c50: 6174 6567 790a 2020 2d20 6869 6768 5f73  ategy.  - high_s
│ │ │ -001e2c60: 6576 6572 6974 790a 2020 2d20 6c6f 775f  everity.  - low_
│ │ │ -001e2c70: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -001e2c80: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -001e2c90: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -001e2ca0: 6564 0a20 202d 2070 6163 6b61 6765 5f79  ed.  - package_y
│ │ │ -001e2cb0: 7073 6572 765f 7265 6d6f 7665 640a 3c2f  pserv_removed.</
│ │ │ +001e2790: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +001e27a0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +001e27b0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +001e27c0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +001e27d0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +001e27e0: 646d 3231 3031 3722 3e3c 7461 626c 6520  dm21017"><table 
│ │ │ +001e27f0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +001e2800: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +001e2810: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +001e2820: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +001e2830: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +001e2840: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001e2850: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +001e2860: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +001e2870: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +001e2880: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +001e2890: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +001e28a0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +001e28b0: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +001e28c0: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +001e28d0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +001e28e0: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ +001e28f0: 2079 7073 6572 7620 6973 2072 656d 6f76   ypserv is remov
│ │ │ +001e2900: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +001e2910: 2020 6e61 6d65 3a20 7970 7365 7276 0a20    name: ypserv. 
│ │ │ +001e2920: 2020 2073 7461 7465 3a20 6162 7365 6e74     state: absent
│ │ │ +001e2930: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +001e2940: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +001e2950: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +001e2960: 2d43 4d2d 3728 6129 0a20 202d 204e 4953  -CM-7(a).  - NIS
│ │ │ +001e2970: 542d 3830 302d 3533 2d43 4d2d 3728 6229  T-800-53-CM-7(b)
│ │ │ +001e2980: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +001e2990: 2d49 412d 3528 3129 2863 290a 2020 2d20  -IA-5(1)(c).  - 
│ │ │ +001e29a0: 5043 492d 4453 532d 5265 712d 322e 322e  PCI-DSS-Req-2.2.
│ │ │ +001e29b0: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ +001e29c0: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ +001e29d0: 342d 322e 322e 340a 2020 2d20 6469 7361  4-2.2.4.  - disa
│ │ │ +001e29e0: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +001e29f0: 2068 6967 685f 7365 7665 7269 7479 0a20   high_severity. 
│ │ │ +001e2a00: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +001e2a10: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +001e2a20: 7469 6f6e 0a20 202d 206e 6f5f 7265 626f  tion.  - no_rebo
│ │ │ +001e2a30: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ +001e2a40: 636b 6167 655f 7970 7365 7276 5f72 656d  ckage_ypserv_rem
│ │ │ +001e2a50: 6f76 6564 0a3c 2f63 6f64 653e 3c2f 7072  oved.</code></pr
│ │ │ +001e2a60: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +001e2a70: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +001e2a80: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +001e2a90: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +001e2aa0: 6172 6765 743d 2223 6964 6d32 3130 3138  arget="#idm21018
│ │ │ +001e2ab0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +001e2ac0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +001e2ad0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +001e2ae0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +001e2af0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +001e2b00: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +001e2b10: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +001e2b20: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +001e2b30: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +001e2b40: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +001e2b50: 6522 2069 643d 2269 646d 3231 3031 3822  e" id="idm21018"
│ │ │ +001e2b60: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +001e2b70: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +001e2b80: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +001e2b90: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +001e2ba0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +001e2bb0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +001e2bc0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +001e2bd0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +001e2be0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +001e2bf0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +001e2c00: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +001e2c10: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +001e2c20: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +001e2c30: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +001e2c40: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +001e2c50: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +001e2c60: 6520 7265 6d6f 7665 5f79 7073 6572 760a  e remove_ypserv.
│ │ │ +001e2c70: 0a63 6c61 7373 2072 656d 6f76 655f 7970  .class remove_yp
│ │ │ +001e2c80: 7365 7276 207b 0a20 2070 6163 6b61 6765  serv {.  package
│ │ │ +001e2c90: 207b 2027 7970 7365 7276 273a 0a20 2020   { 'ypserv':.   
│ │ │ +001e2ca0: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ +001e2cb0: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │  001e2cc0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │  001e2cd0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │  001e2ce0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │  001e2cf0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │  001e2d00: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  001e2d10: 2369 646d 3231 3031 3922 2074 6162 696e  #idm21019" tabin
│ │ │  001e2d20: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ @@ -123988,97 +123988,97 @@
│ │ │  001e4530: 612d 7461 7267 6574 3d22 2369 646d 3231  a-target="#idm21
│ │ │  001e4540: 3133 3722 2074 6162 696e 6465 783d 2230  137" tabindex="0
│ │ │  001e4550: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  001e4560: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  001e4570: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  001e4580: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  001e4590: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -001e45a0: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ -001e45b0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -001e45c0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -001e45d0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -001e45e0: 6170 7365 2220 6964 3d22 6964 6d32 3131  apse" id="idm211
│ │ │ -001e45f0: 3337 223e 3c74 6162 6c65 2063 6c61 7373  37"><table class
│ │ │ -001e4600: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -001e4610: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -001e4620: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -001e4630: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -001e4640: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -001e4650: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -001e4660: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -001e4670: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -001e4680: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001e4690: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -001e46a0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -001e46b0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -001e46c0: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ -001e46d0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -001e46e0: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ -001e46f0: 6c75 6465 2072 656d 6f76 655f 7273 682d  lude remove_rsh-
│ │ │ -001e4700: 7365 7276 6572 0a0a 636c 6173 7320 7265  server..class re
│ │ │ -001e4710: 6d6f 7665 5f72 7368 2d73 6572 7665 7220  move_rsh-server 
│ │ │ -001e4720: 7b0a 2020 7061 636b 6167 6520 7b20 2772  {.  package { 'r
│ │ │ -001e4730: 7368 2d73 6572 7665 7227 3a0a 2020 2020  sh-server':.    
│ │ │ -001e4740: 656e 7375 7265 203d 2667 743b 2027 7075  ensure =&gt; 'pu
│ │ │ -001e4750: 7267 6564 272c 0a20 207d 0a7d 0a3c 2f63  rged',.  }.}.</c
│ │ │ -001e4760: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -001e4770: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -001e4780: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -001e4790: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -001e47a0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -001e47b0: 6964 6d32 3131 3338 2220 7461 6269 6e64  idm21138" tabind
│ │ │ -001e47c0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -001e47d0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -001e47e0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -001e47f0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -001e4800: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -001e4810: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ -001e4820: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ -001e4830: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -001e4840: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -001e4850: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -001e4860: 6964 6d32 3131 3338 223e 3c74 6162 6c65  idm21138"><table
│ │ │ -001e4870: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -001e4880: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -001e4890: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -001e48a0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -001e48b0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -001e48c0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -001e48d0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -001e48e0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -001e48f0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -001e4900: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -001e4910: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -001e4920: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -001e4930: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ -001e4940: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ -001e4950: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -001e4960: 6465 3e2d 206e 616d 653a 2045 6e73 7572  de>- name: Ensur
│ │ │ -001e4970: 6520 7273 682d 7365 7276 6572 2069 7320  e rsh-server is 
│ │ │ -001e4980: 7265 6d6f 7665 640a 2020 7061 636b 6167  removed.  packag
│ │ │ -001e4990: 653a 0a20 2020 206e 616d 653a 2072 7368  e:.    name: rsh
│ │ │ -001e49a0: 2d73 6572 7665 720a 2020 2020 7374 6174  -server.    stat
│ │ │ -001e49b0: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ -001e49c0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -001e49d0: 332d 434d 2d36 2861 290a 2020 2d20 4e49  3-CM-6(a).  - NI
│ │ │ -001e49e0: 5354 2d38 3030 2d35 332d 434d 2d37 2861  ST-800-53-CM-7(a
│ │ │ -001e49f0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -001e4a00: 332d 434d 2d37 2862 290a 2020 2d20 4e49  3-CM-7(b).  - NI
│ │ │ -001e4a10: 5354 2d38 3030 2d35 332d 4941 2d35 2831  ST-800-53-IA-5(1
│ │ │ -001e4a20: 2928 6329 0a20 202d 2050 4349 2d44 5353  )(c).  - PCI-DSS
│ │ │ -001e4a30: 7634 2d32 2e32 0a20 202d 2050 4349 2d44  v4-2.2.  - PCI-D
│ │ │ -001e4a40: 5353 7634 2d32 2e32 2e34 0a20 202d 2064  SSv4-2.2.4.  - d
│ │ │ -001e4a50: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ -001e4a60: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ -001e4a70: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -001e4a80: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -001e4a90: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ -001e4aa0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -001e4ab0: 2070 6163 6b61 6765 5f72 7368 2d73 6572   package_rsh-ser
│ │ │ -001e4ac0: 7665 725f 7265 6d6f 7665 640a 3c2f 636f  ver_removed.</co
│ │ │ +001e45a0: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +001e45b0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +001e45c0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +001e45d0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +001e45e0: 6c61 7073 6522 2069 643d 2269 646d 3231  lapse" id="idm21
│ │ │ +001e45f0: 3133 3722 3e3c 7461 626c 6520 636c 6173  137"><table clas
│ │ │ +001e4600: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +001e4610: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +001e4620: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +001e4630: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +001e4640: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +001e4650: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +001e4660: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +001e4670: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +001e4680: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +001e4690: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +001e46a0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +001e46b0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +001e46c0: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +001e46d0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +001e46e0: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ +001e46f0: 6e61 6d65 3a20 456e 7375 7265 2072 7368  name: Ensure rsh
│ │ │ +001e4700: 2d73 6572 7665 7220 6973 2072 656d 6f76  -server is remov
│ │ │ +001e4710: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +001e4720: 2020 6e61 6d65 3a20 7273 682d 7365 7276    name: rsh-serv
│ │ │ +001e4730: 6572 0a20 2020 2073 7461 7465 3a20 6162  er.    state: ab
│ │ │ +001e4740: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ +001e4750: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +001e4760: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ +001e4770: 302d 3533 2d43 4d2d 3728 6129 0a20 202d  0-53-CM-7(a).  -
│ │ │ +001e4780: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +001e4790: 3728 6229 0a20 202d 204e 4953 542d 3830  7(b).  - NIST-80
│ │ │ +001e47a0: 302d 3533 2d49 412d 3528 3129 2863 290a  0-53-IA-5(1)(c).
│ │ │ +001e47b0: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ +001e47c0: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ +001e47d0: 322e 322e 340a 2020 2d20 6469 7361 626c  2.2.4.  - disabl
│ │ │ +001e47e0: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ +001e47f0: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ +001e4800: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +001e4810: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +001e4820: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ +001e4830: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +001e4840: 6167 655f 7273 682d 7365 7276 6572 5f72  age_rsh-server_r
│ │ │ +001e4850: 656d 6f76 6564 0a3c 2f63 6f64 653e 3c2f  emoved.</code></
│ │ │ +001e4860: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +001e4870: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +001e4880: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +001e4890: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +001e48a0: 2d74 6172 6765 743d 2223 6964 6d32 3131  -target="#idm211
│ │ │ +001e48b0: 3338 2220 7461 6269 6e64 6578 3d22 3022  38" tabindex="0"
│ │ │ +001e48c0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +001e48d0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +001e48e0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +001e48f0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +001e4900: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +001e4910: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ +001e4920: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +001e4930: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +001e4940: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +001e4950: 7073 6522 2069 643d 2269 646d 3231 3133  pse" id="idm2113
│ │ │ +001e4960: 3822 3e3c 7461 626c 6520 636c 6173 733d  8"><table class=
│ │ │ +001e4970: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +001e4980: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +001e4990: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +001e49a0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +001e49b0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +001e49c0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +001e49d0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +001e49e0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +001e49f0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +001e4a00: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +001e4a10: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +001e4a20: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +001e4a30: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +001e4a40: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +001e4a50: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ +001e4a60: 7564 6520 7265 6d6f 7665 5f72 7368 2d73  ude remove_rsh-s
│ │ │ +001e4a70: 6572 7665 720a 0a63 6c61 7373 2072 656d  erver..class rem
│ │ │ +001e4a80: 6f76 655f 7273 682d 7365 7276 6572 207b  ove_rsh-server {
│ │ │ +001e4a90: 0a20 2070 6163 6b61 6765 207b 2027 7273  .  package { 'rs
│ │ │ +001e4aa0: 682d 7365 7276 6572 273a 0a20 2020 2065  h-server':.    e
│ │ │ +001e4ab0: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ +001e4ac0: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │  001e4ad0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  001e4ae0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │  001e4af0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │  001e4b00: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │  001e4b10: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  001e4b20: 646d 3231 3133 3922 2074 6162 696e 6465  dm21139" tabinde
│ │ │  001e4b30: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ @@ -124306,91 +124306,91 @@
│ │ │  001e5910: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  001e5920: 3d22 2369 646d 3231 3136 3922 2074 6162  ="#idm21169" tab
│ │ │  001e5930: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │  001e5940: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │  001e5950: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │  001e5960: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │  001e5970: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -001e5980: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -001e5990: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -001e59a0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -001e59b0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -001e59c0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -001e59d0: 3d22 6964 6d32 3131 3639 223e 3c74 6162  ="idm21169"><tab
│ │ │ -001e59e0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -001e59f0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -001e5a00: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -001e5a10: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -001e5a20: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -001e5a30: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -001e5a40: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -001e5a50: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -001e5a60: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -001e5a70: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -001e5a80: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -001e5a90: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -001e5aa0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -001e5ab0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -001e5ac0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -001e5ad0: 636f 6465 3e69 6e63 6c75 6465 2072 656d  code>include rem
│ │ │ -001e5ae0: 6f76 655f 7273 680a 0a63 6c61 7373 2072  ove_rsh..class r
│ │ │ -001e5af0: 656d 6f76 655f 7273 6820 7b0a 2020 7061  emove_rsh {.  pa
│ │ │ -001e5b00: 636b 6167 6520 7b20 2772 7368 273a 0a20  ckage { 'rsh':. 
│ │ │ -001e5b10: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -001e5b20: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │ -001e5b30: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -001e5b40: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -001e5b50: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -001e5b60: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -001e5b70: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -001e5b80: 3d22 2369 646d 3231 3137 3022 2074 6162  ="#idm21170" tab
│ │ │ -001e5b90: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -001e5ba0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -001e5bb0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -001e5bc0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -001e5bd0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -001e5be0: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ -001e5bf0: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ -001e5c00: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -001e5c10: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -001e5c20: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -001e5c30: 643d 2269 646d 3231 3137 3022 3e3c 7461  d="idm21170"><ta
│ │ │ -001e5c40: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -001e5c50: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -001e5c60: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -001e5c70: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -001e5c80: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -001e5c90: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -001e5ca0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001e5cb0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -001e5cc0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -001e5cd0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -001e5ce0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -001e5cf0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001e5d00: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -001e5d10: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -001e5d20: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -001e5d30: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ -001e5d40: 7375 7265 2072 7368 2069 7320 7265 6d6f  sure rsh is remo
│ │ │ -001e5d50: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ -001e5d60: 2020 206e 616d 653a 2072 7368 0a20 2020     name: rsh.   
│ │ │ -001e5d70: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ -001e5d80: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -001e5d90: 3830 302d 3137 312d 332e 312e 3133 0a20  800-171-3.1.13. 
│ │ │ -001e5da0: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ -001e5db0: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -001e5dc0: 2e32 2e34 0a20 202d 2064 6973 6162 6c65  .2.4.  - disable
│ │ │ -001e5dd0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -001e5de0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -001e5df0: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -001e5e00: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -001e5e10: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -001e5e20: 5f72 7368 5f72 656d 6f76 6564 0a20 202d  _rsh_removed.  -
│ │ │ -001e5e30: 2075 6e6b 6e6f 776e 5f73 6576 6572 6974   unknown_severit
│ │ │ -001e5e40: 790a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  y.</code></pre><
│ │ │ +001e5980: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ +001e5990: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ +001e59a0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +001e59b0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +001e59c0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +001e59d0: 643d 2269 646d 3231 3136 3922 3e3c 7461  d="idm21169"><ta
│ │ │ +001e59e0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +001e59f0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +001e5a00: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +001e5a10: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +001e5a20: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +001e5a30: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +001e5a40: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +001e5a50: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +001e5a60: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +001e5a70: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +001e5a80: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +001e5a90: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +001e5aa0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +001e5ab0: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +001e5ac0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +001e5ad0: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ +001e5ae0: 7375 7265 2072 7368 2069 7320 7265 6d6f  sure rsh is remo
│ │ │ +001e5af0: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ +001e5b00: 2020 206e 616d 653a 2072 7368 0a20 2020     name: rsh.   
│ │ │ +001e5b10: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ +001e5b20: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ +001e5b30: 3830 302d 3137 312d 332e 312e 3133 0a20  800-171-3.1.13. 
│ │ │ +001e5b40: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +001e5b50: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ +001e5b60: 2e32 2e34 0a20 202d 2064 6973 6162 6c65  .2.4.  - disable
│ │ │ +001e5b70: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +001e5b80: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +001e5b90: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +001e5ba0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +001e5bb0: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +001e5bc0: 5f72 7368 5f72 656d 6f76 6564 0a20 202d  _rsh_removed.  -
│ │ │ +001e5bd0: 2075 6e6b 6e6f 776e 5f73 6576 6572 6974   unknown_severit
│ │ │ +001e5be0: 790a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  y.</code></pre><
│ │ │ +001e5bf0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +001e5c00: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +001e5c10: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +001e5c20: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +001e5c30: 6574 3d22 2369 646d 3231 3137 3022 2074  et="#idm21170" t
│ │ │ +001e5c40: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +001e5c50: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +001e5c60: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +001e5c70: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +001e5c80: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +001e5c90: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +001e5ca0: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ +001e5cb0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +001e5cc0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +001e5cd0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +001e5ce0: 6964 3d22 6964 6d32 3131 3730 223e 3c74  id="idm21170"><t
│ │ │ +001e5cf0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +001e5d00: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +001e5d10: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +001e5d20: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +001e5d30: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +001e5d40: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +001e5d50: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +001e5d60: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +001e5d70: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +001e5d80: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +001e5d90: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +001e5da0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +001e5db0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +001e5dc0: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +001e5dd0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +001e5de0: 3e3c 636f 6465 3e69 6e63 6c75 6465 2072  ><code>include r
│ │ │ +001e5df0: 656d 6f76 655f 7273 680a 0a63 6c61 7373  emove_rsh..class
│ │ │ +001e5e00: 2072 656d 6f76 655f 7273 6820 7b0a 2020   remove_rsh {.  
│ │ │ +001e5e10: 7061 636b 6167 6520 7b20 2772 7368 273a  package { 'rsh':
│ │ │ +001e5e20: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +001e5e30: 3b20 2770 7572 6765 6427 2c0a 2020 7d0a  ; 'purged',.  }.
│ │ │ +001e5e40: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │  001e5e50: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │  001e5e60: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │  001e5e70: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │  001e5e80: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │  001e5e90: 6574 3d22 2369 646d 3231 3137 3122 2074  et="#idm21171" t
│ │ │  001e5ea0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  001e5eb0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ @@ -124645,92 +124645,92 @@
│ │ │  001e6e40: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  001e6e50: 6d32 3133 3036 2220 7461 6269 6e64 6578  m21306" tabindex
│ │ │  001e6e60: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │  001e6e70: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │  001e6e80: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │  001e6e90: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │  001e6ea0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -001e6eb0: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -001e6ec0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -001e6ed0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -001e6ee0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -001e6ef0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -001e6f00: 3231 3330 3622 3e3c 7461 626c 6520 636c  21306"><table cl
│ │ │ -001e6f10: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -001e6f20: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -001e6f30: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -001e6f40: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -001e6f50: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -001e6f60: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -001e6f70: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -001e6f80: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -001e6f90: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -001e6fa0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -001e6fb0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -001e6fc0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -001e6fd0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -001e6fe0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -001e6ff0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -001e7000: 696e 636c 7564 6520 7265 6d6f 7665 5f74  include remove_t
│ │ │ -001e7010: 616c 6b2d 7365 7276 6572 0a0a 636c 6173  alk-server..clas
│ │ │ -001e7020: 7320 7265 6d6f 7665 5f74 616c 6b2d 7365  s remove_talk-se
│ │ │ -001e7030: 7276 6572 207b 0a20 2070 6163 6b61 6765  rver {.  package
│ │ │ -001e7040: 207b 2027 7461 6c6b 2d73 6572 7665 7227   { 'talk-server'
│ │ │ -001e7050: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ -001e7060: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ -001e7070: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -001e7080: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -001e7090: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -001e70a0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -001e70b0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -001e70c0: 6765 743d 2223 6964 6d32 3133 3037 2220  get="#idm21307" 
│ │ │ -001e70d0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -001e70e0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -001e70f0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -001e7100: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -001e7110: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -001e7120: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -001e7130: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -001e7140: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -001e7150: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -001e7160: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -001e7170: 2220 6964 3d22 6964 6d32 3133 3037 223e  " id="idm21307">
│ │ │ -001e7180: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -001e7190: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -001e71a0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -001e71b0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -001e71c0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -001e71d0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -001e71e0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -001e71f0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -001e7200: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -001e7210: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -001e7220: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -001e7230: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -001e7240: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -001e7250: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -001e7260: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -001e7270: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -001e7280: 2045 6e73 7572 6520 7461 6c6b 2d73 6572   Ensure talk-ser
│ │ │ -001e7290: 7665 7220 6973 2072 656d 6f76 6564 0a20  ver is removed. 
│ │ │ -001e72a0: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ -001e72b0: 6d65 3a20 7461 6c6b 2d73 6572 7665 720a  me: talk-server.
│ │ │ -001e72c0: 2020 2020 7374 6174 653a 2061 6273 656e      state: absen
│ │ │ -001e72d0: 740a 2020 7461 6773 3a0a 2020 2d20 5043  t.  tags:.  - PC
│ │ │ -001e72e0: 492d 4453 5376 342d 322e 320a 2020 2d20  I-DSSv4-2.2.  - 
│ │ │ -001e72f0: 5043 492d 4453 5376 342d 322e 322e 340a  PCI-DSSv4-2.2.4.
│ │ │ -001e7300: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -001e7310: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -001e7320: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -001e7330: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ -001e7340: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ -001e7350: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -001e7360: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ -001e7370: 7461 6c6b 2d73 6572 7665 725f 7265 6d6f  talk-server_remo
│ │ │ -001e7380: 7665 640a 3c2f 636f 6465 3e3c 2f70 7265  ved.</code></pre
│ │ │ +001e6eb0: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ +001e6ec0: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ +001e6ed0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +001e6ee0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +001e6ef0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +001e6f00: 6d32 3133 3036 223e 3c74 6162 6c65 2063  m21306"><table c
│ │ │ +001e6f10: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +001e6f20: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +001e6f30: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +001e6f40: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +001e6f50: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +001e6f60: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +001e6f70: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +001e6f80: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +001e6f90: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +001e6fa0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +001e6fb0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +001e6fc0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +001e6fd0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +001e6fe0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +001e6ff0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +001e7000: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ +001e7010: 7461 6c6b 2d73 6572 7665 7220 6973 2072  talk-server is r
│ │ │ +001e7020: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ +001e7030: 3a0a 2020 2020 6e61 6d65 3a20 7461 6c6b  :.    name: talk
│ │ │ +001e7040: 2d73 6572 7665 720a 2020 2020 7374 6174  -server.    stat
│ │ │ +001e7050: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ +001e7060: 3a0a 2020 2d20 5043 492d 4453 5376 342d  :.  - PCI-DSSv4-
│ │ │ +001e7070: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ +001e7080: 342d 322e 322e 340a 2020 2d20 6469 7361  4-2.2.4.  - disa
│ │ │ +001e7090: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +001e70a0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +001e70b0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +001e70c0: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ +001e70d0: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +001e70e0: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +001e70f0: 7061 636b 6167 655f 7461 6c6b 2d73 6572  package_talk-ser
│ │ │ +001e7100: 7665 725f 7265 6d6f 7665 640a 3c2f 636f  ver_removed.</co
│ │ │ +001e7110: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +001e7120: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +001e7130: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +001e7140: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +001e7150: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +001e7160: 646d 3231 3330 3722 2074 6162 696e 6465  dm21307" tabinde
│ │ │ +001e7170: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +001e7180: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +001e7190: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +001e71a0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +001e71b0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +001e71c0: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ +001e71d0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +001e71e0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +001e71f0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +001e7200: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +001e7210: 6d32 3133 3037 223e 3c74 6162 6c65 2063  m21307"><table c
│ │ │ +001e7220: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +001e7230: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +001e7240: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +001e7250: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +001e7260: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +001e7270: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +001e7280: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +001e7290: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +001e72a0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +001e72b0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +001e72c0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +001e72d0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +001e72e0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +001e72f0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +001e7300: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +001e7310: 3e69 6e63 6c75 6465 2072 656d 6f76 655f  >include remove_
│ │ │ +001e7320: 7461 6c6b 2d73 6572 7665 720a 0a63 6c61  talk-server..cla
│ │ │ +001e7330: 7373 2072 656d 6f76 655f 7461 6c6b 2d73  ss remove_talk-s
│ │ │ +001e7340: 6572 7665 7220 7b0a 2020 7061 636b 6167  erver {.  packag
│ │ │ +001e7350: 6520 7b20 2774 616c 6b2d 7365 7276 6572  e { 'talk-server
│ │ │ +001e7360: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ +001e7370: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ +001e7380: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │  001e7390: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │  001e73a0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │  001e73b0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │  001e73c0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │  001e73d0: 7267 6574 3d22 2369 646d 3231 3330 3822  rget="#idm21308"
│ │ │  001e73e0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  001e73f0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ @@ -124945,89 +124945,89 @@
│ │ │  001e8100: 6765 743d 2223 6964 6d32 3133 3330 2220  get="#idm21330" 
│ │ │  001e8110: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  001e8120: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  001e8130: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  001e8140: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  001e8150: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  001e8160: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -001e8170: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -001e8180: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -001e8190: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -001e81a0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -001e81b0: 2069 643d 2269 646d 3231 3333 3022 3e3c   id="idm21330"><
│ │ │ -001e81c0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -001e81d0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -001e81e0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -001e81f0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -001e8200: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -001e8210: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -001e8220: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -001e8230: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -001e8240: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -001e8250: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -001e8260: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -001e8270: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -001e8280: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -001e8290: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -001e82a0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -001e82b0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -001e82c0: 7265 6d6f 7665 5f74 616c 6b0a 0a63 6c61  remove_talk..cla
│ │ │ -001e82d0: 7373 2072 656d 6f76 655f 7461 6c6b 207b  ss remove_talk {
│ │ │ -001e82e0: 0a20 2070 6163 6b61 6765 207b 2027 7461  .  package { 'ta
│ │ │ -001e82f0: 6c6b 273a 0a20 2020 2065 6e73 7572 6520  lk':.    ensure 
│ │ │ -001e8300: 3d26 6774 3b20 2770 7572 6765 6427 2c0a  =&gt; 'purged',.
│ │ │ -001e8310: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -001e8320: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -001e8330: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -001e8340: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -001e8350: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -001e8360: 7461 7267 6574 3d22 2369 646d 3231 3333  target="#idm2133
│ │ │ -001e8370: 3122 2074 6162 696e 6465 783d 2230 2220  1" tabindex="0" 
│ │ │ -001e8380: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -001e8390: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -001e83a0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -001e83b0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -001e83c0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -001e83d0: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -001e83e0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -001e83f0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -001e8400: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -001e8410: 7073 6522 2069 643d 2269 646d 3231 3333  pse" id="idm2133
│ │ │ -001e8420: 3122 3e3c 7461 626c 6520 636c 6173 733d  1"><table class=
│ │ │ -001e8430: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -001e8440: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -001e8450: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -001e8460: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -001e8470: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -001e8480: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -001e8490: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -001e84a0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -001e84b0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -001e84c0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -001e84d0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -001e84e0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -001e84f0: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -001e8500: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -001e8510: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ -001e8520: 6d65 3a20 456e 7375 7265 2074 616c 6b20  me: Ensure talk 
│ │ │ -001e8530: 6973 2072 656d 6f76 6564 0a20 2070 6163  is removed.  pac
│ │ │ -001e8540: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -001e8550: 7461 6c6b 0a20 2020 2073 7461 7465 3a20  talk.    state: 
│ │ │ -001e8560: 6162 7365 6e74 0a20 2074 6167 733a 0a20  absent.  tags:. 
│ │ │ -001e8570: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ -001e8580: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -001e8590: 2e32 2e34 0a20 202d 2064 6973 6162 6c65  .2.4.  - disable
│ │ │ -001e85a0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -001e85b0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -001e85c0: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -001e85d0: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -001e85e0: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -001e85f0: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -001e8600: 6b61 6765 5f74 616c 6b5f 7265 6d6f 7665  kage_talk_remove
│ │ │ -001e8610: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +001e8170: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +001e8180: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +001e8190: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +001e81a0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +001e81b0: 2220 6964 3d22 6964 6d32 3133 3330 223e  " id="idm21330">
│ │ │ +001e81c0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +001e81d0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +001e81e0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +001e81f0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +001e8200: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +001e8210: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +001e8220: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +001e8230: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +001e8240: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001e8250: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +001e8260: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +001e8270: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +001e8280: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +001e8290: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +001e82a0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +001e82b0: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +001e82c0: 2045 6e73 7572 6520 7461 6c6b 2069 7320   Ensure talk is 
│ │ │ +001e82d0: 7265 6d6f 7665 640a 2020 7061 636b 6167  removed.  packag
│ │ │ +001e82e0: 653a 0a20 2020 206e 616d 653a 2074 616c  e:.    name: tal
│ │ │ +001e82f0: 6b0a 2020 2020 7374 6174 653a 2061 6273  k.    state: abs
│ │ │ +001e8300: 656e 740a 2020 7461 6773 3a0a 2020 2d20  ent.  tags:.  - 
│ │ │ +001e8310: 5043 492d 4453 5376 342d 322e 320a 2020  PCI-DSSv4-2.2.  
│ │ │ +001e8320: 2d20 5043 492d 4453 5376 342d 322e 322e  - PCI-DSSv4-2.2.
│ │ │ +001e8330: 340a 2020 2d20 6469 7361 626c 655f 7374  4.  - disable_st
│ │ │ +001e8340: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +001e8350: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +001e8360: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +001e8370: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +001e8380: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +001e8390: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +001e83a0: 655f 7461 6c6b 5f72 656d 6f76 6564 0a3c  e_talk_removed.<
│ │ │ +001e83b0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +001e83c0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +001e83d0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +001e83e0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +001e83f0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +001e8400: 2223 6964 6d32 3133 3331 2220 7461 6269  "#idm21331" tabi
│ │ │ +001e8410: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +001e8420: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +001e8430: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +001e8440: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +001e8450: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +001e8460: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +001e8470: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +001e8480: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +001e8490: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +001e84a0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +001e84b0: 2269 646d 3231 3333 3122 3e3c 7461 626c  "idm21331"><tabl
│ │ │ +001e84c0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +001e84d0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +001e84e0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +001e84f0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +001e8500: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +001e8510: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +001e8520: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +001e8530: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +001e8540: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +001e8550: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +001e8560: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +001e8570: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +001e8580: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +001e8590: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +001e85a0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +001e85b0: 6f64 653e 696e 636c 7564 6520 7265 6d6f  ode>include remo
│ │ │ +001e85c0: 7665 5f74 616c 6b0a 0a63 6c61 7373 2072  ve_talk..class r
│ │ │ +001e85d0: 656d 6f76 655f 7461 6c6b 207b 0a20 2070  emove_talk {.  p
│ │ │ +001e85e0: 6163 6b61 6765 207b 2027 7461 6c6b 273a  ackage { 'talk':
│ │ │ +001e85f0: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +001e8600: 3b20 2770 7572 6765 6427 2c0a 2020 7d0a  ; 'purged',.  }.
│ │ │ +001e8610: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │  001e8620: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │  001e8630: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │  001e8640: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │  001e8650: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │  001e8660: 6574 3d22 2369 646d 3231 3333 3222 2074  et="#idm21332" t
│ │ │  001e8670: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  001e8680: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ @@ -125445,98 +125445,98 @@
│ │ │  001ea040: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  001ea050: 3d22 2369 646d 3231 3435 3122 2074 6162  ="#idm21451" tab
│ │ │  001ea060: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │  001ea070: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │  001ea080: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │  001ea090: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │  001ea0a0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -001ea0b0: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -001ea0c0: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -001ea0d0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -001ea0e0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -001ea0f0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -001ea100: 3d22 6964 6d32 3134 3531 223e 3c74 6162  ="idm21451"><tab
│ │ │ -001ea110: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -001ea120: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -001ea130: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -001ea140: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -001ea150: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -001ea160: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -001ea170: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -001ea180: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -001ea190: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -001ea1a0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -001ea1b0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -001ea1c0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -001ea1d0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -001ea1e0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -001ea1f0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -001ea200: 636f 6465 3e69 6e63 6c75 6465 2072 656d  code>include rem
│ │ │ -001ea210: 6f76 655f 7465 6c6e 6574 2d73 6572 7665  ove_telnet-serve
│ │ │ -001ea220: 720a 0a63 6c61 7373 2072 656d 6f76 655f  r..class remove_
│ │ │ -001ea230: 7465 6c6e 6574 2d73 6572 7665 7220 7b0a  telnet-server {.
│ │ │ -001ea240: 2020 7061 636b 6167 6520 7b20 2774 656c    package { 'tel
│ │ │ -001ea250: 6e65 742d 7365 7276 6572 273a 0a20 2020  net-server':.   
│ │ │ -001ea260: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ -001ea270: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │ -001ea280: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -001ea290: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -001ea2a0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -001ea2b0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -001ea2c0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -001ea2d0: 2369 646d 3231 3435 3222 2074 6162 696e  #idm21452" tabin
│ │ │ -001ea2e0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -001ea2f0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -001ea300: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -001ea310: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -001ea320: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -001ea330: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -001ea340: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -001ea350: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -001ea360: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -001ea370: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -001ea380: 2269 646d 3231 3435 3222 3e3c 7461 626c  "idm21452"><tabl
│ │ │ -001ea390: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -001ea3a0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -001ea3b0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -001ea3c0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -001ea3d0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -001ea3e0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -001ea3f0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -001ea400: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -001ea410: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -001ea420: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -001ea430: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -001ea440: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -001ea450: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -001ea460: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -001ea470: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -001ea480: 6f64 653e 2d20 6e61 6d65 3a20 456e 7375  ode>- name: Ensu
│ │ │ -001ea490: 7265 2074 656c 6e65 742d 7365 7276 6572  re telnet-server
│ │ │ -001ea4a0: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ -001ea4b0: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -001ea4c0: 2074 656c 6e65 742d 7365 7276 6572 0a20   telnet-server. 
│ │ │ -001ea4d0: 2020 2073 7461 7465 3a20 6162 7365 6e74     state: absent
│ │ │ -001ea4e0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -001ea4f0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -001ea500: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -001ea510: 2d43 4d2d 3728 6129 0a20 202d 204e 4953  -CM-7(a).  - NIS
│ │ │ -001ea520: 542d 3830 302d 3533 2d43 4d2d 3728 6229  T-800-53-CM-7(b)
│ │ │ -001ea530: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -001ea540: 2d32 2e32 2e32 0a20 202d 2050 4349 2d44  -2.2.2.  - PCI-D
│ │ │ -001ea550: 5353 7634 2d32 2e32 0a20 202d 2050 4349  SSv4-2.2.  - PCI
│ │ │ -001ea560: 2d44 5353 7634 2d32 2e32 2e34 0a20 202d  -DSSv4-2.2.4.  -
│ │ │ -001ea570: 2064 6973 6162 6c65 5f73 7472 6174 6567   disable_strateg
│ │ │ -001ea580: 790a 2020 2d20 6869 6768 5f73 6576 6572  y.  - high_sever
│ │ │ -001ea590: 6974 790a 2020 2d20 6c6f 775f 636f 6d70  ity.  - low_comp
│ │ │ -001ea5a0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -001ea5b0: 6973 7275 7074 696f 6e0a 2020 2d20 6e6f  isruption.  - no
│ │ │ -001ea5c0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -001ea5d0: 202d 2070 6163 6b61 6765 5f74 656c 6e65   - package_telne
│ │ │ -001ea5e0: 742d 7365 7276 6572 5f72 656d 6f76 6564  t-server_removed
│ │ │ +001ea0b0: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ +001ea0c0: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ +001ea0d0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +001ea0e0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +001ea0f0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +001ea100: 643d 2269 646d 3231 3435 3122 3e3c 7461  d="idm21451"><ta
│ │ │ +001ea110: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +001ea120: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +001ea130: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +001ea140: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +001ea150: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +001ea160: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +001ea170: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +001ea180: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +001ea190: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +001ea1a0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +001ea1b0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +001ea1c0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +001ea1d0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +001ea1e0: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +001ea1f0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +001ea200: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ +001ea210: 7375 7265 2074 656c 6e65 742d 7365 7276  sure telnet-serv
│ │ │ +001ea220: 6572 2069 7320 7265 6d6f 7665 640a 2020  er is removed.  
│ │ │ +001ea230: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ +001ea240: 653a 2074 656c 6e65 742d 7365 7276 6572  e: telnet-server
│ │ │ +001ea250: 0a20 2020 2073 7461 7465 3a20 6162 7365  .    state: abse
│ │ │ +001ea260: 6e74 0a20 2074 6167 733a 0a20 202d 204e  nt.  tags:.  - N
│ │ │ +001ea270: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +001ea280: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +001ea290: 3533 2d43 4d2d 3728 6129 0a20 202d 204e  53-CM-7(a).  - N
│ │ │ +001ea2a0: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ +001ea2b0: 6229 0a20 202d 2050 4349 2d44 5353 2d52  b).  - PCI-DSS-R
│ │ │ +001ea2c0: 6571 2d32 2e32 2e32 0a20 202d 2050 4349  eq-2.2.2.  - PCI
│ │ │ +001ea2d0: 2d44 5353 7634 2d32 2e32 0a20 202d 2050  -DSSv4-2.2.  - P
│ │ │ +001ea2e0: 4349 2d44 5353 7634 2d32 2e32 2e34 0a20  CI-DSSv4-2.2.4. 
│ │ │ +001ea2f0: 202d 2064 6973 6162 6c65 5f73 7472 6174   - disable_strat
│ │ │ +001ea300: 6567 790a 2020 2d20 6869 6768 5f73 6576  egy.  - high_sev
│ │ │ +001ea310: 6572 6974 790a 2020 2d20 6c6f 775f 636f  erity.  - low_co
│ │ │ +001ea320: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +001ea330: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +001ea340: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +001ea350: 0a20 202d 2070 6163 6b61 6765 5f74 656c  .  - package_tel
│ │ │ +001ea360: 6e65 742d 7365 7276 6572 5f72 656d 6f76  net-server_remov
│ │ │ +001ea370: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +001ea380: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +001ea390: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +001ea3a0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +001ea3b0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +001ea3c0: 6765 743d 2223 6964 6d32 3134 3532 2220  get="#idm21452" 
│ │ │ +001ea3d0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +001ea3e0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +001ea3f0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +001ea400: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +001ea410: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +001ea420: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +001ea430: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ +001ea440: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +001ea450: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +001ea460: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +001ea470: 2069 643d 2269 646d 3231 3435 3222 3e3c   id="idm21452"><
│ │ │ +001ea480: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +001ea490: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +001ea4a0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +001ea4b0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +001ea4c0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +001ea4d0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +001ea4e0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001ea4f0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +001ea500: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +001ea510: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +001ea520: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +001ea530: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001ea540: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +001ea550: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +001ea560: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +001ea570: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +001ea580: 7265 6d6f 7665 5f74 656c 6e65 742d 7365  remove_telnet-se
│ │ │ +001ea590: 7276 6572 0a0a 636c 6173 7320 7265 6d6f  rver..class remo
│ │ │ +001ea5a0: 7665 5f74 656c 6e65 742d 7365 7276 6572  ve_telnet-server
│ │ │ +001ea5b0: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +001ea5c0: 7465 6c6e 6574 2d73 6572 7665 7227 3a0a  telnet-server':.
│ │ │ +001ea5d0: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ +001ea5e0: 2027 7075 7267 6564 272c 0a20 207d 0a7d   'purged',.  }.}
│ │ │  001ea5f0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │  001ea600: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │  001ea610: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │  001ea620: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │  001ea630: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │  001ea640: 743d 2223 6964 6d32 3134 3533 2220 7461  t="#idm21453" ta
│ │ │  001ea650: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ @@ -125756,91 +125756,91 @@
│ │ │  001eb3b0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  001eb3c0: 646d 3231 3438 3022 2074 6162 696e 6465  dm21480" tabinde
│ │ │  001eb3d0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  001eb3e0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  001eb3f0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  001eb400: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  001eb410: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -001eb420: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -001eb430: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -001eb440: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -001eb450: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -001eb460: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -001eb470: 6d32 3134 3830 223e 3c74 6162 6c65 2063  m21480"><table c
│ │ │ -001eb480: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -001eb490: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -001eb4a0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -001eb4b0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -001eb4c0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -001eb4d0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -001eb4e0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -001eb4f0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -001eb500: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -001eb510: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -001eb520: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -001eb530: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -001eb540: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -001eb550: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -001eb560: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -001eb570: 3e69 6e63 6c75 6465 2072 656d 6f76 655f  >include remove_
│ │ │ -001eb580: 7465 6c6e 6574 0a0a 636c 6173 7320 7265  telnet..class re
│ │ │ -001eb590: 6d6f 7665 5f74 656c 6e65 7420 7b0a 2020  move_telnet {.  
│ │ │ -001eb5a0: 7061 636b 6167 6520 7b20 2774 656c 6e65  package { 'telne
│ │ │ -001eb5b0: 7427 3a0a 2020 2020 656e 7375 7265 203d  t':.    ensure =
│ │ │ -001eb5c0: 2667 743b 2027 7075 7267 6564 272c 0a20  &gt; 'purged',. 
│ │ │ -001eb5d0: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -001eb5e0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -001eb5f0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -001eb600: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -001eb610: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -001eb620: 6172 6765 743d 2223 6964 6d32 3134 3831  arget="#idm21481
│ │ │ -001eb630: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -001eb640: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -001eb650: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -001eb660: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -001eb670: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -001eb680: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -001eb690: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -001eb6a0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -001eb6b0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -001eb6c0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -001eb6d0: 7365 2220 6964 3d22 6964 6d32 3134 3831  se" id="idm21481
│ │ │ -001eb6e0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -001eb6f0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -001eb700: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -001eb710: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -001eb720: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -001eb730: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -001eb740: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -001eb750: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -001eb760: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -001eb770: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -001eb780: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -001eb790: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -001eb7a0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -001eb7b0: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -001eb7c0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -001eb7d0: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ -001eb7e0: 653a 2045 6e73 7572 6520 7465 6c6e 6574  e: Ensure telnet
│ │ │ -001eb7f0: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ -001eb800: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -001eb810: 2074 656c 6e65 740a 2020 2020 7374 6174   telnet.    stat
│ │ │ -001eb820: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ -001eb830: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d31  :.  - NIST-800-1
│ │ │ -001eb840: 3731 2d33 2e31 2e31 330a 2020 2d20 5043  71-3.1.13.  - PC
│ │ │ -001eb850: 492d 4453 5376 342d 322e 320a 2020 2d20  I-DSSv4-2.2.  - 
│ │ │ -001eb860: 5043 492d 4453 5376 342d 322e 322e 340a  PCI-DSSv4-2.2.4.
│ │ │ -001eb870: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -001eb880: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -001eb890: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -001eb8a0: 6469 7372 7570 7469 6f6e 0a20 202d 206c  disruption.  - l
│ │ │ -001eb8b0: 6f77 5f73 6576 6572 6974 790a 2020 2d20  ow_severity.  - 
│ │ │ -001eb8c0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -001eb8d0: 0a20 202d 2070 6163 6b61 6765 5f74 656c  .  - package_tel
│ │ │ -001eb8e0: 6e65 745f 7265 6d6f 7665 640a 3c2f 636f  net_removed.</co
│ │ │ +001eb420: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +001eb430: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +001eb440: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +001eb450: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +001eb460: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +001eb470: 646d 3231 3438 3022 3e3c 7461 626c 6520  dm21480"><table 
│ │ │ +001eb480: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +001eb490: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +001eb4a0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +001eb4b0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +001eb4c0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +001eb4d0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001eb4e0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +001eb4f0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +001eb500: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +001eb510: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +001eb520: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +001eb530: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +001eb540: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +001eb550: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +001eb560: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +001eb570: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ +001eb580: 2074 656c 6e65 7420 6973 2072 656d 6f76   telnet is remov
│ │ │ +001eb590: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +001eb5a0: 2020 6e61 6d65 3a20 7465 6c6e 6574 0a20    name: telnet. 
│ │ │ +001eb5b0: 2020 2073 7461 7465 3a20 6162 7365 6e74     state: absent
│ │ │ +001eb5c0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +001eb5d0: 542d 3830 302d 3137 312d 332e 312e 3133  T-800-171-3.1.13
│ │ │ +001eb5e0: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ +001eb5f0: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ +001eb600: 2d32 2e32 2e34 0a20 202d 2064 6973 6162  -2.2.4.  - disab
│ │ │ +001eb610: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +001eb620: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +001eb630: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +001eb640: 6e0a 2020 2d20 6c6f 775f 7365 7665 7269  n.  - low_severi
│ │ │ +001eb650: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +001eb660: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +001eb670: 6167 655f 7465 6c6e 6574 5f72 656d 6f76  age_telnet_remov
│ │ │ +001eb680: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +001eb690: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +001eb6a0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +001eb6b0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +001eb6c0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +001eb6d0: 6765 743d 2223 6964 6d32 3134 3831 2220  get="#idm21481" 
│ │ │ +001eb6e0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +001eb6f0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +001eb700: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +001eb710: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +001eb720: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +001eb730: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +001eb740: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ +001eb750: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +001eb760: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +001eb770: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +001eb780: 2069 643d 2269 646d 3231 3438 3122 3e3c   id="idm21481"><
│ │ │ +001eb790: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +001eb7a0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +001eb7b0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +001eb7c0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +001eb7d0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +001eb7e0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +001eb7f0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001eb800: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +001eb810: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +001eb820: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +001eb830: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +001eb840: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001eb850: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +001eb860: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +001eb870: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +001eb880: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +001eb890: 7265 6d6f 7665 5f74 656c 6e65 740a 0a63  remove_telnet..c
│ │ │ +001eb8a0: 6c61 7373 2072 656d 6f76 655f 7465 6c6e  lass remove_teln
│ │ │ +001eb8b0: 6574 207b 0a20 2070 6163 6b61 6765 207b  et {.  package {
│ │ │ +001eb8c0: 2027 7465 6c6e 6574 273a 0a20 2020 2065   'telnet':.    e
│ │ │ +001eb8d0: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ +001eb8e0: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │  001eb8f0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  001eb900: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │  001eb910: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │  001eb920: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │  001eb930: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  001eb940: 646d 3231 3438 3222 2074 6162 696e 6465  dm21482" tabinde
│ │ │  001eb950: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ @@ -126224,96 +126224,96 @@
│ │ │  001ed0f0: 612d 7461 7267 6574 3d22 2369 646d 3231  a-target="#idm21
│ │ │  001ed100: 3539 3422 2074 6162 696e 6465 783d 2230  594" tabindex="0
│ │ │  001ed110: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  001ed120: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  001ed130: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  001ed140: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  001ed150: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -001ed160: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ -001ed170: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -001ed180: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -001ed190: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -001ed1a0: 6170 7365 2220 6964 3d22 6964 6d32 3135  apse" id="idm215
│ │ │ -001ed1b0: 3934 223e 3c74 6162 6c65 2063 6c61 7373  94"><table class
│ │ │ -001ed1c0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -001ed1d0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -001ed1e0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -001ed1f0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -001ed200: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -001ed210: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -001ed220: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -001ed230: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -001ed240: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001ed250: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -001ed260: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -001ed270: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -001ed280: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ -001ed290: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -001ed2a0: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ -001ed2b0: 6c75 6465 2072 656d 6f76 655f 7466 7470  lude remove_tftp
│ │ │ -001ed2c0: 2d73 6572 7665 720a 0a63 6c61 7373 2072  -server..class r
│ │ │ -001ed2d0: 656d 6f76 655f 7466 7470 2d73 6572 7665  emove_tftp-serve
│ │ │ -001ed2e0: 7220 7b0a 2020 7061 636b 6167 6520 7b20  r {.  package { 
│ │ │ -001ed2f0: 2774 6674 702d 7365 7276 6572 273a 0a20  'tftp-server':. 
│ │ │ -001ed300: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -001ed310: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │ -001ed320: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -001ed330: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -001ed340: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -001ed350: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -001ed360: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -001ed370: 3d22 2369 646d 3231 3539 3522 2074 6162  ="#idm21595" tab
│ │ │ -001ed380: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -001ed390: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -001ed3a0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -001ed3b0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -001ed3c0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -001ed3d0: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ -001ed3e0: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ -001ed3f0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -001ed400: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -001ed410: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -001ed420: 643d 2269 646d 3231 3539 3522 3e3c 7461  d="idm21595"><ta
│ │ │ -001ed430: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -001ed440: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -001ed450: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -001ed460: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -001ed470: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -001ed480: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -001ed490: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001ed4a0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -001ed4b0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -001ed4c0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -001ed4d0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -001ed4e0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001ed4f0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -001ed500: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -001ed510: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -001ed520: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ -001ed530: 7375 7265 2074 6674 702d 7365 7276 6572  sure tftp-server
│ │ │ -001ed540: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ -001ed550: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -001ed560: 2074 6674 702d 7365 7276 6572 0a20 2020   tftp-server.   
│ │ │ -001ed570: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ -001ed580: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -001ed590: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -001ed5a0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -001ed5b0: 4d2d 3728 6129 0a20 202d 204e 4953 542d  M-7(a).  - NIST-
│ │ │ -001ed5c0: 3830 302d 3533 2d43 4d2d 3728 6229 0a20  800-53-CM-7(b). 
│ │ │ -001ed5d0: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ -001ed5e0: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -001ed5f0: 2e32 2e34 0a20 202d 2064 6973 6162 6c65  .2.4.  - disable
│ │ │ -001ed600: 5f73 7472 6174 6567 790a 2020 2d20 6869  _strategy.  - hi
│ │ │ -001ed610: 6768 5f73 6576 6572 6974 790a 2020 2d20  gh_severity.  - 
│ │ │ -001ed620: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -001ed630: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -001ed640: 6e0a 2020 2d20 6e6f 5f72 6562 6f6f 745f  n.  - no_reboot_
│ │ │ -001ed650: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -001ed660: 6765 5f74 6674 702d 7365 7276 6572 5f72  ge_tftp-server_r
│ │ │ -001ed670: 656d 6f76 6564 0a3c 2f63 6f64 653e 3c2f  emoved.</code></
│ │ │ +001ed160: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +001ed170: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +001ed180: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +001ed190: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +001ed1a0: 6c61 7073 6522 2069 643d 2269 646d 3231  lapse" id="idm21
│ │ │ +001ed1b0: 3539 3422 3e3c 7461 626c 6520 636c 6173  594"><table clas
│ │ │ +001ed1c0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +001ed1d0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +001ed1e0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +001ed1f0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +001ed200: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +001ed210: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +001ed220: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +001ed230: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +001ed240: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +001ed250: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +001ed260: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +001ed270: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +001ed280: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +001ed290: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +001ed2a0: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ +001ed2b0: 6e61 6d65 3a20 456e 7375 7265 2074 6674  name: Ensure tft
│ │ │ +001ed2c0: 702d 7365 7276 6572 2069 7320 7265 6d6f  p-server is remo
│ │ │ +001ed2d0: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ +001ed2e0: 2020 206e 616d 653a 2074 6674 702d 7365     name: tftp-se
│ │ │ +001ed2f0: 7276 6572 0a20 2020 2073 7461 7465 3a20  rver.    state: 
│ │ │ +001ed300: 6162 7365 6e74 0a20 2074 6167 733a 0a20  absent.  tags:. 
│ │ │ +001ed310: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +001ed320: 4d2d 3628 6129 0a20 202d 204e 4953 542d  M-6(a).  - NIST-
│ │ │ +001ed330: 3830 302d 3533 2d43 4d2d 3728 6129 0a20  800-53-CM-7(a). 
│ │ │ +001ed340: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +001ed350: 4d2d 3728 6229 0a20 202d 2050 4349 2d44  M-7(b).  - PCI-D
│ │ │ +001ed360: 5353 7634 2d32 2e32 0a20 202d 2050 4349  SSv4-2.2.  - PCI
│ │ │ +001ed370: 2d44 5353 7634 2d32 2e32 2e34 0a20 202d  -DSSv4-2.2.4.  -
│ │ │ +001ed380: 2064 6973 6162 6c65 5f73 7472 6174 6567   disable_strateg
│ │ │ +001ed390: 790a 2020 2d20 6869 6768 5f73 6576 6572  y.  - high_sever
│ │ │ +001ed3a0: 6974 790a 2020 2d20 6c6f 775f 636f 6d70  ity.  - low_comp
│ │ │ +001ed3b0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +001ed3c0: 6973 7275 7074 696f 6e0a 2020 2d20 6e6f  isruption.  - no
│ │ │ +001ed3d0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +001ed3e0: 202d 2070 6163 6b61 6765 5f74 6674 702d   - package_tftp-
│ │ │ +001ed3f0: 7365 7276 6572 5f72 656d 6f76 6564 0a3c  server_removed.<
│ │ │ +001ed400: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +001ed410: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +001ed420: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +001ed430: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +001ed440: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +001ed450: 2223 6964 6d32 3135 3935 2220 7461 6269  "#idm21595" tabi
│ │ │ +001ed460: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +001ed470: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +001ed480: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +001ed490: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +001ed4a0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +001ed4b0: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +001ed4c0: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +001ed4d0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +001ed4e0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +001ed4f0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +001ed500: 2269 646d 3231 3539 3522 3e3c 7461 626c  "idm21595"><tabl
│ │ │ +001ed510: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +001ed520: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +001ed530: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +001ed540: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +001ed550: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +001ed560: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +001ed570: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +001ed580: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +001ed590: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +001ed5a0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +001ed5b0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +001ed5c0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +001ed5d0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +001ed5e0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +001ed5f0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +001ed600: 6f64 653e 696e 636c 7564 6520 7265 6d6f  ode>include remo
│ │ │ +001ed610: 7665 5f74 6674 702d 7365 7276 6572 0a0a  ve_tftp-server..
│ │ │ +001ed620: 636c 6173 7320 7265 6d6f 7665 5f74 6674  class remove_tft
│ │ │ +001ed630: 702d 7365 7276 6572 207b 0a20 2070 6163  p-server {.  pac
│ │ │ +001ed640: 6b61 6765 207b 2027 7466 7470 2d73 6572  kage { 'tftp-ser
│ │ │ +001ed650: 7665 7227 3a0a 2020 2020 656e 7375 7265  ver':.    ensure
│ │ │ +001ed660: 203d 2667 743b 2027 7075 7267 6564 272c   =&gt; 'purged',
│ │ │ +001ed670: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │  001ed680: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │  001ed690: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │  001ed6a0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │  001ed6b0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │  001ed6c0: 2d74 6172 6765 743d 2223 6964 6d32 3135  -target="#idm215
│ │ │  001ed6d0: 3936 2220 7461 6269 6e64 6578 3d22 3022  96" tabindex="0"
│ │ │  001ed6e0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ @@ -126523,89 +126523,89 @@
│ │ │  001ee3a0: 7461 7267 6574 3d22 2369 646d 3231 3631  target="#idm2161
│ │ │  001ee3b0: 3222 2074 6162 696e 6465 783d 2230 2220  2" tabindex="0" 
│ │ │  001ee3c0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │  001ee3d0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │  001ee3e0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │  001ee3f0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │  001ee400: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -001ee410: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -001ee420: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -001ee430: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -001ee440: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -001ee450: 7365 2220 6964 3d22 6964 6d32 3136 3132  se" id="idm21612
│ │ │ -001ee460: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -001ee470: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -001ee480: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -001ee490: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -001ee4a0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -001ee4b0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -001ee4c0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -001ee4d0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -001ee4e0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -001ee4f0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -001ee500: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -001ee510: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -001ee520: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -001ee530: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -001ee540: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -001ee550: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ -001ee560: 6465 2072 656d 6f76 655f 7466 7470 0a0a  de remove_tftp..
│ │ │ -001ee570: 636c 6173 7320 7265 6d6f 7665 5f74 6674  class remove_tft
│ │ │ -001ee580: 7020 7b0a 2020 7061 636b 6167 6520 7b20  p {.  package { 
│ │ │ -001ee590: 2774 6674 7027 3a0a 2020 2020 656e 7375  'tftp':.    ensu
│ │ │ -001ee5a0: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ -001ee5b0: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -001ee5c0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -001ee5d0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -001ee5e0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -001ee5f0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -001ee600: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ -001ee610: 3136 3133 2220 7461 6269 6e64 6578 3d22  1613" tabindex="
│ │ │ -001ee620: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -001ee630: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -001ee640: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -001ee650: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -001ee660: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -001ee670: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -001ee680: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -001ee690: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -001ee6a0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -001ee6b0: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -001ee6c0: 3136 3133 223e 3c74 6162 6c65 2063 6c61  1613"><table cla
│ │ │ -001ee6d0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -001ee6e0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -001ee6f0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -001ee700: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -001ee710: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -001ee720: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -001ee730: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -001ee740: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -001ee750: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -001ee760: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -001ee770: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -001ee780: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -001ee790: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -001ee7a0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -001ee7b0: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -001ee7c0: 206e 616d 653a 2045 6e73 7572 6520 7466   name: Ensure tf
│ │ │ -001ee7d0: 7470 2069 7320 7265 6d6f 7665 640a 2020  tp is removed.  
│ │ │ -001ee7e0: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ -001ee7f0: 653a 2074 6674 700a 2020 2020 7374 6174  e: tftp.    stat
│ │ │ -001ee800: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ -001ee810: 3a0a 2020 2d20 5043 492d 4453 5376 342d  :.  - PCI-DSSv4-
│ │ │ -001ee820: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ -001ee830: 342d 322e 322e 340a 2020 2d20 6469 7361  4-2.2.4.  - disa
│ │ │ -001ee840: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -001ee850: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -001ee860: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -001ee870: 6f6e 0a20 202d 206c 6f77 5f73 6576 6572  on.  - low_sever
│ │ │ -001ee880: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -001ee890: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -001ee8a0: 6b61 6765 5f74 6674 705f 7265 6d6f 7665  kage_tftp_remove
│ │ │ -001ee8b0: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +001ee410: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ +001ee420: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +001ee430: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +001ee440: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +001ee450: 7073 6522 2069 643d 2269 646d 3231 3631  pse" id="idm2161
│ │ │ +001ee460: 3222 3e3c 7461 626c 6520 636c 6173 733d  2"><table class=
│ │ │ +001ee470: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +001ee480: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +001ee490: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +001ee4a0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +001ee4b0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +001ee4c0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +001ee4d0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +001ee4e0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +001ee4f0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +001ee500: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +001ee510: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +001ee520: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +001ee530: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +001ee540: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +001ee550: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +001ee560: 6d65 3a20 456e 7375 7265 2074 6674 7020  me: Ensure tftp 
│ │ │ +001ee570: 6973 2072 656d 6f76 6564 0a20 2070 6163  is removed.  pac
│ │ │ +001ee580: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ +001ee590: 7466 7470 0a20 2020 2073 7461 7465 3a20  tftp.    state: 
│ │ │ +001ee5a0: 6162 7365 6e74 0a20 2074 6167 733a 0a20  absent.  tags:. 
│ │ │ +001ee5b0: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +001ee5c0: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ +001ee5d0: 2e32 2e34 0a20 202d 2064 6973 6162 6c65  .2.4.  - disable
│ │ │ +001ee5e0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +001ee5f0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +001ee600: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +001ee610: 2020 2d20 6c6f 775f 7365 7665 7269 7479    - low_severity
│ │ │ +001ee620: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +001ee630: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +001ee640: 655f 7466 7470 5f72 656d 6f76 6564 0a3c  e_tftp_removed.<
│ │ │ +001ee650: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +001ee660: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +001ee670: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +001ee680: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +001ee690: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +001ee6a0: 2223 6964 6d32 3136 3133 2220 7461 6269  "#idm21613" tabi
│ │ │ +001ee6b0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +001ee6c0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +001ee6d0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +001ee6e0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +001ee6f0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +001ee700: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +001ee710: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +001ee720: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +001ee730: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +001ee740: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +001ee750: 2269 646d 3231 3631 3322 3e3c 7461 626c  "idm21613"><tabl
│ │ │ +001ee760: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +001ee770: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +001ee780: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +001ee790: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +001ee7a0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +001ee7b0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +001ee7c0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +001ee7d0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +001ee7e0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +001ee7f0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +001ee800: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +001ee810: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +001ee820: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +001ee830: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +001ee840: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +001ee850: 6f64 653e 696e 636c 7564 6520 7265 6d6f  ode>include remo
│ │ │ +001ee860: 7665 5f74 6674 700a 0a63 6c61 7373 2072  ve_tftp..class r
│ │ │ +001ee870: 656d 6f76 655f 7466 7470 207b 0a20 2070  emove_tftp {.  p
│ │ │ +001ee880: 6163 6b61 6765 207b 2027 7466 7470 273a  ackage { 'tftp':
│ │ │ +001ee890: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +001ee8a0: 3b20 2770 7572 6765 6427 2c0a 2020 7d0a  ; 'purged',.  }.
│ │ │ +001ee8b0: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │  001ee8c0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │  001ee8d0: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │  001ee8e0: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │  001ee8f0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │  001ee900: 6574 3d22 2369 646d 3231 3631 3422 2074  et="#idm21614" t
│ │ │  001ee910: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  001ee920: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ @@ -129975,164 +129975,164 @@
│ │ │  001fbb60: 6574 3d22 2369 646d 3232 3232 3322 2074  et="#idm22223" t
│ │ │  001fbb70: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  001fbb80: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  001fbb90: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  001fbba0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  001fbbb0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  001fbbc0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -001fbbd0: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -001fbbe0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -001fbbf0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -001fbc00: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -001fbc10: 6964 3d22 6964 6d32 3232 3233 223e 3c70  id="idm22223"><p
│ │ │ -001fbc20: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ -001fbc30: 2073 7368 5f70 7269 7661 7465 5f6b 6579   ssh_private_key
│ │ │ -001fbc40: 5f70 6572 6d73 0a0a 636c 6173 7320 7373  _perms..class ss
│ │ │ -001fbc50: 685f 7072 6976 6174 655f 6b65 795f 7065  h_private_key_pe
│ │ │ -001fbc60: 726d 7320 7b0a 2020 6578 6563 207b 2027  rms {.  exec { '
│ │ │ -001fbc70: 7373 6864 5f70 7269 765f 6b65 7927 3a0a  sshd_priv_key':.
│ │ │ -001fbc80: 2020 2020 636f 6d6d 616e 6420 3d26 6774      command =&gt
│ │ │ -001fbc90: 3b20 2263 686d 6f64 2030 3634 3020 2f65  ; "chmod 0640 /e
│ │ │ -001fbca0: 7463 2f73 7368 2f2a 5f6b 6579 222c 0a20  tc/ssh/*_key",. 
│ │ │ -001fbcb0: 2020 2070 6174 6820 2020 203d 2667 743b     path    =&gt;
│ │ │ -001fbcc0: 2027 2f62 696e 3a2f 7573 722f 6269 6e27   '/bin:/usr/bin'
│ │ │ -001fbcd0: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │ -001fbce0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -001fbcf0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -001fbd00: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -001fbd10: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -001fbd20: 2d74 6172 6765 743d 2223 6964 6d32 3232  -target="#idm222
│ │ │ -001fbd30: 3234 2220 7461 6269 6e64 6578 3d22 3022  24" tabindex="0"
│ │ │ -001fbd40: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -001fbd50: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -001fbd60: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -001fbd70: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -001fbd80: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -001fbd90: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ -001fbda0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -001fbdb0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -001fbdc0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -001fbdd0: 6170 7365 2220 6964 3d22 6964 6d32 3232  apse" id="idm222
│ │ │ -001fbde0: 3234 223e 3c74 6162 6c65 2063 6c61 7373  24"><table class
│ │ │ -001fbdf0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -001fbe00: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -001fbe10: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -001fbe20: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -001fbe30: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -001fbe40: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -001fbe50: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -001fbe60: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -001fbe70: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001fbe80: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -001fbe90: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -001fbea0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -001fbeb0: 3c2f 7468 3e3c 7464 3e63 6f6e 6669 6775  </th><td>configu
│ │ │ -001fbec0: 7265 3c2f 7464 3e3c 2f74 723e 3c2f 7461  re</td></tr></ta
│ │ │ -001fbed0: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -001fbee0: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ -001fbef0: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ -001fbf00: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ -001fbf10: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ -001fbf20: 746f 0a20 2074 6167 733a 0a20 202d 204e  to.  tags:.  - N
│ │ │ -001fbf30: 4953 542d 3830 302d 3137 312d 332e 312e  IST-800-171-3.1.
│ │ │ -001fbf40: 3133 0a20 202d 204e 4953 542d 3830 302d  13.  - NIST-800-
│ │ │ -001fbf50: 3137 312d 332e 3133 2e31 300a 2020 2d20  171-3.13.10.  - 
│ │ │ -001fbf60: 4e49 5354 2d38 3030 2d35 332d 4143 2d31  NIST-800-53-AC-1
│ │ │ -001fbf70: 3728 6129 0a20 202d 204e 4953 542d 3830  7(a).  - NIST-80
│ │ │ -001fbf80: 302d 3533 2d41 432d 3628 3129 0a20 202d  0-53-AC-6(1).  -
│ │ │ -001fbf90: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -001fbfa0: 3628 6129 0a20 202d 2050 4349 2d44 5353  6(a).  - PCI-DSS
│ │ │ -001fbfb0: 2d52 6571 2d32 2e32 2e34 0a20 202d 2050  -Req-2.2.4.  - P
│ │ │ -001fbfc0: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ -001fbfd0: 2050 4349 2d44 5353 7634 2d32 2e32 2e36   PCI-DSSv4-2.2.6
│ │ │ -001fbfe0: 0a20 202d 2063 6f6e 6669 6775 7265 5f73  .  - configure_s
│ │ │ -001fbff0: 7472 6174 6567 790a 2020 2d20 6669 6c65  trategy.  - file
│ │ │ -001fc000: 5f70 6572 6d69 7373 696f 6e73 5f73 7368  _permissions_ssh
│ │ │ -001fc010: 645f 7072 6976 6174 655f 6b65 790a 2020  d_private_key.  
│ │ │ -001fc020: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -001fc030: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -001fc040: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -001fc050: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -001fc060: 6562 6f6f 745f 6e65 6564 6564 0a0a 2d20  eboot_needed..- 
│ │ │ -001fc070: 6e61 6d65 3a20 4669 6e64 2072 6f6f 743a  name: Find root:
│ │ │ -001fc080: 726f 6f74 2d6f 776e 6564 206b 6579 730a  root-owned keys.
│ │ │ -001fc090: 2020 616e 7369 626c 652e 6275 696c 7469    ansible.builti
│ │ │ -001fc0a0: 6e2e 636f 6d6d 616e 643a 2066 696e 6420  n.command: find 
│ │ │ -001fc0b0: 2d48 202f 6574 632f 7373 682f 202d 6d61  -H /etc/ssh/ -ma
│ │ │ -001fc0c0: 7864 6570 7468 2031 202d 7573 6572 2072  xdepth 1 -user r
│ │ │ -001fc0d0: 6f6f 7420 2d72 6567 6578 2022 2e2a 5f6b  oot -regex ".*_k
│ │ │ -001fc0e0: 6579 2422 0a20 2020 202d 7479 7065 2066  ey$".    -type f
│ │ │ -001fc0f0: 202d 6772 6f75 7020 726f 6f74 202d 7065   -group root -pe
│ │ │ -001fc100: 726d 202f 752b 7873 2c67 2b78 7772 732c  rm /u+xs,g+xwrs,
│ │ │ -001fc110: 6f2b 7877 7274 0a20 2072 6567 6973 7465  o+xwrt.  registe
│ │ │ -001fc120: 723a 2072 6f6f 745f 6f77 6e65 645f 6b65  r: root_owned_ke
│ │ │ -001fc130: 7973 0a20 2063 6861 6e67 6564 5f77 6865  ys.  changed_whe
│ │ │ -001fc140: 6e3a 2066 616c 7365 0a20 2066 6169 6c65  n: false.  faile
│ │ │ -001fc150: 645f 7768 656e 3a20 6661 6c73 650a 2020  d_when: false.  
│ │ │ -001fc160: 6368 6563 6b5f 6d6f 6465 3a20 6661 6c73  check_mode: fals
│ │ │ -001fc170: 650a 2020 7768 656e 3a20 2722 6c69 6e75  e.  when: '"linu
│ │ │ -001fc180: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ -001fc190: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ -001fc1a0: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ -001fc1b0: 4953 542d 3830 302d 3137 312d 332e 312e  IST-800-171-3.1.
│ │ │ -001fc1c0: 3133 0a20 202d 204e 4953 542d 3830 302d  13.  - NIST-800-
│ │ │ -001fc1d0: 3137 312d 332e 3133 2e31 300a 2020 2d20  171-3.13.10.  - 
│ │ │ -001fc1e0: 4e49 5354 2d38 3030 2d35 332d 4143 2d31  NIST-800-53-AC-1
│ │ │ -001fc1f0: 3728 6129 0a20 202d 204e 4953 542d 3830  7(a).  - NIST-80
│ │ │ -001fc200: 302d 3533 2d41 432d 3628 3129 0a20 202d  0-53-AC-6(1).  -
│ │ │ -001fc210: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -001fc220: 3628 6129 0a20 202d 2050 4349 2d44 5353  6(a).  - PCI-DSS
│ │ │ -001fc230: 2d52 6571 2d32 2e32 2e34 0a20 202d 2050  -Req-2.2.4.  - P
│ │ │ -001fc240: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ -001fc250: 2050 4349 2d44 5353 7634 2d32 2e32 2e36   PCI-DSSv4-2.2.6
│ │ │ -001fc260: 0a20 202d 2063 6f6e 6669 6775 7265 5f73  .  - configure_s
│ │ │ -001fc270: 7472 6174 6567 790a 2020 2d20 6669 6c65  trategy.  - file
│ │ │ -001fc280: 5f70 6572 6d69 7373 696f 6e73 5f73 7368  _permissions_ssh
│ │ │ -001fc290: 645f 7072 6976 6174 655f 6b65 790a 2020  d_private_key.  
│ │ │ -001fc2a0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -001fc2b0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -001fc2c0: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -001fc2d0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -001fc2e0: 6562 6f6f 745f 6e65 6564 6564 0a0a 2d20  eboot_needed..- 
│ │ │ -001fc2f0: 6e61 6d65 3a20 5365 7420 7065 726d 6973  name: Set permis
│ │ │ -001fc300: 7369 6f6e 7320 666f 7220 726f 6f74 3a72  sions for root:r
│ │ │ -001fc310: 6f6f 742d 6f77 6e65 6420 6b65 7973 0a20  oot-owned keys. 
│ │ │ -001fc320: 2061 6e73 6962 6c65 2e62 7569 6c74 696e   ansible.builtin
│ │ │ -001fc330: 2e66 696c 653a 0a20 2020 2070 6174 683a  .file:.    path:
│ │ │ -001fc340: 2027 7b7b 2069 7465 6d20 7d7d 270a 2020   '{{ item }}'.  
│ │ │ -001fc350: 2020 6d6f 6465 3a20 752d 7873 2c67 2d78    mode: u-xs,g-x
│ │ │ -001fc360: 7772 732c 6f2d 7877 7274 0a20 2020 2073  wrs,o-xwrt.    s
│ │ │ -001fc370: 7461 7465 3a20 6669 6c65 0a20 2077 6974  tate: file.  wit
│ │ │ -001fc380: 685f 6974 656d 733a 0a20 202d 2027 7b7b  h_items:.  - '{{
│ │ │ -001fc390: 2072 6f6f 745f 6f77 6e65 645f 6b65 7973   root_owned_keys
│ │ │ -001fc3a0: 2e73 7464 6f75 745f 6c69 6e65 7320 7d7d  .stdout_lines }}
│ │ │ -001fc3b0: 270a 2020 7768 656e 3a20 2722 6c69 6e75  '.  when: '"linu
│ │ │ -001fc3c0: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ -001fc3d0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ -001fc3e0: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ -001fc3f0: 4953 542d 3830 302d 3137 312d 332e 312e  IST-800-171-3.1.
│ │ │ -001fc400: 3133 0a20 202d 204e 4953 542d 3830 302d  13.  - NIST-800-
│ │ │ -001fc410: 3137 312d 332e 3133 2e31 300a 2020 2d20  171-3.13.10.  - 
│ │ │ -001fc420: 4e49 5354 2d38 3030 2d35 332d 4143 2d31  NIST-800-53-AC-1
│ │ │ -001fc430: 3728 6129 0a20 202d 204e 4953 542d 3830  7(a).  - NIST-80
│ │ │ -001fc440: 302d 3533 2d41 432d 3628 3129 0a20 202d  0-53-AC-6(1).  -
│ │ │ -001fc450: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -001fc460: 3628 6129 0a20 202d 2050 4349 2d44 5353  6(a).  - PCI-DSS
│ │ │ -001fc470: 2d52 6571 2d32 2e32 2e34 0a20 202d 2050  -Req-2.2.4.  - P
│ │ │ -001fc480: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ -001fc490: 2050 4349 2d44 5353 7634 2d32 2e32 2e36   PCI-DSSv4-2.2.6
│ │ │ -001fc4a0: 0a20 202d 2063 6f6e 6669 6775 7265 5f73  .  - configure_s
│ │ │ -001fc4b0: 7472 6174 6567 790a 2020 2d20 6669 6c65  trategy.  - file
│ │ │ -001fc4c0: 5f70 6572 6d69 7373 696f 6e73 5f73 7368  _permissions_ssh
│ │ │ -001fc4d0: 645f 7072 6976 6174 655f 6b65 790a 2020  d_private_key.  
│ │ │ -001fc4e0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -001fc4f0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -001fc500: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -001fc510: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -001fc520: 6562 6f6f 745f 6e65 6564 6564 0a3c 2f63  eboot_needed.</c
│ │ │ +001fbbd0: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +001fbbe0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +001fbbf0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +001fbc00: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +001fbc10: 2069 643d 2269 646d 3232 3232 3322 3e3c   id="idm22223"><
│ │ │ +001fbc20: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +001fbc30: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +001fbc40: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +001fbc50: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +001fbc60: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +001fbc70: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +001fbc80: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001fbc90: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +001fbca0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +001fbcb0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +001fbcc0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +001fbcd0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001fbce0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +001fbcf0: 3c74 643e 636f 6e66 6967 7572 653c 2f74  <td>configure</t
│ │ │ +001fbd00: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +001fbd10: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +001fbd20: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ +001fbd30: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ +001fbd40: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ +001fbd50: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ +001fbd60: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +001fbd70: 3030 2d31 3731 2d33 2e31 2e31 330a 2020  00-171-3.1.13.  
│ │ │ +001fbd80: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33  - NIST-800-171-3
│ │ │ +001fbd90: 2e31 332e 3130 0a20 202d 204e 4953 542d  .13.10.  - NIST-
│ │ │ +001fbda0: 3830 302d 3533 2d41 432d 3137 2861 290a  800-53-AC-17(a).
│ │ │ +001fbdb0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +001fbdc0: 4143 2d36 2831 290a 2020 2d20 4e49 5354  AC-6(1).  - NIST
│ │ │ +001fbdd0: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +001fbde0: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ +001fbdf0: 322e 322e 340a 2020 2d20 5043 492d 4453  2.2.4.  - PCI-DS
│ │ │ +001fbe00: 5376 342d 322e 320a 2020 2d20 5043 492d  Sv4-2.2.  - PCI-
│ │ │ +001fbe10: 4453 5376 342d 322e 322e 360a 2020 2d20  DSSv4-2.2.6.  - 
│ │ │ +001fbe20: 636f 6e66 6967 7572 655f 7374 7261 7465  configure_strate
│ │ │ +001fbe30: 6779 0a20 202d 2066 696c 655f 7065 726d  gy.  - file_perm
│ │ │ +001fbe40: 6973 7369 6f6e 735f 7373 6864 5f70 7269  issions_sshd_pri
│ │ │ +001fbe50: 7661 7465 5f6b 6579 0a20 202d 206c 6f77  vate_key.  - low
│ │ │ +001fbe60: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +001fbe70: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +001fbe80: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ +001fbe90: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +001fbea0: 5f6e 6565 6465 640a 0a2d 206e 616d 653a  _needed..- name:
│ │ │ +001fbeb0: 2046 696e 6420 726f 6f74 3a72 6f6f 742d   Find root:root-
│ │ │ +001fbec0: 6f77 6e65 6420 6b65 7973 0a20 2061 6e73  owned keys.  ans
│ │ │ +001fbed0: 6962 6c65 2e62 7569 6c74 696e 2e63 6f6d  ible.builtin.com
│ │ │ +001fbee0: 6d61 6e64 3a20 6669 6e64 202d 4820 2f65  mand: find -H /e
│ │ │ +001fbef0: 7463 2f73 7368 2f20 2d6d 6178 6465 7074  tc/ssh/ -maxdept
│ │ │ +001fbf00: 6820 3120 2d75 7365 7220 726f 6f74 202d  h 1 -user root -
│ │ │ +001fbf10: 7265 6765 7820 222e 2a5f 6b65 7924 220a  regex ".*_key$".
│ │ │ +001fbf20: 2020 2020 2d74 7970 6520 6620 2d67 726f      -type f -gro
│ │ │ +001fbf30: 7570 2072 6f6f 7420 2d70 6572 6d20 2f75  up root -perm /u
│ │ │ +001fbf40: 2b78 732c 672b 7877 7273 2c6f 2b78 7772  +xs,g+xwrs,o+xwr
│ │ │ +001fbf50: 740a 2020 7265 6769 7374 6572 3a20 726f  t.  register: ro
│ │ │ +001fbf60: 6f74 5f6f 776e 6564 5f6b 6579 730a 2020  ot_owned_keys.  
│ │ │ +001fbf70: 6368 616e 6765 645f 7768 656e 3a20 6661  changed_when: fa
│ │ │ +001fbf80: 6c73 650a 2020 6661 696c 6564 5f77 6865  lse.  failed_whe
│ │ │ +001fbf90: 6e3a 2066 616c 7365 0a20 2063 6865 636b  n: false.  check
│ │ │ +001fbfa0: 5f6d 6f64 653a 2066 616c 7365 0a20 2077  _mode: false.  w
│ │ │ +001fbfb0: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ +001fbfc0: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ +001fbfd0: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ +001fbfe0: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +001fbff0: 3030 2d31 3731 2d33 2e31 2e31 330a 2020  00-171-3.1.13.  
│ │ │ +001fc000: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33  - NIST-800-171-3
│ │ │ +001fc010: 2e31 332e 3130 0a20 202d 204e 4953 542d  .13.10.  - NIST-
│ │ │ +001fc020: 3830 302d 3533 2d41 432d 3137 2861 290a  800-53-AC-17(a).
│ │ │ +001fc030: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +001fc040: 4143 2d36 2831 290a 2020 2d20 4e49 5354  AC-6(1).  - NIST
│ │ │ +001fc050: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +001fc060: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ +001fc070: 322e 322e 340a 2020 2d20 5043 492d 4453  2.2.4.  - PCI-DS
│ │ │ +001fc080: 5376 342d 322e 320a 2020 2d20 5043 492d  Sv4-2.2.  - PCI-
│ │ │ +001fc090: 4453 5376 342d 322e 322e 360a 2020 2d20  DSSv4-2.2.6.  - 
│ │ │ +001fc0a0: 636f 6e66 6967 7572 655f 7374 7261 7465  configure_strate
│ │ │ +001fc0b0: 6779 0a20 202d 2066 696c 655f 7065 726d  gy.  - file_perm
│ │ │ +001fc0c0: 6973 7369 6f6e 735f 7373 6864 5f70 7269  issions_sshd_pri
│ │ │ +001fc0d0: 7661 7465 5f6b 6579 0a20 202d 206c 6f77  vate_key.  - low
│ │ │ +001fc0e0: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +001fc0f0: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +001fc100: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ +001fc110: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +001fc120: 5f6e 6565 6465 640a 0a2d 206e 616d 653a  _needed..- name:
│ │ │ +001fc130: 2053 6574 2070 6572 6d69 7373 696f 6e73   Set permissions
│ │ │ +001fc140: 2066 6f72 2072 6f6f 743a 726f 6f74 2d6f   for root:root-o
│ │ │ +001fc150: 776e 6564 206b 6579 730a 2020 616e 7369  wned keys.  ansi
│ │ │ +001fc160: 626c 652e 6275 696c 7469 6e2e 6669 6c65  ble.builtin.file
│ │ │ +001fc170: 3a0a 2020 2020 7061 7468 3a20 277b 7b20  :.    path: '{{ 
│ │ │ +001fc180: 6974 656d 207d 7d27 0a20 2020 206d 6f64  item }}'.    mod
│ │ │ +001fc190: 653a 2075 2d78 732c 672d 7877 7273 2c6f  e: u-xs,g-xwrs,o
│ │ │ +001fc1a0: 2d78 7772 740a 2020 2020 7374 6174 653a  -xwrt.    state:
│ │ │ +001fc1b0: 2066 696c 650a 2020 7769 7468 5f69 7465   file.  with_ite
│ │ │ +001fc1c0: 6d73 3a0a 2020 2d20 277b 7b20 726f 6f74  ms:.  - '{{ root
│ │ │ +001fc1d0: 5f6f 776e 6564 5f6b 6579 732e 7374 646f  _owned_keys.stdo
│ │ │ +001fc1e0: 7574 5f6c 696e 6573 207d 7d27 0a20 2077  ut_lines }}'.  w
│ │ │ +001fc1f0: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ +001fc200: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ +001fc210: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ +001fc220: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +001fc230: 3030 2d31 3731 2d33 2e31 2e31 330a 2020  00-171-3.1.13.  
│ │ │ +001fc240: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33  - NIST-800-171-3
│ │ │ +001fc250: 2e31 332e 3130 0a20 202d 204e 4953 542d  .13.10.  - NIST-
│ │ │ +001fc260: 3830 302d 3533 2d41 432d 3137 2861 290a  800-53-AC-17(a).
│ │ │ +001fc270: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +001fc280: 4143 2d36 2831 290a 2020 2d20 4e49 5354  AC-6(1).  - NIST
│ │ │ +001fc290: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +001fc2a0: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ +001fc2b0: 322e 322e 340a 2020 2d20 5043 492d 4453  2.2.4.  - PCI-DS
│ │ │ +001fc2c0: 5376 342d 322e 320a 2020 2d20 5043 492d  Sv4-2.2.  - PCI-
│ │ │ +001fc2d0: 4453 5376 342d 322e 322e 360a 2020 2d20  DSSv4-2.2.6.  - 
│ │ │ +001fc2e0: 636f 6e66 6967 7572 655f 7374 7261 7465  configure_strate
│ │ │ +001fc2f0: 6779 0a20 202d 2066 696c 655f 7065 726d  gy.  - file_perm
│ │ │ +001fc300: 6973 7369 6f6e 735f 7373 6864 5f70 7269  issions_sshd_pri
│ │ │ +001fc310: 7661 7465 5f6b 6579 0a20 202d 206c 6f77  vate_key.  - low
│ │ │ +001fc320: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +001fc330: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +001fc340: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ +001fc350: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +001fc360: 5f6e 6565 6465 640a 3c2f 636f 6465 3e3c  _needed.</code><
│ │ │ +001fc370: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +001fc380: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +001fc390: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +001fc3a0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +001fc3b0: 612d 7461 7267 6574 3d22 2369 646d 3232  a-target="#idm22
│ │ │ +001fc3c0: 3232 3422 2074 6162 696e 6465 783d 2230  224" tabindex="0
│ │ │ +001fc3d0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +001fc3e0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +001fc3f0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +001fc400: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +001fc410: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +001fc420: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +001fc430: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +001fc440: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +001fc450: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +001fc460: 6170 7365 2220 6964 3d22 6964 6d32 3232  apse" id="idm222
│ │ │ +001fc470: 3234 223e 3c70 7265 3e3c 636f 6465 3e69  24"><pre><code>i
│ │ │ +001fc480: 6e63 6c75 6465 2073 7368 5f70 7269 7661  nclude ssh_priva
│ │ │ +001fc490: 7465 5f6b 6579 5f70 6572 6d73 0a0a 636c  te_key_perms..cl
│ │ │ +001fc4a0: 6173 7320 7373 685f 7072 6976 6174 655f  ass ssh_private_
│ │ │ +001fc4b0: 6b65 795f 7065 726d 7320 7b0a 2020 6578  key_perms {.  ex
│ │ │ +001fc4c0: 6563 207b 2027 7373 6864 5f70 7269 765f  ec { 'sshd_priv_
│ │ │ +001fc4d0: 6b65 7927 3a0a 2020 2020 636f 6d6d 616e  key':.    comman
│ │ │ +001fc4e0: 6420 3d26 6774 3b20 2263 686d 6f64 2030  d =&gt; "chmod 0
│ │ │ +001fc4f0: 3634 3020 2f65 7463 2f73 7368 2f2a 5f6b  640 /etc/ssh/*_k
│ │ │ +001fc500: 6579 222c 0a20 2020 2070 6174 6820 2020  ey",.    path   
│ │ │ +001fc510: 203d 2667 743b 2027 2f62 696e 3a2f 7573   =&gt; '/bin:/us
│ │ │ +001fc520: 722f 6269 6e27 0a20 207d 0a7d 0a3c 2f63  r/bin'.  }.}.</c
│ │ │  001fc530: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │  001fc540: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │  001fc550: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │  001fc560: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │  001fc570: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  001fc580: 6964 6d32 3232 3235 2220 7461 6269 6e64  idm22225" tabind
│ │ │  001fc590: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ @@ -130452,161 +130452,161 @@
│ │ │  001fd930: 6765 743d 2223 6964 6d32 3232 3937 2220  get="#idm22297" 
│ │ │  001fd940: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  001fd950: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  001fd960: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  001fd970: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  001fd980: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  001fd990: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -001fd9a0: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -001fd9b0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -001fd9c0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -001fd9d0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -001fd9e0: 2069 643d 2269 646d 3232 3239 3722 3e3c   id="idm22297"><
│ │ │ -001fd9f0: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -001fda00: 6520 7373 685f 7075 626c 6963 5f6b 6579  e ssh_public_key
│ │ │ -001fda10: 5f70 6572 6d73 0a0a 636c 6173 7320 7373  _perms..class ss
│ │ │ -001fda20: 685f 7075 626c 6963 5f6b 6579 5f70 6572  h_public_key_per
│ │ │ -001fda30: 6d73 207b 0a20 2065 7865 6320 7b20 2773  ms {.  exec { 's
│ │ │ -001fda40: 7368 645f 7075 625f 6b65 7927 3a0a 2020  shd_pub_key':.  
│ │ │ -001fda50: 2020 636f 6d6d 616e 6420 3d26 6774 3b20    command =&gt; 
│ │ │ -001fda60: 2263 686d 6f64 2030 3634 3420 2f65 7463  "chmod 0644 /etc
│ │ │ -001fda70: 2f73 7368 2f2a 2e70 7562 222c 0a20 2020  /ssh/*.pub",.   
│ │ │ -001fda80: 2070 6174 6820 2020 203d 2667 743b 2027   path    =&gt; '
│ │ │ -001fda90: 2f62 696e 3a2f 7573 722f 6269 6e27 0a20  /bin:/usr/bin'. 
│ │ │ -001fdaa0: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -001fdab0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -001fdac0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -001fdad0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -001fdae0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -001fdaf0: 6172 6765 743d 2223 6964 6d32 3232 3938  arget="#idm22298
│ │ │ -001fdb00: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -001fdb10: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -001fdb20: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -001fdb30: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -001fdb40: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -001fdb50: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -001fdb60: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -001fdb70: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -001fdb80: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -001fdb90: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -001fdba0: 7365 2220 6964 3d22 6964 6d32 3232 3938  se" id="idm22298
│ │ │ -001fdbb0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -001fdbc0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -001fdbd0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -001fdbe0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -001fdbf0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -001fdc00: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -001fdc10: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -001fdc20: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -001fdc30: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -001fdc40: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -001fdc50: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -001fdc60: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -001fdc70: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -001fdc80: 7468 3e3c 7464 3e63 6f6e 6669 6775 7265  th><td>configure
│ │ │ -001fdc90: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -001fdca0: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ -001fdcb0: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ -001fdcc0: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ -001fdcd0: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ -001fdce0: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ -001fdcf0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -001fdd00: 542d 3830 302d 3137 312d 332e 312e 3133  T-800-171-3.1.13
│ │ │ -001fdd10: 0a20 202d 204e 4953 542d 3830 302d 3137  .  - NIST-800-17
│ │ │ -001fdd20: 312d 332e 3133 2e31 300a 2020 2d20 4e49  1-3.13.10.  - NI
│ │ │ -001fdd30: 5354 2d38 3030 2d35 332d 4143 2d31 3728  ST-800-53-AC-17(
│ │ │ -001fdd40: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ -001fdd50: 3533 2d41 432d 3628 3129 0a20 202d 204e  53-AC-6(1).  - N
│ │ │ -001fdd60: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -001fdd70: 6129 0a20 202d 2050 4349 2d44 5353 2d52  a).  - PCI-DSS-R
│ │ │ -001fdd80: 6571 2d32 2e32 2e34 0a20 202d 2050 4349  eq-2.2.4.  - PCI
│ │ │ -001fdd90: 2d44 5353 7634 2d32 2e32 0a20 202d 2050  -DSSv4-2.2.  - P
│ │ │ -001fdda0: 4349 2d44 5353 7634 2d32 2e32 2e36 0a20  CI-DSSv4-2.2.6. 
│ │ │ -001fddb0: 202d 2063 6f6e 6669 6775 7265 5f73 7472   - configure_str
│ │ │ -001fddc0: 6174 6567 790a 2020 2d20 6669 6c65 5f70  ategy.  - file_p
│ │ │ -001fddd0: 6572 6d69 7373 696f 6e73 5f73 7368 645f  ermissions_sshd_
│ │ │ -001fdde0: 7075 625f 6b65 790a 2020 2d20 6c6f 775f  pub_key.  - low_
│ │ │ -001fddf0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -001fde00: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -001fde10: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -001fde20: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -001fde30: 6e65 6564 6564 0a0a 2d20 6e61 6d65 3a20  needed..- name: 
│ │ │ -001fde40: 4669 6e64 202f 6574 632f 7373 682f 2066  Find /etc/ssh/ f
│ │ │ -001fde50: 696c 6528 7329 0a20 2063 6f6d 6d61 6e64  ile(s).  command
│ │ │ -001fde60: 3a20 6669 6e64 202d 4820 2f65 7463 2f73  : find -H /etc/s
│ │ │ -001fde70: 7368 2f20 2d6d 6178 6465 7074 6820 3120  sh/ -maxdepth 1 
│ │ │ -001fde80: 2d70 6572 6d20 2f75 2b78 732c 672b 7877  -perm /u+xs,g+xw
│ │ │ -001fde90: 732c 6f2b 7877 7420 202d 7479 7065 2066  s,o+xwt  -type f
│ │ │ -001fdea0: 202d 7265 6765 7874 7970 650a 2020 2020   -regextype.    
│ │ │ -001fdeb0: 706f 7369 782d 6578 7465 6e64 6564 202d  posix-extended -
│ │ │ -001fdec0: 7265 6765 7820 225e 2e2a 5c2e 7075 6224  regex "^.*\.pub$
│ │ │ -001fded0: 220a 2020 7265 6769 7374 6572 3a20 6669  ".  register: fi
│ │ │ -001fdee0: 6c65 735f 666f 756e 640a 2020 6368 616e  les_found.  chan
│ │ │ -001fdef0: 6765 645f 7768 656e 3a20 6661 6c73 650a  ged_when: false.
│ │ │ -001fdf00: 2020 6661 696c 6564 5f77 6865 6e3a 2066    failed_when: f
│ │ │ -001fdf10: 616c 7365 0a20 2063 6865 636b 5f6d 6f64  alse.  check_mod
│ │ │ -001fdf20: 653a 2066 616c 7365 0a20 2077 6865 6e3a  e: false.  when:
│ │ │ -001fdf30: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ -001fdf40: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ -001fdf50: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ -001fdf60: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d31  :.  - NIST-800-1
│ │ │ -001fdf70: 3731 2d33 2e31 2e31 330a 2020 2d20 4e49  71-3.1.13.  - NI
│ │ │ -001fdf80: 5354 2d38 3030 2d31 3731 2d33 2e31 332e  ST-800-171-3.13.
│ │ │ -001fdf90: 3130 0a20 202d 204e 4953 542d 3830 302d  10.  - NIST-800-
│ │ │ -001fdfa0: 3533 2d41 432d 3137 2861 290a 2020 2d20  53-AC-17(a).  - 
│ │ │ -001fdfb0: 4e49 5354 2d38 3030 2d35 332d 4143 2d36  NIST-800-53-AC-6
│ │ │ -001fdfc0: 2831 290a 2020 2d20 4e49 5354 2d38 3030  (1).  - NIST-800
│ │ │ -001fdfd0: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ -001fdfe0: 5043 492d 4453 532d 5265 712d 322e 322e  PCI-DSS-Req-2.2.
│ │ │ -001fdff0: 340a 2020 2d20 5043 492d 4453 5376 342d  4.  - PCI-DSSv4-
│ │ │ -001fe000: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ -001fe010: 342d 322e 322e 360a 2020 2d20 636f 6e66  4-2.2.6.  - conf
│ │ │ -001fe020: 6967 7572 655f 7374 7261 7465 6779 0a20  igure_strategy. 
│ │ │ -001fe030: 202d 2066 696c 655f 7065 726d 6973 7369   - file_permissi
│ │ │ -001fe040: 6f6e 735f 7373 6864 5f70 7562 5f6b 6579  ons_sshd_pub_key
│ │ │ -001fe050: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -001fe060: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -001fe070: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ -001fe080: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ -001fe090: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -001fe0a0: 0a2d 206e 616d 653a 2053 6574 2070 6572  .- name: Set per
│ │ │ -001fe0b0: 6d69 7373 696f 6e73 2066 6f72 202f 6574  missions for /et
│ │ │ -001fe0c0: 632f 7373 682f 2066 696c 6528 7329 0a20  c/ssh/ file(s). 
│ │ │ -001fe0d0: 2066 696c 653a 0a20 2020 2070 6174 683a   file:.    path:
│ │ │ -001fe0e0: 2027 7b7b 2069 7465 6d20 7d7d 270a 2020   '{{ item }}'.  
│ │ │ -001fe0f0: 2020 6d6f 6465 3a20 752d 7873 2c67 2d78    mode: u-xs,g-x
│ │ │ -001fe100: 7773 2c6f 2d78 7774 0a20 2020 2073 7461  ws,o-xwt.    sta
│ │ │ -001fe110: 7465 3a20 6669 6c65 0a20 2077 6974 685f  te: file.  with_
│ │ │ -001fe120: 6974 656d 733a 0a20 202d 2027 7b7b 2066  items:.  - '{{ f
│ │ │ -001fe130: 696c 6573 5f66 6f75 6e64 2e73 7464 6f75  iles_found.stdou
│ │ │ -001fe140: 745f 6c69 6e65 7320 7d7d 270a 2020 7768  t_lines }}'.  wh
│ │ │ -001fe150: 656e 3a20 2722 6c69 6e75 782d 6261 7365  en: '"linux-base
│ │ │ -001fe160: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ -001fe170: 7473 2e70 6163 6b61 6765 7327 0a20 2074  ts.packages'.  t
│ │ │ -001fe180: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ -001fe190: 302d 3137 312d 332e 312e 3133 0a20 202d  0-171-3.1.13.  -
│ │ │ -001fe1a0: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ -001fe1b0: 3133 2e31 300a 2020 2d20 4e49 5354 2d38  13.10.  - NIST-8
│ │ │ -001fe1c0: 3030 2d35 332d 4143 2d31 3728 6129 0a20  00-53-AC-17(a). 
│ │ │ -001fe1d0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -001fe1e0: 432d 3628 3129 0a20 202d 204e 4953 542d  C-6(1).  - NIST-
│ │ │ -001fe1f0: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -001fe200: 202d 2050 4349 2d44 5353 2d52 6571 2d32   - PCI-DSS-Req-2
│ │ │ -001fe210: 2e32 2e34 0a20 202d 2050 4349 2d44 5353  .2.4.  - PCI-DSS
│ │ │ -001fe220: 7634 2d32 2e32 0a20 202d 2050 4349 2d44  v4-2.2.  - PCI-D
│ │ │ -001fe230: 5353 7634 2d32 2e32 2e36 0a20 202d 2063  SSv4-2.2.6.  - c
│ │ │ -001fe240: 6f6e 6669 6775 7265 5f73 7472 6174 6567  onfigure_strateg
│ │ │ -001fe250: 790a 2020 2d20 6669 6c65 5f70 6572 6d69  y.  - file_permi
│ │ │ -001fe260: 7373 696f 6e73 5f73 7368 645f 7075 625f  ssions_sshd_pub_
│ │ │ -001fe270: 6b65 790a 2020 2d20 6c6f 775f 636f 6d70  key.  - low_comp
│ │ │ -001fe280: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -001fe290: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ -001fe2a0: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ -001fe2b0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -001fe2c0: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +001fd9a0: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +001fd9b0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +001fd9c0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +001fd9d0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +001fd9e0: 2220 6964 3d22 6964 6d32 3232 3937 223e  " id="idm22297">
│ │ │ +001fd9f0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +001fda00: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +001fda10: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +001fda20: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +001fda30: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +001fda40: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +001fda50: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +001fda60: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +001fda70: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001fda80: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +001fda90: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +001fdaa0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +001fdab0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +001fdac0: 3e3c 7464 3e63 6f6e 6669 6775 7265 3c2f  ><td>configure</
│ │ │ +001fdad0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +001fdae0: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ +001fdaf0: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ +001fdb00: 636b 6167 6520 6661 6374 730a 2020 7061  ckage facts.  pa
│ │ │ +001fdb10: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ +001fdb20: 206d 616e 6167 6572 3a20 6175 746f 0a20   manager: auto. 
│ │ │ +001fdb30: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ +001fdb40: 3830 302d 3137 312d 332e 312e 3133 0a20  800-171-3.1.13. 
│ │ │ +001fdb50: 202d 204e 4953 542d 3830 302d 3137 312d   - NIST-800-171-
│ │ │ +001fdb60: 332e 3133 2e31 300a 2020 2d20 4e49 5354  3.13.10.  - NIST
│ │ │ +001fdb70: 2d38 3030 2d35 332d 4143 2d31 3728 6129  -800-53-AC-17(a)
│ │ │ +001fdb80: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +001fdb90: 2d41 432d 3628 3129 0a20 202d 204e 4953  -AC-6(1).  - NIS
│ │ │ +001fdba0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +001fdbb0: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ +001fdbc0: 2d32 2e32 2e34 0a20 202d 2050 4349 2d44  -2.2.4.  - PCI-D
│ │ │ +001fdbd0: 5353 7634 2d32 2e32 0a20 202d 2050 4349  SSv4-2.2.  - PCI
│ │ │ +001fdbe0: 2d44 5353 7634 2d32 2e32 2e36 0a20 202d  -DSSv4-2.2.6.  -
│ │ │ +001fdbf0: 2063 6f6e 6669 6775 7265 5f73 7472 6174   configure_strat
│ │ │ +001fdc00: 6567 790a 2020 2d20 6669 6c65 5f70 6572  egy.  - file_per
│ │ │ +001fdc10: 6d69 7373 696f 6e73 5f73 7368 645f 7075  missions_sshd_pu
│ │ │ +001fdc20: 625f 6b65 790a 2020 2d20 6c6f 775f 636f  b_key.  - low_co
│ │ │ +001fdc30: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +001fdc40: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +001fdc50: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +001fdc60: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +001fdc70: 6564 6564 0a0a 2d20 6e61 6d65 3a20 4669  eded..- name: Fi
│ │ │ +001fdc80: 6e64 202f 6574 632f 7373 682f 2066 696c  nd /etc/ssh/ fil
│ │ │ +001fdc90: 6528 7329 0a20 2063 6f6d 6d61 6e64 3a20  e(s).  command: 
│ │ │ +001fdca0: 6669 6e64 202d 4820 2f65 7463 2f73 7368  find -H /etc/ssh
│ │ │ +001fdcb0: 2f20 2d6d 6178 6465 7074 6820 3120 2d70  / -maxdepth 1 -p
│ │ │ +001fdcc0: 6572 6d20 2f75 2b78 732c 672b 7877 732c  erm /u+xs,g+xws,
│ │ │ +001fdcd0: 6f2b 7877 7420 202d 7479 7065 2066 202d  o+xwt  -type f -
│ │ │ +001fdce0: 7265 6765 7874 7970 650a 2020 2020 706f  regextype.    po
│ │ │ +001fdcf0: 7369 782d 6578 7465 6e64 6564 202d 7265  six-extended -re
│ │ │ +001fdd00: 6765 7820 225e 2e2a 5c2e 7075 6224 220a  gex "^.*\.pub$".
│ │ │ +001fdd10: 2020 7265 6769 7374 6572 3a20 6669 6c65    register: file
│ │ │ +001fdd20: 735f 666f 756e 640a 2020 6368 616e 6765  s_found.  change
│ │ │ +001fdd30: 645f 7768 656e 3a20 6661 6c73 650a 2020  d_when: false.  
│ │ │ +001fdd40: 6661 696c 6564 5f77 6865 6e3a 2066 616c  failed_when: fal
│ │ │ +001fdd50: 7365 0a20 2063 6865 636b 5f6d 6f64 653a  se.  check_mode:
│ │ │ +001fdd60: 2066 616c 7365 0a20 2077 6865 6e3a 2027   false.  when: '
│ │ │ +001fdd70: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ +001fdd80: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ +001fdd90: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ +001fdda0: 2020 2d20 4e49 5354 2d38 3030 2d31 3731    - NIST-800-171
│ │ │ +001fddb0: 2d33 2e31 2e31 330a 2020 2d20 4e49 5354  -3.1.13.  - NIST
│ │ │ +001fddc0: 2d38 3030 2d31 3731 2d33 2e31 332e 3130  -800-171-3.13.10
│ │ │ +001fddd0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +001fdde0: 2d41 432d 3137 2861 290a 2020 2d20 4e49  -AC-17(a).  - NI
│ │ │ +001fddf0: 5354 2d38 3030 2d35 332d 4143 2d36 2831  ST-800-53-AC-6(1
│ │ │ +001fde00: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +001fde10: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ +001fde20: 492d 4453 532d 5265 712d 322e 322e 340a  I-DSS-Req-2.2.4.
│ │ │ +001fde30: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ +001fde40: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ +001fde50: 322e 322e 360a 2020 2d20 636f 6e66 6967  2.2.6.  - config
│ │ │ +001fde60: 7572 655f 7374 7261 7465 6779 0a20 202d  ure_strategy.  -
│ │ │ +001fde70: 2066 696c 655f 7065 726d 6973 7369 6f6e   file_permission
│ │ │ +001fde80: 735f 7373 6864 5f70 7562 5f6b 6579 0a20  s_sshd_pub_key. 
│ │ │ +001fde90: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +001fdea0: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +001fdeb0: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ +001fdec0: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ +001fded0: 7265 626f 6f74 5f6e 6565 6465 640a 0a2d  reboot_needed..-
│ │ │ +001fdee0: 206e 616d 653a 2053 6574 2070 6572 6d69   name: Set permi
│ │ │ +001fdef0: 7373 696f 6e73 2066 6f72 202f 6574 632f  ssions for /etc/
│ │ │ +001fdf00: 7373 682f 2066 696c 6528 7329 0a20 2066  ssh/ file(s).  f
│ │ │ +001fdf10: 696c 653a 0a20 2020 2070 6174 683a 2027  ile:.    path: '
│ │ │ +001fdf20: 7b7b 2069 7465 6d20 7d7d 270a 2020 2020  {{ item }}'.    
│ │ │ +001fdf30: 6d6f 6465 3a20 752d 7873 2c67 2d78 7773  mode: u-xs,g-xws
│ │ │ +001fdf40: 2c6f 2d78 7774 0a20 2020 2073 7461 7465  ,o-xwt.    state
│ │ │ +001fdf50: 3a20 6669 6c65 0a20 2077 6974 685f 6974  : file.  with_it
│ │ │ +001fdf60: 656d 733a 0a20 202d 2027 7b7b 2066 696c  ems:.  - '{{ fil
│ │ │ +001fdf70: 6573 5f66 6f75 6e64 2e73 7464 6f75 745f  es_found.stdout_
│ │ │ +001fdf80: 6c69 6e65 7320 7d7d 270a 2020 7768 656e  lines }}'.  when
│ │ │ +001fdf90: 3a20 2722 6c69 6e75 782d 6261 7365 2220  : '"linux-base" 
│ │ │ +001fdfa0: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ +001fdfb0: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ +001fdfc0: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +001fdfd0: 3137 312d 332e 312e 3133 0a20 202d 204e  171-3.1.13.  - N
│ │ │ +001fdfe0: 4953 542d 3830 302d 3137 312d 332e 3133  IST-800-171-3.13
│ │ │ +001fdff0: 2e31 300a 2020 2d20 4e49 5354 2d38 3030  .10.  - NIST-800
│ │ │ +001fe000: 2d35 332d 4143 2d31 3728 6129 0a20 202d  -53-AC-17(a).  -
│ │ │ +001fe010: 204e 4953 542d 3830 302d 3533 2d41 432d   NIST-800-53-AC-
│ │ │ +001fe020: 3628 3129 0a20 202d 204e 4953 542d 3830  6(1).  - NIST-80
│ │ │ +001fe030: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +001fe040: 2050 4349 2d44 5353 2d52 6571 2d32 2e32   PCI-DSS-Req-2.2
│ │ │ +001fe050: 2e34 0a20 202d 2050 4349 2d44 5353 7634  .4.  - PCI-DSSv4
│ │ │ +001fe060: 2d32 2e32 0a20 202d 2050 4349 2d44 5353  -2.2.  - PCI-DSS
│ │ │ +001fe070: 7634 2d32 2e32 2e36 0a20 202d 2063 6f6e  v4-2.2.6.  - con
│ │ │ +001fe080: 6669 6775 7265 5f73 7472 6174 6567 790a  figure_strategy.
│ │ │ +001fe090: 2020 2d20 6669 6c65 5f70 6572 6d69 7373    - file_permiss
│ │ │ +001fe0a0: 696f 6e73 5f73 7368 645f 7075 625f 6b65  ions_sshd_pub_ke
│ │ │ +001fe0b0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +001fe0c0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +001fe0d0: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +001fe0e0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +001fe0f0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +001fe100: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +001fe110: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +001fe120: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +001fe130: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +001fe140: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +001fe150: 743d 2223 6964 6d32 3232 3938 2220 7461  t="#idm22298" ta
│ │ │ +001fe160: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +001fe170: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +001fe180: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +001fe190: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +001fe1a0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +001fe1b0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +001fe1c0: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ +001fe1d0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +001fe1e0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +001fe1f0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +001fe200: 643d 2269 646d 3232 3239 3822 3e3c 7072  d="idm22298"><pr
│ │ │ +001fe210: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +001fe220: 7373 685f 7075 626c 6963 5f6b 6579 5f70  ssh_public_key_p
│ │ │ +001fe230: 6572 6d73 0a0a 636c 6173 7320 7373 685f  erms..class ssh_
│ │ │ +001fe240: 7075 626c 6963 5f6b 6579 5f70 6572 6d73  public_key_perms
│ │ │ +001fe250: 207b 0a20 2065 7865 6320 7b20 2773 7368   {.  exec { 'ssh
│ │ │ +001fe260: 645f 7075 625f 6b65 7927 3a0a 2020 2020  d_pub_key':.    
│ │ │ +001fe270: 636f 6d6d 616e 6420 3d26 6774 3b20 2263  command =&gt; "c
│ │ │ +001fe280: 686d 6f64 2030 3634 3420 2f65 7463 2f73  hmod 0644 /etc/s
│ │ │ +001fe290: 7368 2f2a 2e70 7562 222c 0a20 2020 2070  sh/*.pub",.    p
│ │ │ +001fe2a0: 6174 6820 2020 203d 2667 743b 2027 2f62  ath    =&gt; '/b
│ │ │ +001fe2b0: 696e 3a2f 7573 722f 6269 6e27 0a20 207d  in:/usr/bin'.  }
│ │ │ +001fe2c0: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │  001fe2d0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │  001fe2e0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │  001fe2f0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │  001fe300: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │  001fe310: 6765 743d 2223 6964 6d32 3232 3939 2220  get="#idm22299" 
│ │ │  001fe320: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  001fe330: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ @@ -226172,153 +226172,153 @@
│ │ │  003737b0: 612d 7461 7267 6574 3d22 2369 646d 3234  a-target="#idm24
│ │ │  003737c0: 3634 3722 2074 6162 696e 6465 783d 2230  647" tabindex="0
│ │ │  003737d0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  003737e0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  003737f0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  00373800: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  00373810: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00373820: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ -00373830: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ -00373840: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00373850: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00373860: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00373870: 2069 643d 2269 646d 3234 3634 3722 3e3c   id="idm24647"><
│ │ │ -00373880: 7072 653e 3c63 6f64 653e 0a5b 5b70 6163  pre><code>.[[pac
│ │ │ -00373890: 6b61 6765 735d 5d0a 6e61 6d65 203d 2022  kages]].name = "
│ │ │ -003738a0: 6175 6469 7464 220a 7665 7273 696f 6e20  auditd".version 
│ │ │ -003738b0: 3d20 222a 220a 3c2f 636f 6465 3e3c 2f70  = "*".</code></p
│ │ │ -003738c0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -003738d0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -003738e0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -003738f0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -00373900: 7461 7267 6574 3d22 2369 646d 3234 3634  target="#idm2464
│ │ │ -00373910: 3822 2074 6162 696e 6465 783d 2230 2220  8" tabindex="0" 
│ │ │ -00373920: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00373930: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00373940: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00373950: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00373960: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00373970: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -00373980: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00373990: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -003739a0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -003739b0: 7365 2220 6964 3d22 6964 6d32 3436 3438  se" id="idm24648
│ │ │ -003739c0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -003739d0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -003739e0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -003739f0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00373a00: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00373a10: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00373a20: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00373a30: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00373a40: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00373a50: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00373a60: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00373a70: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00373a80: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00373a90: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00373aa0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00373ab0: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -00373ac0: 6520 696e 7374 616c 6c5f 6175 6469 7464  e install_auditd
│ │ │ -00373ad0: 0a0a 636c 6173 7320 696e 7374 616c 6c5f  ..class install_
│ │ │ -00373ae0: 6175 6469 7464 207b 0a20 2070 6163 6b61  auditd {.  packa
│ │ │ -00373af0: 6765 207b 2027 6175 6469 7464 273a 0a20  ge { 'auditd':. 
│ │ │ -00373b00: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -00373b10: 2769 6e73 7461 6c6c 6564 272c 0a20 207d  'installed',.  }
│ │ │ -00373b20: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -00373b30: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -00373b40: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -00373b50: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -00373b60: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -00373b70: 6765 743d 2223 6964 6d32 3436 3439 2220  get="#idm24649" 
│ │ │ -00373b80: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -00373b90: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -00373ba0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -00373bb0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -00373bc0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -00373bd0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00373be0: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -00373bf0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -00373c00: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00373c10: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00373c20: 2220 6964 3d22 6964 6d32 3436 3439 223e  " id="idm24649">
│ │ │ -00373c30: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00373c40: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00373c50: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00373c60: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00373c70: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00373c80: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00373c90: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00373ca0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -00373cb0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00373cc0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00373cd0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00373ce0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00373cf0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00373d00: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ -00373d10: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00373d20: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ -00373d30: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ -00373d40: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ -00373d50: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ -00373d60: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ -00373d70: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ -00373d80: 2d35 332d 4143 2d37 2861 290a 2020 2d20  -53-AC-7(a).  - 
│ │ │ -00373d90: 4e49 5354 2d38 3030 2d35 332d 4155 2d31  NIST-800-53-AU-1
│ │ │ -00373da0: 3228 3229 0a20 202d 204e 4953 542d 3830  2(2).  - NIST-80
│ │ │ -00373db0: 302d 3533 2d41 552d 3134 0a20 202d 204e  0-53-AU-14.  - N
│ │ │ -00373dc0: 4953 542d 3830 302d 3533 2d41 552d 3228  IST-800-53-AU-2(
│ │ │ -00373dd0: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ -00373de0: 3533 2d41 552d 3728 3129 0a20 202d 204e  53-AU-7(1).  - N
│ │ │ -00373df0: 4953 542d 3830 302d 3533 2d41 552d 3728  IST-800-53-AU-7(
│ │ │ -00373e00: 3229 0a20 202d 204e 4953 542d 3830 302d  2).  - NIST-800-
│ │ │ -00373e10: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ -00373e20: 4349 2d44 5353 2d52 6571 2d31 302e 310a  CI-DSS-Req-10.1.
│ │ │ -00373e30: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ -00373e40: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -00373e50: 2d31 302e 322e 310a 2020 2d20 656e 6162  -10.2.1.  - enab
│ │ │ -00373e60: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00373e70: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -00373e80: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -00373e90: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ -00373ea0: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ -00373eb0: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -00373ec0: 6163 6b61 6765 5f61 7564 6974 5f69 6e73  ackage_audit_ins
│ │ │ -00373ed0: 7461 6c6c 6564 0a0a 2d20 6e61 6d65 3a20  talled..- name: 
│ │ │ -00373ee0: 456e 7375 7265 2061 7564 6974 6420 6973  Ensure auditd is
│ │ │ -00373ef0: 2069 6e73 7461 6c6c 6564 0a20 2070 6163   installed.  pac
│ │ │ -00373f00: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -00373f10: 6175 6469 7464 0a20 2020 2073 7461 7465  auditd.    state
│ │ │ -00373f20: 3a20 7072 6573 656e 740a 2020 7768 656e  : present.  when
│ │ │ -00373f30: 3a20 2722 6c69 6e75 782d 6261 7365 2220  : '"linux-base" 
│ │ │ -00373f40: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ -00373f50: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ -00373f60: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -00373f70: 3533 2d41 432d 3728 6129 0a20 202d 204e  53-AC-7(a).  - N
│ │ │ -00373f80: 4953 542d 3830 302d 3533 2d41 552d 3132  IST-800-53-AU-12
│ │ │ -00373f90: 2832 290a 2020 2d20 4e49 5354 2d38 3030  (2).  - NIST-800
│ │ │ -00373fa0: 2d35 332d 4155 2d31 340a 2020 2d20 4e49  -53-AU-14.  - NI
│ │ │ -00373fb0: 5354 2d38 3030 2d35 332d 4155 2d32 2861  ST-800-53-AU-2(a
│ │ │ -00373fc0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00373fd0: 332d 4155 2d37 2831 290a 2020 2d20 4e49  3-AU-7(1).  - NI
│ │ │ -00373fe0: 5354 2d38 3030 2d35 332d 4155 2d37 2832  ST-800-53-AU-7(2
│ │ │ -00373ff0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00374000: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ -00374010: 492d 4453 532d 5265 712d 3130 2e31 0a20  I-DSS-Req-10.1. 
│ │ │ -00374020: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ -00374030: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ -00374040: 3130 2e32 2e31 0a20 202d 2065 6e61 626c  10.2.1.  - enabl
│ │ │ -00374050: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -00374060: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -00374070: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -00374080: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -00374090: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -003740a0: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -003740b0: 636b 6167 655f 6175 6469 745f 696e 7374  ckage_audit_inst
│ │ │ -003740c0: 616c 6c65 640a 3c2f 636f 6465 3e3c 2f70  alled.</code></p
│ │ │ +00373820: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +00373830: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00373840: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00373850: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00373860: 6c61 7073 6522 2069 643d 2269 646d 3234  lapse" id="idm24
│ │ │ +00373870: 3634 3722 3e3c 7461 626c 6520 636c 6173  647"><table clas
│ │ │ +00373880: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00373890: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +003738a0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +003738b0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +003738c0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +003738d0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +003738e0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +003738f0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +00373900: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00373910: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00373920: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00373930: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00373940: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +00373950: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00373960: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +00373970: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ +00373980: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ +00373990: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ +003739a0: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ +003739b0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +003739c0: 542d 3830 302d 3533 2d41 432d 3728 6129  T-800-53-AC-7(a)
│ │ │ +003739d0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +003739e0: 2d41 552d 3132 2832 290a 2020 2d20 4e49  -AU-12(2).  - NI
│ │ │ +003739f0: 5354 2d38 3030 2d35 332d 4155 2d31 340a  ST-800-53-AU-14.
│ │ │ +00373a00: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00373a10: 4155 2d32 2861 290a 2020 2d20 4e49 5354  AU-2(a).  - NIST
│ │ │ +00373a20: 2d38 3030 2d35 332d 4155 2d37 2831 290a  -800-53-AU-7(1).
│ │ │ +00373a30: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00373a40: 4155 2d37 2832 290a 2020 2d20 4e49 5354  AU-7(2).  - NIST
│ │ │ +00373a50: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +00373a60: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ +00373a70: 3130 2e31 0a20 202d 2050 4349 2d44 5353  10.1.  - PCI-DSS
│ │ │ +00373a80: 7634 2d31 302e 320a 2020 2d20 5043 492d  v4-10.2.  - PCI-
│ │ │ +00373a90: 4453 5376 342d 3130 2e32 2e31 0a20 202d  DSSv4-10.2.1.  -
│ │ │ +00373aa0: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ +00373ab0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +00373ac0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +00373ad0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ +00373ae0: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ +00373af0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +00373b00: 2020 2d20 7061 636b 6167 655f 6175 6469    - package_audi
│ │ │ +00373b10: 745f 696e 7374 616c 6c65 640a 0a2d 206e  t_installed..- n
│ │ │ +00373b20: 616d 653a 2045 6e73 7572 6520 6175 6469  ame: Ensure audi
│ │ │ +00373b30: 7464 2069 7320 696e 7374 616c 6c65 640a  td is installed.
│ │ │ +00373b40: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ +00373b50: 616d 653a 2061 7564 6974 640a 2020 2020  ame: auditd.    
│ │ │ +00373b60: 7374 6174 653a 2070 7265 7365 6e74 0a20  state: present. 
│ │ │ +00373b70: 2077 6865 6e3a 2027 226c 696e 7578 2d62   when: '"linux-b
│ │ │ +00373b80: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ +00373b90: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +00373ba0: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +00373bb0: 2d38 3030 2d35 332d 4143 2d37 2861 290a  -800-53-AC-7(a).
│ │ │ +00373bc0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00373bd0: 4155 2d31 3228 3229 0a20 202d 204e 4953  AU-12(2).  - NIS
│ │ │ +00373be0: 542d 3830 302d 3533 2d41 552d 3134 0a20  T-800-53-AU-14. 
│ │ │ +00373bf0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +00373c00: 552d 3228 6129 0a20 202d 204e 4953 542d  U-2(a).  - NIST-
│ │ │ +00373c10: 3830 302d 3533 2d41 552d 3728 3129 0a20  800-53-AU-7(1). 
│ │ │ +00373c20: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +00373c30: 552d 3728 3229 0a20 202d 204e 4953 542d  U-7(2).  - NIST-
│ │ │ +00373c40: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ +00373c50: 202d 2050 4349 2d44 5353 2d52 6571 2d31   - PCI-DSS-Req-1
│ │ │ +00373c60: 302e 310a 2020 2d20 5043 492d 4453 5376  0.1.  - PCI-DSSv
│ │ │ +00373c70: 342d 3130 2e32 0a20 202d 2050 4349 2d44  4-10.2.  - PCI-D
│ │ │ +00373c80: 5353 7634 2d31 302e 322e 310a 2020 2d20  SSv4-10.2.1.  - 
│ │ │ +00373c90: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +00373ca0: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +00373cb0: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +00373cc0: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +00373cd0: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +00373ce0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +00373cf0: 202d 2070 6163 6b61 6765 5f61 7564 6974   - package_audit
│ │ │ +00373d00: 5f69 6e73 7461 6c6c 6564 0a3c 2f63 6f64  _installed.</cod
│ │ │ +00373d10: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00373d20: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00373d30: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00373d40: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00373d50: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00373d60: 6d32 3436 3438 2220 7461 6269 6e64 6578  m24648" tabindex
│ │ │ +00373d70: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +00373d80: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +00373d90: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00373da0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +00373db0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00373dc0: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ +00373dd0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +00373de0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +00373df0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00373e00: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00373e10: 3234 3634 3822 3e3c 7461 626c 6520 636c  24648"><table cl
│ │ │ +00373e20: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +00373e30: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +00373e40: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +00373e50: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +00373e60: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +00373e70: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00373e80: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +00373e90: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +00373ea0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00373eb0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +00373ec0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +00373ed0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +00373ee0: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ +00373ef0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +00373f00: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ +00373f10: 6e63 6c75 6465 2069 6e73 7461 6c6c 5f61  nclude install_a
│ │ │ +00373f20: 7564 6974 640a 0a63 6c61 7373 2069 6e73  uditd..class ins
│ │ │ +00373f30: 7461 6c6c 5f61 7564 6974 6420 7b0a 2020  tall_auditd {.  
│ │ │ +00373f40: 7061 636b 6167 6520 7b20 2761 7564 6974  package { 'audit
│ │ │ +00373f50: 6427 3a0a 2020 2020 656e 7375 7265 203d  d':.    ensure =
│ │ │ +00373f60: 2667 743b 2027 696e 7374 616c 6c65 6427  &gt; 'installed'
│ │ │ +00373f70: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │ +00373f80: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +00373f90: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +00373fa0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +00373fb0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +00373fc0: 612d 7461 7267 6574 3d22 2369 646d 3234  a-target="#idm24
│ │ │ +00373fd0: 3634 3922 2074 6162 696e 6465 783d 2230  649" tabindex="0
│ │ │ +00373fe0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +00373ff0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +00374000: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +00374010: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +00374020: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +00374030: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ +00374040: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ +00374050: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00374060: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00374070: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00374080: 2069 643d 2269 646d 3234 3634 3922 3e3c   id="idm24649"><
│ │ │ +00374090: 7072 653e 3c63 6f64 653e 0a5b 5b70 6163  pre><code>.[[pac
│ │ │ +003740a0: 6b61 6765 735d 5d0a 6e61 6d65 203d 2022  kages]].name = "
│ │ │ +003740b0: 6175 6469 7464 220a 7665 7273 696f 6e20  auditd".version 
│ │ │ +003740c0: 3d20 222a 220a 3c2f 636f 6465 3e3c 2f70  = "*".</code></p
│ │ │  003740d0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │  003740e0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │  003740f0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │  00374100: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │  00374110: 7461 7267 6574 3d22 2369 646d 3234 3635  target="#idm2465
│ │ │  00374120: 3022 2074 6162 696e 6465 783d 2230 2220  0" tabindex="0" 
│ │ │  00374130: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ @@ -226779,191 +226779,191 @@
│ │ │  00375da0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  00375db0: 6964 6d32 3438 3438 2220 7461 6269 6e64  idm24848" tabind
│ │ │  00375dc0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │  00375dd0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │  00375de0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │  00375df0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │  00375e00: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -00375e10: 5265 6d65 6469 6174 696f 6e20 4f53 4275  Remediation OSBu
│ │ │ -00375e20: 696c 6420 426c 7565 7072 696e 7420 736e  ild Blueprint sn
│ │ │ -00375e30: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -00375e40: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -00375e50: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -00375e60: 6170 7365 2220 6964 3d22 6964 6d32 3438  apse" id="idm248
│ │ │ -00375e70: 3438 223e 3c70 7265 3e3c 636f 6465 3e0a  48"><pre><code>.
│ │ │ -00375e80: 5b63 7573 746f 6d69 7a61 7469 6f6e 732e  [customizations.
│ │ │ -00375e90: 7365 7276 6963 6573 5d0a 656e 6162 6c65  services].enable
│ │ │ -00375ea0: 6420 3d20 5b22 6175 6469 7464 225d 0a3c  d = ["auditd"].<
│ │ │ -00375eb0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -00375ec0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -00375ed0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -00375ee0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -00375ef0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -00375f00: 2223 6964 6d32 3438 3439 2220 7461 6269  "#idm24849" tabi
│ │ │ -00375f10: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -00375f20: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -00375f30: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -00375f40: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -00375f50: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00375f60: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ -00375f70: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ -00375f80: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00375f90: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00375fa0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00375fb0: 2269 646d 3234 3834 3922 3e3c 7461 626c  "idm24849"><tabl
│ │ │ -00375fc0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00375fd0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00375fe0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00375ff0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00376000: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00376010: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00376020: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00376030: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00376040: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00376050: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00376060: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00376070: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00376080: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00376090: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -003760a0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -003760b0: 6465 3e69 6e63 6c75 6465 2065 6e61 626c  de>include enabl
│ │ │ -003760c0: 655f 6175 6469 7464 0a0a 636c 6173 7320  e_auditd..class 
│ │ │ -003760d0: 656e 6162 6c65 5f61 7564 6974 6420 7b0a  enable_auditd {.
│ │ │ -003760e0: 2020 7365 7276 6963 6520 7b27 6175 6469    service {'audi
│ │ │ -003760f0: 7464 273a 0a20 2020 2065 6e61 626c 6520  td':.    enable 
│ │ │ -00376100: 3d26 6774 3b20 7472 7565 2c0a 2020 2020  =&gt; true,.    
│ │ │ -00376110: 656e 7375 7265 203d 2667 743b 2027 7275  ensure =&gt; 'ru
│ │ │ -00376120: 6e6e 696e 6727 2c0a 2020 7d0a 7d0a 3c2f  nning',.  }.}.</
│ │ │ -00376130: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00376140: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00376150: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00376160: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00376170: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00376180: 2369 646d 3234 3835 3022 2074 6162 696e  #idm24850" tabin
│ │ │ -00376190: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -003761a0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -003761b0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -003761c0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -003761d0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -003761e0: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -003761f0: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -00376200: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00376210: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00376220: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00376230: 2269 646d 3234 3835 3022 3e3c 7461 626c  "idm24850"><tabl
│ │ │ -00376240: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00376250: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00376260: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00376270: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00376280: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00376290: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -003762a0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -003762b0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -003762c0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -003762d0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -003762e0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -003762f0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00376300: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00376310: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -00376320: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00376330: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ -00376340: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ -00376350: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ -00376360: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ -00376370: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ -00376380: 202d 2043 4a49 532d 352e 342e 312e 310a   - CJIS-5.4.1.1.
│ │ │ -00376390: 2020 2d20 4e49 5354 2d38 3030 2d31 3731    - NIST-800-171
│ │ │ -003763a0: 2d33 2e33 2e31 0a20 202d 204e 4953 542d  -3.3.1.  - NIST-
│ │ │ -003763b0: 3830 302d 3137 312d 332e 332e 320a 2020  800-171-3.3.2.  
│ │ │ -003763c0: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33  - NIST-800-171-3
│ │ │ -003763d0: 2e33 2e36 0a20 202d 204e 4953 542d 3830  .3.6.  - NIST-80
│ │ │ -003763e0: 302d 3533 2d41 432d 3228 6729 0a20 202d  0-53-AC-2(g).  -
│ │ │ -003763f0: 204e 4953 542d 3830 302d 3533 2d41 432d   NIST-800-53-AC-
│ │ │ -00376400: 3628 3929 0a20 202d 204e 4953 542d 3830  6(9).  - NIST-80
│ │ │ -00376410: 302d 3533 2d41 552d 3130 0a20 202d 204e  0-53-AU-10.  - N
│ │ │ -00376420: 4953 542d 3830 302d 3533 2d41 552d 3132  IST-800-53-AU-12
│ │ │ -00376430: 2863 290a 2020 2d20 4e49 5354 2d38 3030  (c).  - NIST-800
│ │ │ -00376440: 2d35 332d 4155 2d31 3428 3129 0a20 202d  -53-AU-14(1).  -
│ │ │ -00376450: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -00376460: 3228 6429 0a20 202d 204e 4953 542d 3830  2(d).  - NIST-80
│ │ │ -00376470: 302d 3533 2d41 552d 330a 2020 2d20 4e49  0-53-AU-3.  - NI
│ │ │ -00376480: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -00376490: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -003764a0: 332d 5349 2d34 2832 3329 0a20 202d 2050  3-SI-4(23).  - P
│ │ │ -003764b0: 4349 2d44 5353 2d52 6571 2d31 302e 310a  CI-DSS-Req-10.1.
│ │ │ -003764c0: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ -003764d0: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -003764e0: 2d31 302e 322e 310a 2020 2d20 656e 6162  -10.2.1.  - enab
│ │ │ -003764f0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00376500: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -00376510: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -00376520: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ -00376530: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ -00376540: 6f6f 745f 6e65 6564 6564 0a20 202d 2073  oot_needed.  - s
│ │ │ -00376550: 6572 7669 6365 5f61 7564 6974 645f 656e  ervice_auditd_en
│ │ │ -00376560: 6162 6c65 640a 0a2d 206e 616d 653a 2045  abled..- name: E
│ │ │ -00376570: 6e61 626c 6520 6175 6469 7464 2053 6572  nable auditd Ser
│ │ │ -00376580: 7669 6365 202d 2045 6e61 626c 6520 7365  vice - Enable se
│ │ │ -00376590: 7276 6963 6520 6175 6469 7464 0a20 2062  rvice auditd.  b
│ │ │ -003765a0: 6c6f 636b 3a0a 0a20 202d 206e 616d 653a  lock:..  - name:
│ │ │ -003765b0: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -003765c0: 6167 6520 6661 6374 730a 2020 2020 7061  age facts.    pa
│ │ │ -003765d0: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ -003765e0: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ -003765f0: 0a0a 2020 2d20 6e61 6d65 3a20 456e 6162  ..  - name: Enab
│ │ │ -00376600: 6c65 2061 7564 6974 6420 5365 7276 6963  le auditd Servic
│ │ │ -00376610: 6520 2d20 456e 6162 6c65 2053 6572 7669  e - Enable Servi
│ │ │ -00376620: 6365 2061 7564 6974 640a 2020 2020 616e  ce auditd.    an
│ │ │ -00376630: 7369 626c 652e 6275 696c 7469 6e2e 7379  sible.builtin.sy
│ │ │ -00376640: 7374 656d 643a 0a20 2020 2020 206e 616d  stemd:.      nam
│ │ │ -00376650: 653a 2061 7564 6974 640a 2020 2020 2020  e: auditd.      
│ │ │ -00376660: 656e 6162 6c65 643a 2074 7275 650a 2020  enabled: true.  
│ │ │ -00376670: 2020 2020 7374 6174 653a 2073 7461 7274      state: start
│ │ │ -00376680: 6564 0a20 2020 2020 206d 6173 6b65 643a  ed.      masked:
│ │ │ -00376690: 2066 616c 7365 0a20 2020 2077 6865 6e3a   false.    when:
│ │ │ -003766a0: 0a20 2020 202d 2027 2261 7564 6974 6422  .    - '"auditd"
│ │ │ -003766b0: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ -003766c0: 732e 7061 636b 6167 6573 270a 2020 7768  s.packages'.  wh
│ │ │ -003766d0: 656e 3a0a 2020 2d20 2722 6c69 6e75 782d  en:.  - '"linux-
│ │ │ -003766e0: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ -003766f0: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ -00376700: 0a20 202d 2027 2261 7564 6974 6422 2069  .  - '"auditd" i
│ │ │ -00376710: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ -00376720: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ -00376730: 3a0a 2020 2d20 434a 4953 2d35 2e34 2e31  :.  - CJIS-5.4.1
│ │ │ -00376740: 2e31 0a20 202d 204e 4953 542d 3830 302d  .1.  - NIST-800-
│ │ │ -00376750: 3137 312d 332e 332e 310a 2020 2d20 4e49  171-3.3.1.  - NI
│ │ │ -00376760: 5354 2d38 3030 2d31 3731 2d33 2e33 2e32  ST-800-171-3.3.2
│ │ │ -00376770: 0a20 202d 204e 4953 542d 3830 302d 3137  .  - NIST-800-17
│ │ │ -00376780: 312d 332e 332e 360a 2020 2d20 4e49 5354  1-3.3.6.  - NIST
│ │ │ -00376790: 2d38 3030 2d35 332d 4143 2d32 2867 290a  -800-53-AC-2(g).
│ │ │ -003767a0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -003767b0: 4143 2d36 2839 290a 2020 2d20 4e49 5354  AC-6(9).  - NIST
│ │ │ -003767c0: 2d38 3030 2d35 332d 4155 2d31 300a 2020  -800-53-AU-10.  
│ │ │ -003767d0: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ -003767e0: 2d31 3228 6329 0a20 202d 204e 4953 542d  -12(c).  - NIST-
│ │ │ -003767f0: 3830 302d 3533 2d41 552d 3134 2831 290a  800-53-AU-14(1).
│ │ │ -00376800: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00376810: 4155 2d32 2864 290a 2020 2d20 4e49 5354  AU-2(d).  - NIST
│ │ │ -00376820: 2d38 3030 2d35 332d 4155 2d33 0a20 202d  -800-53-AU-3.  -
│ │ │ -00376830: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -00376840: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ -00376850: 302d 3533 2d53 492d 3428 3233 290a 2020  0-53-SI-4(23).  
│ │ │ -00376860: 2d20 5043 492d 4453 532d 5265 712d 3130  - PCI-DSS-Req-10
│ │ │ -00376870: 2e31 0a20 202d 2050 4349 2d44 5353 7634  .1.  - PCI-DSSv4
│ │ │ -00376880: 2d31 302e 320a 2020 2d20 5043 492d 4453  -10.2.  - PCI-DS
│ │ │ -00376890: 5376 342d 3130 2e32 2e31 0a20 202d 2065  Sv4-10.2.1.  - e
│ │ │ -003768a0: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -003768b0: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -003768c0: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -003768d0: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -003768e0: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -003768f0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -00376900: 2d20 7365 7276 6963 655f 6175 6469 7464  - service_auditd
│ │ │ -00376910: 5f65 6e61 626c 6564 0a3c 2f63 6f64 653e  _enabled.</code>
│ │ │ +00375e10: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ +00375e20: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ +00375e30: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00375e40: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00375e50: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00375e60: 6964 6d32 3438 3438 223e 3c74 6162 6c65  idm24848"><table
│ │ │ +00375e70: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00375e80: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00375e90: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00375ea0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00375eb0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00375ec0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00375ed0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00375ee0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00375ef0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00375f00: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00375f10: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00375f20: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00375f30: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +00375f40: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +00375f50: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00375f60: 653e 2d20 6e61 6d65 3a20 4761 7468 6572  e>- name: Gather
│ │ │ +00375f70: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ +00375f80: 7473 0a20 2070 6163 6b61 6765 5f66 6163  ts.  package_fac
│ │ │ +00375f90: 7473 3a0a 2020 2020 6d61 6e61 6765 723a  ts:.    manager:
│ │ │ +00375fa0: 2061 7574 6f0a 2020 7461 6773 3a0a 2020   auto.  tags:.  
│ │ │ +00375fb0: 2d20 434a 4953 2d35 2e34 2e31 2e31 0a20  - CJIS-5.4.1.1. 
│ │ │ +00375fc0: 202d 204e 4953 542d 3830 302d 3137 312d   - NIST-800-171-
│ │ │ +00375fd0: 332e 332e 310a 2020 2d20 4e49 5354 2d38  3.3.1.  - NIST-8
│ │ │ +00375fe0: 3030 2d31 3731 2d33 2e33 2e32 0a20 202d  00-171-3.3.2.  -
│ │ │ +00375ff0: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ +00376000: 332e 360a 2020 2d20 4e49 5354 2d38 3030  3.6.  - NIST-800
│ │ │ +00376010: 2d35 332d 4143 2d32 2867 290a 2020 2d20  -53-AC-2(g).  - 
│ │ │ +00376020: 4e49 5354 2d38 3030 2d35 332d 4143 2d36  NIST-800-53-AC-6
│ │ │ +00376030: 2839 290a 2020 2d20 4e49 5354 2d38 3030  (9).  - NIST-800
│ │ │ +00376040: 2d35 332d 4155 2d31 300a 2020 2d20 4e49  -53-AU-10.  - NI
│ │ │ +00376050: 5354 2d38 3030 2d35 332d 4155 2d31 3228  ST-800-53-AU-12(
│ │ │ +00376060: 6329 0a20 202d 204e 4953 542d 3830 302d  c).  - NIST-800-
│ │ │ +00376070: 3533 2d41 552d 3134 2831 290a 2020 2d20  53-AU-14(1).  - 
│ │ │ +00376080: 4e49 5354 2d38 3030 2d35 332d 4155 2d32  NIST-800-53-AU-2
│ │ │ +00376090: 2864 290a 2020 2d20 4e49 5354 2d38 3030  (d).  - NIST-800
│ │ │ +003760a0: 2d35 332d 4155 2d33 0a20 202d 204e 4953  -53-AU-3.  - NIS
│ │ │ +003760b0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +003760c0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +003760d0: 2d53 492d 3428 3233 290a 2020 2d20 5043  -SI-4(23).  - PC
│ │ │ +003760e0: 492d 4453 532d 5265 712d 3130 2e31 0a20  I-DSS-Req-10.1. 
│ │ │ +003760f0: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ +00376100: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ +00376110: 3130 2e32 2e31 0a20 202d 2065 6e61 626c  10.2.1.  - enabl
│ │ │ +00376120: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +00376130: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +00376140: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +00376150: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ +00376160: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ +00376170: 6f74 5f6e 6565 6465 640a 2020 2d20 7365  ot_needed.  - se
│ │ │ +00376180: 7276 6963 655f 6175 6469 7464 5f65 6e61  rvice_auditd_ena
│ │ │ +00376190: 626c 6564 0a0a 2d20 6e61 6d65 3a20 456e  bled..- name: En
│ │ │ +003761a0: 6162 6c65 2061 7564 6974 6420 5365 7276  able auditd Serv
│ │ │ +003761b0: 6963 6520 2d20 456e 6162 6c65 2073 6572  ice - Enable ser
│ │ │ +003761c0: 7669 6365 2061 7564 6974 640a 2020 626c  vice auditd.  bl
│ │ │ +003761d0: 6f63 6b3a 0a0a 2020 2d20 6e61 6d65 3a20  ock:..  - name: 
│ │ │ +003761e0: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ +003761f0: 6765 2066 6163 7473 0a20 2020 2070 6163  ge facts.    pac
│ │ │ +00376200: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ +00376210: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ +00376220: 0a20 202d 206e 616d 653a 2045 6e61 626c  .  - name: Enabl
│ │ │ +00376230: 6520 6175 6469 7464 2053 6572 7669 6365  e auditd Service
│ │ │ +00376240: 202d 2045 6e61 626c 6520 5365 7276 6963   - Enable Servic
│ │ │ +00376250: 6520 6175 6469 7464 0a20 2020 2061 6e73  e auditd.    ans
│ │ │ +00376260: 6962 6c65 2e62 7569 6c74 696e 2e73 7973  ible.builtin.sys
│ │ │ +00376270: 7465 6d64 3a0a 2020 2020 2020 6e61 6d65  temd:.      name
│ │ │ +00376280: 3a20 6175 6469 7464 0a20 2020 2020 2065  : auditd.      e
│ │ │ +00376290: 6e61 626c 6564 3a20 7472 7565 0a20 2020  nabled: true.   
│ │ │ +003762a0: 2020 2073 7461 7465 3a20 7374 6172 7465     state: starte
│ │ │ +003762b0: 640a 2020 2020 2020 6d61 736b 6564 3a20  d.      masked: 
│ │ │ +003762c0: 6661 6c73 650a 2020 2020 7768 656e 3a0a  false.    when:.
│ │ │ +003762d0: 2020 2020 2d20 2722 6175 6469 7464 2220      - '"auditd" 
│ │ │ +003762e0: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ +003762f0: 2e70 6163 6b61 6765 7327 0a20 2077 6865  .packages'.  whe
│ │ │ +00376300: 6e3a 0a20 202d 2027 226c 696e 7578 2d62  n:.  - '"linux-b
│ │ │ +00376310: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ +00376320: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +00376330: 2020 2d20 2722 6175 6469 7464 2220 696e    - '"auditd" in
│ │ │ +00376340: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ +00376350: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ +00376360: 0a20 202d 2043 4a49 532d 352e 342e 312e  .  - CJIS-5.4.1.
│ │ │ +00376370: 310a 2020 2d20 4e49 5354 2d38 3030 2d31  1.  - NIST-800-1
│ │ │ +00376380: 3731 2d33 2e33 2e31 0a20 202d 204e 4953  71-3.3.1.  - NIS
│ │ │ +00376390: 542d 3830 302d 3137 312d 332e 332e 320a  T-800-171-3.3.2.
│ │ │ +003763a0: 2020 2d20 4e49 5354 2d38 3030 2d31 3731    - NIST-800-171
│ │ │ +003763b0: 2d33 2e33 2e36 0a20 202d 204e 4953 542d  -3.3.6.  - NIST-
│ │ │ +003763c0: 3830 302d 3533 2d41 432d 3228 6729 0a20  800-53-AC-2(g). 
│ │ │ +003763d0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +003763e0: 432d 3628 3929 0a20 202d 204e 4953 542d  C-6(9).  - NIST-
│ │ │ +003763f0: 3830 302d 3533 2d41 552d 3130 0a20 202d  800-53-AU-10.  -
│ │ │ +00376400: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +00376410: 3132 2863 290a 2020 2d20 4e49 5354 2d38  12(c).  - NIST-8
│ │ │ +00376420: 3030 2d35 332d 4155 2d31 3428 3129 0a20  00-53-AU-14(1). 
│ │ │ +00376430: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +00376440: 552d 3228 6429 0a20 202d 204e 4953 542d  U-2(d).  - NIST-
│ │ │ +00376450: 3830 302d 3533 2d41 552d 330a 2020 2d20  800-53-AU-3.  - 
│ │ │ +00376460: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ +00376470: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ +00376480: 2d35 332d 5349 2d34 2832 3329 0a20 202d  -53-SI-4(23).  -
│ │ │ +00376490: 2050 4349 2d44 5353 2d52 6571 2d31 302e   PCI-DSS-Req-10.
│ │ │ +003764a0: 310a 2020 2d20 5043 492d 4453 5376 342d  1.  - PCI-DSSv4-
│ │ │ +003764b0: 3130 2e32 0a20 202d 2050 4349 2d44 5353  10.2.  - PCI-DSS
│ │ │ +003764c0: 7634 2d31 302e 322e 310a 2020 2d20 656e  v4-10.2.1.  - en
│ │ │ +003764d0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +003764e0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +003764f0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +00376500: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +00376510: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +00376520: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +00376530: 2073 6572 7669 6365 5f61 7564 6974 645f   service_auditd_
│ │ │ +00376540: 656e 6162 6c65 640a 3c2f 636f 6465 3e3c  enabled.</code><
│ │ │ +00376550: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +00376560: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +00376570: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +00376580: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +00376590: 612d 7461 7267 6574 3d22 2369 646d 3234  a-target="#idm24
│ │ │ +003765a0: 3834 3922 2074 6162 696e 6465 783d 2230  849" tabindex="0
│ │ │ +003765b0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +003765c0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +003765d0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +003765e0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +003765f0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +00376600: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +00376610: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00376620: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00376630: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00376640: 6170 7365 2220 6964 3d22 6964 6d32 3438  apse" id="idm248
│ │ │ +00376650: 3439 223e 3c74 6162 6c65 2063 6c61 7373  49"><table class
│ │ │ +00376660: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00376670: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00376680: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +00376690: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +003766a0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +003766b0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +003766c0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +003766d0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +003766e0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +003766f0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00376700: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00376710: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00376720: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +00376730: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00376740: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ +00376750: 7564 6520 656e 6162 6c65 5f61 7564 6974  ude enable_audit
│ │ │ +00376760: 640a 0a63 6c61 7373 2065 6e61 626c 655f  d..class enable_
│ │ │ +00376770: 6175 6469 7464 207b 0a20 2073 6572 7669  auditd {.  servi
│ │ │ +00376780: 6365 207b 2761 7564 6974 6427 3a0a 2020  ce {'auditd':.  
│ │ │ +00376790: 2020 656e 6162 6c65 203d 2667 743b 2074    enable =&gt; t
│ │ │ +003767a0: 7275 652c 0a20 2020 2065 6e73 7572 6520  rue,.    ensure 
│ │ │ +003767b0: 3d26 6774 3b20 2772 756e 6e69 6e67 272c  =&gt; 'running',
│ │ │ +003767c0: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │ +003767d0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +003767e0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +003767f0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00376800: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00376810: 2d74 6172 6765 743d 2223 6964 6d32 3438  -target="#idm248
│ │ │ +00376820: 3530 2220 7461 6269 6e64 6578 3d22 3022  50" tabindex="0"
│ │ │ +00376830: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +00376840: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +00376850: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +00376860: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +00376870: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +00376880: 6174 696f 6e20 4f53 4275 696c 6420 426c  ation OSBuild Bl
│ │ │ +00376890: 7565 7072 696e 7420 736e 6970 7065 7420  ueprint snippet 
│ │ │ +003768a0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +003768b0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +003768c0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +003768d0: 6964 3d22 6964 6d32 3438 3530 223e 3c70  id="idm24850"><p
│ │ │ +003768e0: 7265 3e3c 636f 6465 3e0a 5b63 7573 746f  re><code>.[custo
│ │ │ +003768f0: 6d69 7a61 7469 6f6e 732e 7365 7276 6963  mizations.servic
│ │ │ +00376900: 6573 5d0a 656e 6162 6c65 6420 3d20 5b22  es].enabled = ["
│ │ │ +00376910: 6175 6469 7464 225d 0a3c 2f63 6f64 653e  auditd"].</code>
│ │ │  00376920: 3c2f 7072 653e 3c2f 6469 763e 3c2f 6469  </pre></div></di
│ │ │  00376930: 763e 3c2f 7464 3e3c 2f74 723e 3c2f 7462  v></td></tr></tb
│ │ │  00376940: 6f64 793e 3c2f 7461 626c 653e 3c2f 7464  ody></table></td
│ │ │  00376950: 3e3c 2f74 723e 3c2f 7462 6f64 793e 3c2f  ></tr></tbody></
│ │ │  00376960: 7461 626c 653e 3c2f 6469 763e 3c64 6976  table></div><div
│ │ │  00376970: 2069 643d 2272 6561 722d 6d61 7474 6572   id="rear-matter
│ │ │  00376980: 223e 3c64 6976 2063 6c61 7373 3d22 726f  "><div class="ro
│ │ │ ├── html2text {}
│ │ │ │ @@ -113,31 +113,14 @@
│ │ │ │                             A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4, A.14.2.7, A.15.2.1, A.8.2.3
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-7, PR.DS-1, PR.DS-6, PR.DS-8, PR.IP-1, PR.IP-3
│ │ │ │              _p_c_i_d_s_s         Req-11.5
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000445-GPOS-00199
│ │ │ │              _a_n_s_s_i          R76, R79
│ │ │ │              _p_c_i_d_s_s_4        11.5.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "aide"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_aide
│ │ │ │ -
│ │ │ │ -class install_aide {
│ │ │ │ -  package { 'aide':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -166,14 +149,31 @@
│ │ │ │    - PCI-DSSv4-11.5.2
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_aide_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_aide
│ │ │ │ +
│ │ │ │ +class install_aide {
│ │ │ │ +  package { 'aide':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "aide"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -586,31 +586,14 @@
│ │ │ │              _d_i_s_a    CCI-002235
│ │ │ │              _i_s_m     1382, 1384, 1386
│ │ │ │              _n_i_s_t    CM-6(a)
│ │ │ │  References: _o_s_p_p    FMT_MOF_EXT.1
│ │ │ │              _o_s_-_s_r_g  SRG-OS-000324-GPOS-00125
│ │ │ │              _a_n_s_s_i   R33
│ │ │ │              _p_c_i_d_s_s_4 2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "sudo"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_sudo
│ │ │ │ -
│ │ │ │ -class install_sudo {
│ │ │ │ -  package { 'sudo':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -637,14 +620,31 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_sudo_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_sudo
│ │ │ │ +
│ │ │ │ +class install_sudo {
│ │ │ │ +  package { 'sudo':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "sudo"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -3221,31 +3221,14 @@
│ │ │ │  Rationale:  password in resisting attempts at guessing and brute-force attacks. "pwquality" enforces
│ │ │ │              complex password construction configuration and has the ability to limit brute-force
│ │ │ │              attacks on the system.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_pam_pwquality_installed
│ │ │ │  References: _d_i_s_a   CCI-000366
│ │ │ │              _o_s_-_s_r_g SRG-OS-000480-GPOS-00225
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "libpam-pwquality"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_libpam-pwquality
│ │ │ │ -
│ │ │ │ -class install_libpam-pwquality {
│ │ │ │ -  package { 'libpam-pwquality':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -3266,14 +3249,31 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_pam_pwquality_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_libpam-pwquality
│ │ │ │ +
│ │ │ │ +class install_libpam-pwquality {
│ │ │ │ +  package { 'libpam-pwquality':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "libpam-pwquality"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}\n' 'libpam-runtime' 2>/dev/null | grep -
│ │ │ │ @@ -4666,31 +4666,14 @@
│ │ │ │              Control system will be available.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_apparmor_installed
│ │ │ │              _d_i_s_a   CCI-001764, CCI-001774, CCI-002165, CCI-002235
│ │ │ │  References: _o_s_-_s_r_g SRG-OS-000368-GPOS-00154, SRG-OS-000312-GPOS-00122, SRG-OS-000312-GPOS-00123, SRG-
│ │ │ │                     OS-000312-GPOS-00124, SRG-OS-000324-GPOS-00125, SRG-OS-000370-GPOS-00155
│ │ │ │              _a_n_s_s_i  R45
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "apparmor"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_apparmor
│ │ │ │ -
│ │ │ │ -class install_apparmor {
│ │ │ │ -  package { 'apparmor':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Ensure apparmor is installed
│ │ │ │    package:
│ │ │ │ @@ -4700,14 +4683,31 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_apparmor_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_apparmor
│ │ │ │ +
│ │ │ │ +class install_apparmor {
│ │ │ │ +  package { 'apparmor':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "apparmor"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then
│ │ │ │ @@ -4726,31 +4726,14 @@
│ │ │ │              _d_i_s_a   CCI-001764, CCI-001774, CCI-002165, CCI-002233, CCI-002235
│ │ │ │              _n_i_s_t   AC-3(4), AC-6(8), AC-6(10), CM-7(5)(b), CM-7(2), SC-7(21), CM-6(a)
│ │ │ │                     SRG-OS-000312-GPOS-00122, SRG-OS-000312-GPOS-00123, SRG-OS-000312-GPOS-00124, SRG-
│ │ │ │  References: _o_s_-_s_r_g OS-000324-GPOS-00125, SRG-OS-000326-GPOS-00126, SRG-OS-000370-GPOS-00155, SRG-OS-
│ │ │ │                     000480-GPOS-00230, SRG-OS-000480-GPOS-00227, SRG-OS-000480-GPOS-00231, SRG-OS-
│ │ │ │                     000480-GPOS-00232
│ │ │ │              _a_n_s_s_i  R45
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "libpam-apparmor"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_libpam-apparmor
│ │ │ │ -
│ │ │ │ -class install_libpam-apparmor {
│ │ │ │ -  package { 'libpam-apparmor':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Ensure libpam-apparmor is installed
│ │ │ │    package:
│ │ │ │ @@ -4767,14 +4750,31 @@
│ │ │ │    - NIST-800-53-SC-7(21)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_pam_apparmor_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_libpam-apparmor
│ │ │ │ +
│ │ │ │ +class install_libpam-apparmor {
│ │ │ │ +  package { 'libpam-apparmor':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "libpam-apparmor"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then
│ │ │ │ @@ -4957,31 +4957,14 @@
│ │ │ │              _d_i_s_a   CCI-001764, CCI-001774, CCI-002165, CCI-002233, CCI-002235
│ │ │ │              _n_i_s_t   AC-3(4), AC-6(8), AC-6(10), CM-7(5)(b), CM-7(2), SC-7(21), CM-6(a)
│ │ │ │                     SRG-OS-000312-GPOS-00122, SRG-OS-000312-GPOS-00123, SRG-OS-000312-GPOS-00124, SRG-
│ │ │ │  References: _o_s_-_s_r_g OS-000324-GPOS-00125, SRG-OS-000326-GPOS-00126, SRG-OS-000370-GPOS-00155, SRG-OS-
│ │ │ │                     000480-GPOS-00230, SRG-OS-000480-GPOS-00227, SRG-OS-000480-GPOS-00231, SRG-OS-
│ │ │ │                     000480-GPOS-00232
│ │ │ │              _a_n_s_s_i  R45
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["apparmor"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_apparmor
│ │ │ │ -
│ │ │ │ -class enable_apparmor {
│ │ │ │ -  service {'apparmor':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  - name: Start apparmor.service
│ │ │ │    systemd:
│ │ │ │      name: apparmor.service
│ │ │ │      state: started
│ │ │ │      enabled: true
│ │ │ │    when: ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"]
│ │ │ │ @@ -4991,14 +4974,31 @@
│ │ │ │    - NIST-800-53-AC-6(8)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(2)
│ │ │ │    - NIST-800-53-CM-7(5)(b)
│ │ │ │    - NIST-800-53-SC-7(21)
│ │ │ │    - apparmor_configured
│ │ │ │    - medium_severity
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_apparmor
│ │ │ │ +
│ │ │ │ +class enable_apparmor {
│ │ │ │ +  service {'apparmor':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["apparmor"]
│ │ │ │  ****** RRuullee? ?  EEnnssuurree AAppppAArrmmoorr iiss eennaabblleedd iinn tthhee bboooottllooaaddeerr ccoonnffiigguurraattiioonn ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Configure AppArmor to be enabled at boot time and verify that it has not been overwritten by the
│ │ │ │  bootloader boot parameters. Note: This recommendation is designed around the grub bootloader, if LILO
│ │ │ │  or another bootloader is in use in your environment, enact equivalent settings.
│ │ │ │  Rationale:  AppArmor must be enabled at boot time in your bootloader configuration to ensure that the
│ │ │ │              controls it provides are not overridden.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -9350,31 +9350,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │  References: _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.7
│ │ │ │              _a_n_s_s_i          R71
│ │ │ │              _p_c_i_d_s_s_4        10.5.1, 10.5
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "logrotate"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_logrotate
│ │ │ │ -
│ │ │ │ -class install_logrotate {
│ │ │ │ -  package { 'logrotate':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -9403,14 +9386,31 @@
│ │ │ │    - PCI-DSSv4-10.5.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_logrotate_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_logrotate
│ │ │ │ +
│ │ │ │ +class install_logrotate {
│ │ │ │ +  package { 'logrotate':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "logrotate"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -9744,31 +9744,14 @@
│ │ │ │  Rationale:  The rsyslog-gnutls package provides Transport Layer Security (TLS) support for the
│ │ │ │              rsyslog daemon, which enables secure remote logging.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_rsyslog-gnutls_installed
│ │ │ │              _d_i_s_a   CCI-000366, CCI-000803
│ │ │ │  References: _o_s_-_s_r_g SRG-OS-000480-GPOS-00227, SRG-OS-000120-GPOS-00061
│ │ │ │              _a_n_s_s_i  R71
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog-gnutls"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog-gnutls
│ │ │ │ -
│ │ │ │ -class install_rsyslog-gnutls {
│ │ │ │ -  package { 'rsyslog-gnutls':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -9789,14 +9772,31 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsyslog-gnutls_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog-gnutls
│ │ │ │ +
│ │ │ │ +class install_rsyslog-gnutls {
│ │ │ │ +  package { 'rsyslog-gnutls':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog-gnutls"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -9820,31 +9820,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2, 4.4.2.4
│ │ │ │  References: _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000479-GPOS-00224, SRG-OS-000051-GPOS-00024, SRG-OS-000480-GPOS-
│ │ │ │                             00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -9867,14 +9850,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsyslog_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -9902,31 +9902,14 @@
│ │ │ │  References: _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.2.6.7, 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2, 4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1, SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1, A.14.2.7,
│ │ │ │                             A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -9962,14 +9945,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]
│ │ │ │  Group   Network Configuration and Firewalls   Group contains 8 groups and 53 rules
│ │ │ │  _[_r_e_f_]   Most systems must be connected to a network of some sort, and this brings with it the
│ │ │ │  substantial risk of network attack. This section discusses the security impact of decisions about
│ │ │ │  networking which must be made when configuring a system.
│ │ │ │  
│ │ │ │  This section also discusses firewalls, network access controls, and other network security
│ │ │ │  frameworks, which allow system-level rules to be written that can limit an attackers' ability to
│ │ │ │ @@ -26865,26 +26865,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 1.5, SR 1.6, SR 1.7, SR 1.8, SR 1.9, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR
│ │ │ │                             2.5, SR 2.6, SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_dhcp
│ │ │ │ -
│ │ │ │ -class remove_dhcp {
│ │ │ │ -  package { 'dhcp':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure dhcp is removed
│ │ │ │    package:
│ │ │ │ @@ -26898,14 +26886,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_dhcp_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_dhcp
│ │ │ │ +
│ │ │ │ +class remove_dhcp {
│ │ │ │ +  package { 'dhcp':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove dhcp
│ │ │ │ @@ -26918,26 +26918,14 @@
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll kkeeaa PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  If the system does not need to act as a DHCP server, the kea package can be uninstalled.
│ │ │ │  Rationale:  Removing the DHCP server ensures that it cannot be easily or accidentally reactivated and
│ │ │ │              disrupt network operation.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_kea_removed
│ │ │ │  References: _a_n_s_s_i R62
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_kea
│ │ │ │ -
│ │ │ │ -class remove_kea {
│ │ │ │ -  package { 'kea':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure kea is removed
│ │ │ │    package:
│ │ │ │ @@ -26946,14 +26934,26 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_kea_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_kea
│ │ │ │ +
│ │ │ │ +class remove_kea {
│ │ │ │ +  package { 'kea':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove kea
│ │ │ │ @@ -27141,26 +27141,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 1.5, SR 1.6, SR 1.7, SR 1.8, SR 1.9, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR
│ │ │ │                             2.5, SR 2.6, SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227, SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_sendmail
│ │ │ │ -
│ │ │ │ -class remove_sendmail {
│ │ │ │ -  package { 'sendmail':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -27187,14 +27175,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_sendmail_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_sendmail
│ │ │ │ +
│ │ │ │ +class remove_sendmail {
│ │ │ │ +  package { 'sendmail':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -27266,31 +27266,14 @@
│ │ │ │              _d_i_s_a    CCI-004923
│ │ │ │              _i_s_m     0988, 1405
│ │ │ │              _o_s_p_p    FMT_SMF_EXT.1
│ │ │ │  References: _p_c_i_d_s_s  Req-10.4
│ │ │ │              _o_s_-_s_r_g  SRG-OS-000355-GPOS-00143
│ │ │ │              _a_n_s_s_i   R71
│ │ │ │              _p_c_i_d_s_s_4 10.6.1, 10.6
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "chrony"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_chrony
│ │ │ │ -
│ │ │ │ -class install_chrony {
│ │ │ │ -  package { 'chrony':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -27317,14 +27300,31 @@
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_chrony_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_chrony
│ │ │ │ +
│ │ │ │ +class install_chrony {
│ │ │ │ +  package { 'chrony':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "chrony"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -27728,26 +27728,14 @@
│ │ │ │                             5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1, A.13.2.1, A.14.1.3,
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_xinetd
│ │ │ │ -
│ │ │ │ -class remove_xinetd {
│ │ │ │ -  package { 'xinetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -27778,14 +27766,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_xinetd_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_xinetd
│ │ │ │ +
│ │ │ │ +class remove_xinetd {
│ │ │ │ +  package { 'xinetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -27817,26 +27817,14 @@
│ │ │ │              recommended that the service be removed.
│ │ │ │  Severity:   unknown
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_ypbind_removed
│ │ │ │              _h_i_p_a_a   164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:         164.312(e)(2)(ii)
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ypbind-mt
│ │ │ │ -
│ │ │ │ -class remove_ypbind-mt {
│ │ │ │ -  package { 'ypbind-mt':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ypbind-mt is removed
│ │ │ │    package:
│ │ │ │ @@ -27847,14 +27835,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ypbind_removed
│ │ │ │    - unknown_severity
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ypbind-mt
│ │ │ │ +
│ │ │ │ +class remove_ypbind-mt {
│ │ │ │ +  package { 'ypbind-mt':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove ypbind-mt
│ │ │ │ @@ -27891,26 +27891,14 @@
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a), IA-5(1)(c)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _p_c_i_d_s_s         Req-2.2.2
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ypserv
│ │ │ │ -
│ │ │ │ -class remove_ypserv {
│ │ │ │ -  package { 'ypserv':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ypserv is removed
│ │ │ │    package:
│ │ │ │ @@ -27926,14 +27914,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ypserv_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ypserv
│ │ │ │ +
│ │ │ │ +class remove_ypserv {
│ │ │ │ +  package { 'ypserv':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove ypserv
│ │ │ │ @@ -27974,26 +27974,14 @@
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1, A.13.2.1, A.14.1.3,
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a), IA-5(1)(c)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_rsh-server
│ │ │ │ -
│ │ │ │ -class remove_rsh-server {
│ │ │ │ -  package { 'rsh-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure rsh-server is removed
│ │ │ │    package:
│ │ │ │ @@ -28008,14 +27996,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsh-server_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_rsh-server
│ │ │ │ +
│ │ │ │ +class remove_rsh-server {
│ │ │ │ +  package { 'rsh-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove rsh-server
│ │ │ │ @@ -28036,26 +28036,14 @@
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_rsh_removed
│ │ │ │              _c_u_i           3.1.13
│ │ │ │              _h_i_p_a_a         164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:               164.312(e)(2)(ii)
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3 A.8.2.3, A.13.1.1, A.13.2.1, A.13.2.3, A.14.1.2, A.14.1.3
│ │ │ │              _a_n_s_s_i         R62
│ │ │ │              _p_c_i_d_s_s_4       2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_rsh
│ │ │ │ -
│ │ │ │ -class remove_rsh {
│ │ │ │ -  package { 'rsh':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure rsh is removed
│ │ │ │    package:
│ │ │ │ @@ -28067,14 +28055,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsh_removed
│ │ │ │    - unknown_severity
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_rsh
│ │ │ │ +
│ │ │ │ +class remove_rsh {
│ │ │ │ +  package { 'rsh':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove rsh
│ │ │ │ @@ -28095,26 +28095,14 @@
│ │ │ │              intentional) activation of talk services.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_talk-server_removed
│ │ │ │              _h_i_p_a_a   164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:         164.312(e)(2)(ii)
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_talk-server
│ │ │ │ -
│ │ │ │ -class remove_talk-server {
│ │ │ │ -  package { 'talk-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure talk-server is removed
│ │ │ │    package:
│ │ │ │ @@ -28125,14 +28113,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_talk-server_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_talk-server
│ │ │ │ +
│ │ │ │ +class remove_talk-server {
│ │ │ │ +  package { 'talk-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove talk-server
│ │ │ │ @@ -28153,26 +28153,14 @@
│ │ │ │              intentional) activation of talk client program.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_talk_removed
│ │ │ │              _h_i_p_a_a   164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:         164.312(e)(2)(ii)
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_talk
│ │ │ │ -
│ │ │ │ -class remove_talk {
│ │ │ │ -  package { 'talk':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure talk is removed
│ │ │ │    package:
│ │ │ │ @@ -28183,14 +28171,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_talk_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_talk
│ │ │ │ +
│ │ │ │ +class remove_talk {
│ │ │ │ +  package { 'talk':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove talk
│ │ │ │ @@ -28237,26 +28237,14 @@
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _p_c_i_d_s_s         Req-2.2.2
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnet-server
│ │ │ │ -
│ │ │ │ -class remove_telnet-server {
│ │ │ │ -  package { 'telnet-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnet-server is removed
│ │ │ │    package:
│ │ │ │ @@ -28271,14 +28259,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnet-server_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnet-server
│ │ │ │ +
│ │ │ │ +class remove_telnet-server {
│ │ │ │ +  package { 'telnet-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnet-server
│ │ │ │ @@ -28297,26 +28297,14 @@
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnet_removed
│ │ │ │              _c_u_i           3.1.13
│ │ │ │              _h_i_p_a_a         164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:               164.312(e)(2)(ii)
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3 A.8.2.3, A.13.1.1, A.13.2.1, A.13.2.3, A.14.1.2, A.14.1.3
│ │ │ │              _a_n_s_s_i         R62
│ │ │ │              _p_c_i_d_s_s_4       2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnet
│ │ │ │ -
│ │ │ │ -class remove_telnet {
│ │ │ │ -  package { 'telnet':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnet is removed
│ │ │ │    package:
│ │ │ │ @@ -28328,14 +28316,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnet_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnet
│ │ │ │ +
│ │ │ │ +class remove_telnet {
│ │ │ │ +  package { 'telnet':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnet
│ │ │ │ @@ -28378,26 +28378,14 @@
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1, A.13.2.1, A.14.1.3,
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_tftp-server
│ │ │ │ -
│ │ │ │ -class remove_tftp-server {
│ │ │ │ -  package { 'tftp-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure tftp-server is removed
│ │ │ │    package:
│ │ │ │ @@ -28411,14 +28399,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_tftp-server_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_tftp-server
│ │ │ │ +
│ │ │ │ +class remove_tftp-server {
│ │ │ │ +  package { 'tftp-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove tftp-server
│ │ │ │ @@ -28437,26 +28437,14 @@
│ │ │ │              a boot server). In that case, use extreme caution when configuring the services.
│ │ │ │  Severity:   low
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_tftp_removed
│ │ │ │              _d_i_s_a    CCI-000197
│ │ │ │  References: _o_s_-_s_r_g  SRG-OS-000074-GPOS-00042
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_tftp
│ │ │ │ -
│ │ │ │ -class remove_tftp {
│ │ │ │ -  package { 'tftp':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure tftp is removed
│ │ │ │    package:
│ │ │ │ @@ -28467,14 +28455,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_tftp_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_tftp
│ │ │ │ +
│ │ │ │ +class remove_tftp {
│ │ │ │ +  package { 'tftp':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove tftp
│ │ │ │ @@ -29231,23 +29231,14 @@
│ │ │ │                             3 R2.2, CIP-007-3 R2.3, CIP-007-3 R5.1, CIP-007-3 R5.1.1, CIP-007-3 R5.1.2
│ │ │ │              _n_i_s_t           AC-17(a), CM-6(a), AC-6(1)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-4, PR.DS-5
│ │ │ │              _p_c_i_d_s_s         Req-2.2.4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _a_n_s_s_i          R50
│ │ │ │              _p_c_i_d_s_s_4        2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -include ssh_private_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_private_key_perms {
│ │ │ │ -  exec { 'sshd_priv_key':
│ │ │ │ -    command => "chmod 0640 /etc/ssh/*_key",
│ │ │ │ -    path    => '/bin:/usr/bin'
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   configure
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -29311,14 +29302,23 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - configure_strategy
│ │ │ │    - file_permissions_sshd_private_key
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +include ssh_private_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_private_key_perms {
│ │ │ │ +  exec { 'sshd_priv_key':
│ │ │ │ +    command => "chmod 0640 /etc/ssh/*_key",
│ │ │ │ +    path    => '/bin:/usr/bin'
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  for keyfile in /etc/ssh/*_key; do
│ │ │ │      test -f "$keyfile" || continue
│ │ │ │ @@ -29358,23 +29358,14 @@
│ │ │ │                             3 R2.2, CIP-007-3 R2.3, CIP-007-3 R5.1, CIP-007-3 R5.1.1, CIP-007-3 R5.1.2
│ │ │ │              _n_i_s_t           AC-17(a), CM-6(a), AC-6(1)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-4, PR.DS-5
│ │ │ │              _p_c_i_d_s_s         Req-2.2.4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _a_n_s_s_i          R50
│ │ │ │              _p_c_i_d_s_s_4        2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -include ssh_public_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_public_key_perms {
│ │ │ │ -  exec { 'sshd_pub_key':
│ │ │ │ -    command => "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ -    path    => '/bin:/usr/bin'
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   configure
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -29438,14 +29429,23 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - configure_strategy
│ │ │ │    - file_permissions_sshd_pub_key
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +include ssh_public_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_public_key_perms {
│ │ │ │ +  exec { 'sshd_pub_key':
│ │ │ │ +    command => "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ +    path    => '/bin:/usr/bin'
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   configure
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -63765,31 +63765,14 @@
│ │ │ │              _o_s_-_s_r_g   SRG-OS-000122-GPOS-00063, SRG-OS-000254-GPOS-00095, SRG-OS-000255-GPOS-00096,
│ │ │ │                       SRG-OS-000337-GPOS-00129, SRG-OS-000348-GPOS-00136, SRG-OS-000349-GPOS-00137,
│ │ │ │                       SRG-OS-000350-GPOS-00138, SRG-OS-000351-GPOS-00139, SRG-OS-000352-GPOS-00140,
│ │ │ │                       SRG-OS-000353-GPOS-00141, SRG-OS-000354-GPOS-00142, SRG-OS-000358-GPOS-00145,
│ │ │ │                       SRG-OS-000365-GPOS-00152, SRG-OS-000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │              _a_n_s_s_i    R33, R73
│ │ │ │              _p_c_i_d_s_s_4  10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "auditd"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_auditd
│ │ │ │ -
│ │ │ │ -class install_auditd {
│ │ │ │ -  package { 'auditd':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -63830,14 +63813,31 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_audit_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_auditd
│ │ │ │ +
│ │ │ │ +class install_auditd {
│ │ │ │ +  package { 'auditd':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "auditd"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -63901,31 +63901,14 @@
│ │ │ │                             GPOS-00139, SRG-OS-000352-GPOS-00140, SRG-OS-000353-GPOS-00141, SRG-OS-
│ │ │ │                             000354-GPOS-00142, SRG-OS-000358-GPOS-00145, SRG-OS-000365-GPOS-00152,
│ │ │ │                             SRG-OS-000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │              _a_p_p_-_s_r_g_-_c_t_r    SRG-APP-000095-CTR-000170, SRG-APP-000409-CTR-000990, SRG-APP-000508-CTR-
│ │ │ │                             001300, SRG-APP-000510-CTR-001310
│ │ │ │              _a_n_s_s_i          R33, R73
│ │ │ │              _p_c_i_d_s_s_4        10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["auditd"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_auditd
│ │ │ │ -
│ │ │ │ -class enable_auditd {
│ │ │ │ -  service {'auditd':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -63991,11 +63974,28 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_auditd_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_auditd
│ │ │ │ +
│ │ │ │ +class enable_auditd {
│ │ │ │ +  service {'auditd':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["auditd"]
│ │ │ │  Red Hat and Red Hat Enterprise Linux are either registered trademarks or
│ │ │ │  trademarks of Red Hat, Inc. in the United States and other countries. All other
│ │ │ │  names are registered trademarks or trademarks of their respective companies.
│ │ │ │  Generated using _O_p_e_n_S_C_A_P 1.4.1
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian12-guide-anssi_bp28_high.html
│ │ │ @@ -15042,134 +15042,134 @@
│ │ │  0003ac10: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │  0003ac20: 743d 2223 6964 6d32 3638 3322 2074 6162  t="#idm2683" tab
│ │ │  0003ac30: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │  0003ac40: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │  0003ac50: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │  0003ac60: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │  0003ac70: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -0003ac80: 2122 3e52 656d 6564 6961 7469 6f6e 204f  !">Remediation O
│ │ │ -0003ac90: 5342 7569 6c64 2042 6c75 6570 7269 6e74  SBuild Blueprint
│ │ │ -0003aca0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -0003acb0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -0003acc0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -0003acd0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -0003ace0: 3236 3833 223e 3c70 7265 3e3c 636f 6465  2683"><pre><code
│ │ │ -0003acf0: 3e0a 5b5b 7061 636b 6167 6573 5d5d 0a6e  >.[[packages]].n
│ │ │ -0003ad00: 616d 6520 3d20 2261 6964 6522 0a76 6572  ame = "aide".ver
│ │ │ -0003ad10: 7369 6f6e 203d 2022 2a22 0a3c 2f63 6f64  sion = "*".</cod
│ │ │ -0003ad20: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -0003ad30: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -0003ad40: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -0003ad50: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -0003ad60: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -0003ad70: 6d32 3638 3422 2074 6162 696e 6465 783d  m2684" tabindex=
│ │ │ -0003ad80: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -0003ad90: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -0003ada0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -0003adb0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -0003adc0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -0003add0: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ -0003ade0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -0003adf0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -0003ae00: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -0003ae10: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -0003ae20: 3638 3422 3e3c 7461 626c 6520 636c 6173  684"><table clas
│ │ │ -0003ae30: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -0003ae40: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -0003ae50: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -0003ae60: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -0003ae70: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -0003ae80: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -0003ae90: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -0003aea0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -0003aeb0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0003aec0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -0003aed0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -0003aee0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -0003aef0: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ -0003af00: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -0003af10: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ -0003af20: 6c75 6465 2069 6e73 7461 6c6c 5f61 6964  lude install_aid
│ │ │ -0003af30: 650a 0a63 6c61 7373 2069 6e73 7461 6c6c  e..class install
│ │ │ -0003af40: 5f61 6964 6520 7b0a 2020 7061 636b 6167  _aide {.  packag
│ │ │ -0003af50: 6520 7b20 2761 6964 6527 3a0a 2020 2020  e { 'aide':.    
│ │ │ -0003af60: 656e 7375 7265 203d 2667 743b 2027 696e  ensure =&gt; 'in
│ │ │ -0003af70: 7374 616c 6c65 6427 2c0a 2020 7d0a 7d0a  stalled',.  }.}.
│ │ │ -0003af80: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -0003af90: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -0003afa0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -0003afb0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -0003afc0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -0003afd0: 3d22 2369 646d 3236 3835 2220 7461 6269  ="#idm2685" tabi
│ │ │ -0003afe0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -0003aff0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -0003b000: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -0003b010: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -0003b020: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -0003b030: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -0003b040: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -0003b050: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -0003b060: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -0003b070: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -0003b080: 3d22 6964 6d32 3638 3522 3e3c 7461 626c  ="idm2685"><tabl
│ │ │ -0003b090: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -0003b0a0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -0003b0b0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -0003b0c0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -0003b0d0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -0003b0e0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0003b0f0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -0003b100: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -0003b110: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -0003b120: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -0003b130: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -0003b140: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -0003b150: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -0003b160: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -0003b170: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -0003b180: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ -0003b190: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ -0003b1a0: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ -0003b1b0: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ -0003b1c0: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ -0003b1d0: 202d 2043 4a49 532d 352e 3130 2e31 2e33   - CJIS-5.10.1.3
│ │ │ -0003b1e0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -0003b1f0: 2d43 4d2d 3628 6129 0a20 202d 2050 4349  -CM-6(a).  - PCI
│ │ │ -0003b200: 2d44 5353 2d52 6571 2d31 312e 350a 2020  -DSS-Req-11.5.  
│ │ │ -0003b210: 2d20 5043 492d 4453 5376 342d 3131 2e35  - PCI-DSSv4-11.5
│ │ │ -0003b220: 2e32 0a20 202d 2065 6e61 626c 655f 7374  .2.  - enable_st
│ │ │ -0003b230: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -0003b240: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -0003b250: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -0003b260: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -0003b270: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -0003b280: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ -0003b290: 655f 6169 6465 5f69 6e73 7461 6c6c 6564  e_aide_installed
│ │ │ -0003b2a0: 0a0a 2d20 6e61 6d65 3a20 456e 7375 7265  ..- name: Ensure
│ │ │ -0003b2b0: 2061 6964 6520 6973 2069 6e73 7461 6c6c   aide is install
│ │ │ -0003b2c0: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ -0003b2d0: 2020 6e61 6d65 3a20 6169 6465 0a20 2020    name: aide.   
│ │ │ -0003b2e0: 2073 7461 7465 3a20 7072 6573 656e 740a   state: present.
│ │ │ -0003b2f0: 2020 7768 656e 3a20 2722 6c69 6e75 782d    when: '"linux-
│ │ │ -0003b300: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ -0003b310: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ -0003b320: 0a20 2074 6167 733a 0a20 202d 2043 4a49  .  tags:.  - CJI
│ │ │ -0003b330: 532d 352e 3130 2e31 2e33 0a20 202d 204e  S-5.10.1.3.  - N
│ │ │ -0003b340: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -0003b350: 6129 0a20 202d 2050 4349 2d44 5353 2d52  a).  - PCI-DSS-R
│ │ │ -0003b360: 6571 2d31 312e 350a 2020 2d20 5043 492d  eq-11.5.  - PCI-
│ │ │ -0003b370: 4453 5376 342d 3131 2e35 2e32 0a20 202d  DSSv4-11.5.2.  -
│ │ │ -0003b380: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -0003b390: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -0003b3a0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -0003b3b0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ -0003b3c0: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ -0003b3d0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -0003b3e0: 2020 2d20 7061 636b 6167 655f 6169 6465    - package_aide
│ │ │ -0003b3f0: 5f69 6e73 7461 6c6c 6564 0a3c 2f63 6f64  _installed.</cod
│ │ │ +0003ac80: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ +0003ac90: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ +0003aca0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +0003acb0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +0003acc0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +0003acd0: 643d 2269 646d 3236 3833 223e 3c74 6162  d="idm2683"><tab
│ │ │ +0003ace0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +0003acf0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +0003ad00: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +0003ad10: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +0003ad20: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +0003ad30: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0003ad40: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +0003ad50: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +0003ad60: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0003ad70: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +0003ad80: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +0003ad90: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +0003ada0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +0003adb0: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +0003adc0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +0003add0: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ +0003ade0: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ +0003adf0: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ +0003ae00: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ +0003ae10: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ +0003ae20: 2020 2d20 434a 4953 2d35 2e31 302e 312e    - CJIS-5.10.1.
│ │ │ +0003ae30: 330a 2020 2d20 4e49 5354 2d38 3030 2d35  3.  - NIST-800-5
│ │ │ +0003ae40: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ +0003ae50: 492d 4453 532d 5265 712d 3131 2e35 0a20  I-DSS-Req-11.5. 
│ │ │ +0003ae60: 202d 2050 4349 2d44 5353 7634 2d31 312e   - PCI-DSSv4-11.
│ │ │ +0003ae70: 352e 320a 2020 2d20 656e 6162 6c65 5f73  5.2.  - enable_s
│ │ │ +0003ae80: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +0003ae90: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +0003aea0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +0003aeb0: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ +0003aec0: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +0003aed0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ +0003aee0: 6765 5f61 6964 655f 696e 7374 616c 6c65  ge_aide_installe
│ │ │ +0003aef0: 640a 0a2d 206e 616d 653a 2045 6e73 7572  d..- name: Ensur
│ │ │ +0003af00: 6520 6169 6465 2069 7320 696e 7374 616c  e aide is instal
│ │ │ +0003af10: 6c65 640a 2020 7061 636b 6167 653a 0a20  led.  package:. 
│ │ │ +0003af20: 2020 206e 616d 653a 2061 6964 650a 2020     name: aide.  
│ │ │ +0003af30: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ +0003af40: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ +0003af50: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ +0003af60: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ +0003af70: 270a 2020 7461 6773 3a0a 2020 2d20 434a  '.  tags:.  - CJ
│ │ │ +0003af80: 4953 2d35 2e31 302e 312e 330a 2020 2d20  IS-5.10.1.3.  - 
│ │ │ +0003af90: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ +0003afa0: 2861 290a 2020 2d20 5043 492d 4453 532d  (a).  - PCI-DSS-
│ │ │ +0003afb0: 5265 712d 3131 2e35 0a20 202d 2050 4349  Req-11.5.  - PCI
│ │ │ +0003afc0: 2d44 5353 7634 2d31 312e 352e 320a 2020  -DSSv4-11.5.2.  
│ │ │ +0003afd0: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +0003afe0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +0003aff0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +0003b000: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +0003b010: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +0003b020: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +0003b030: 0a20 202d 2070 6163 6b61 6765 5f61 6964  .  - package_aid
│ │ │ +0003b040: 655f 696e 7374 616c 6c65 640a 3c2f 636f  e_installed.</co
│ │ │ +0003b050: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +0003b060: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +0003b070: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +0003b080: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +0003b090: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +0003b0a0: 646d 3236 3834 2220 7461 6269 6e64 6578  dm2684" tabindex
│ │ │ +0003b0b0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +0003b0c0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +0003b0d0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +0003b0e0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +0003b0f0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +0003b100: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ +0003b110: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +0003b120: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +0003b130: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +0003b140: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +0003b150: 3236 3834 223e 3c74 6162 6c65 2063 6c61  2684"><table cla
│ │ │ +0003b160: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +0003b170: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +0003b180: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +0003b190: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +0003b1a0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +0003b1b0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0003b1c0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +0003b1d0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +0003b1e0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0003b1f0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +0003b200: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +0003b210: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +0003b220: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ +0003b230: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +0003b240: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +0003b250: 636c 7564 6520 696e 7374 616c 6c5f 6169  clude install_ai
│ │ │ +0003b260: 6465 0a0a 636c 6173 7320 696e 7374 616c  de..class instal
│ │ │ +0003b270: 6c5f 6169 6465 207b 0a20 2070 6163 6b61  l_aide {.  packa
│ │ │ +0003b280: 6765 207b 2027 6169 6465 273a 0a20 2020  ge { 'aide':.   
│ │ │ +0003b290: 2065 6e73 7572 6520 3d26 6774 3b20 2769   ensure =&gt; 'i
│ │ │ +0003b2a0: 6e73 7461 6c6c 6564 272c 0a20 207d 0a7d  nstalled',.  }.}
│ │ │ +0003b2b0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +0003b2c0: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +0003b2d0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +0003b2e0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +0003b2f0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +0003b300: 743d 2223 6964 6d32 3638 3522 2074 6162  t="#idm2685" tab
│ │ │ +0003b310: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +0003b320: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +0003b330: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +0003b340: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +0003b350: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +0003b360: 2122 3e52 656d 6564 6961 7469 6f6e 204f  !">Remediation O
│ │ │ +0003b370: 5342 7569 6c64 2042 6c75 6570 7269 6e74  SBuild Blueprint
│ │ │ +0003b380: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +0003b390: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +0003b3a0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +0003b3b0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +0003b3c0: 3236 3835 223e 3c70 7265 3e3c 636f 6465  2685"><pre><code
│ │ │ +0003b3d0: 3e0a 5b5b 7061 636b 6167 6573 5d5d 0a6e  >.[[packages]].n
│ │ │ +0003b3e0: 616d 6520 3d20 2261 6964 6522 0a76 6572  ame = "aide".ver
│ │ │ +0003b3f0: 7369 6f6e 203d 2022 2a22 0a3c 2f63 6f64  sion = "*".</cod
│ │ │  0003b400: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │  0003b410: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │  0003b420: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │  0003b430: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │  0003b440: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  0003b450: 6d32 3638 3622 2074 6162 696e 6465 783d  m2686" tabindex=
│ │ │  0003b460: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ @@ -20226,131 +20226,131 @@
│ │ │  0004f010: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  0004f020: 6964 6d33 3734 3922 2074 6162 696e 6465  idm3749" tabinde
│ │ │  0004f030: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  0004f040: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  0004f050: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  0004f060: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  0004f070: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0004f080: 656d 6564 6961 7469 6f6e 204f 5342 7569  emediation OSBui
│ │ │ -0004f090: 6c64 2042 6c75 6570 7269 6e74 2073 6e69  ld Blueprint sni
│ │ │ -0004f0a0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -0004f0b0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -0004f0c0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -0004f0d0: 7073 6522 2069 643d 2269 646d 3337 3439  pse" id="idm3749
│ │ │ -0004f0e0: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b5b  "><pre><code>.[[
│ │ │ -0004f0f0: 7061 636b 6167 6573 5d5d 0a6e 616d 6520  packages]].name 
│ │ │ -0004f100: 3d20 2273 7564 6f22 0a76 6572 7369 6f6e  = "sudo".version
│ │ │ -0004f110: 203d 2022 2a22 0a3c 2f63 6f64 653e 3c2f   = "*".</code></
│ │ │ -0004f120: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -0004f130: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -0004f140: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -0004f150: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -0004f160: 2d74 6172 6765 743d 2223 6964 6d33 3735  -target="#idm375
│ │ │ -0004f170: 3022 2074 6162 696e 6465 783d 2230 2220  0" tabindex="0" 
│ │ │ -0004f180: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -0004f190: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -0004f1a0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -0004f1b0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -0004f1c0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -0004f1d0: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -0004f1e0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -0004f1f0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -0004f200: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -0004f210: 7365 2220 6964 3d22 6964 6d33 3735 3022  se" id="idm3750"
│ │ │ -0004f220: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -0004f230: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -0004f240: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -0004f250: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -0004f260: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -0004f270: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -0004f280: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0004f290: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -0004f2a0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0004f2b0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -0004f2c0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -0004f2d0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -0004f2e0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -0004f2f0: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -0004f300: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -0004f310: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ -0004f320: 2069 6e73 7461 6c6c 5f73 7564 6f0a 0a63   install_sudo..c
│ │ │ -0004f330: 6c61 7373 2069 6e73 7461 6c6c 5f73 7564  lass install_sud
│ │ │ -0004f340: 6f20 7b0a 2020 7061 636b 6167 6520 7b20  o {.  package { 
│ │ │ -0004f350: 2773 7564 6f27 3a0a 2020 2020 656e 7375  'sudo':.    ensu
│ │ │ -0004f360: 7265 203d 2667 743b 2027 696e 7374 616c  re =&gt; 'instal
│ │ │ -0004f370: 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  led',.  }.}.</co
│ │ │ -0004f380: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -0004f390: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -0004f3a0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -0004f3b0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -0004f3c0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -0004f3d0: 646d 3337 3531 2220 7461 6269 6e64 6578  dm3751" tabindex
│ │ │ -0004f3e0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -0004f3f0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -0004f400: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -0004f410: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -0004f420: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -0004f430: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -0004f440: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -0004f450: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0004f460: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0004f470: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0004f480: 6d33 3735 3122 3e3c 7461 626c 6520 636c  m3751"><table cl
│ │ │ -0004f490: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -0004f4a0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -0004f4b0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -0004f4c0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -0004f4d0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -0004f4e0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0004f4f0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -0004f500: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -0004f510: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0004f520: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -0004f530: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -0004f540: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -0004f550: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -0004f560: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -0004f570: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -0004f580: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ -0004f590: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ -0004f5a0: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ -0004f5b0: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ -0004f5c0: 746f 0a20 2074 6167 733a 0a20 202d 204e  to.  tags:.  - N
│ │ │ -0004f5d0: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -0004f5e0: 6129 0a20 202d 2050 4349 2d44 5353 7634  a).  - PCI-DSSv4
│ │ │ -0004f5f0: 2d32 2e32 0a20 202d 2050 4349 2d44 5353  -2.2.  - PCI-DSS
│ │ │ -0004f600: 7634 2d32 2e32 2e36 0a20 202d 2065 6e61  v4-2.2.6.  - ena
│ │ │ -0004f610: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -0004f620: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -0004f630: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -0004f640: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ -0004f650: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ -0004f660: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -0004f670: 7061 636b 6167 655f 7375 646f 5f69 6e73  package_sudo_ins
│ │ │ -0004f680: 7461 6c6c 6564 0a0a 2d20 6e61 6d65 3a20  talled..- name: 
│ │ │ -0004f690: 456e 7375 7265 2073 7564 6f20 6973 2069  Ensure sudo is i
│ │ │ -0004f6a0: 6e73 7461 6c6c 6564 0a20 2070 6163 6b61  nstalled.  packa
│ │ │ -0004f6b0: 6765 3a0a 2020 2020 6e61 6d65 3a20 7375  ge:.    name: su
│ │ │ -0004f6c0: 646f 0a20 2020 2073 7461 7465 3a20 7072  do.    state: pr
│ │ │ -0004f6d0: 6573 656e 740a 2020 7768 656e 3a20 2722  esent.  when: '"
│ │ │ -0004f6e0: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ -0004f6f0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ -0004f700: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ -0004f710: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -0004f720: 4d2d 3628 6129 0a20 202d 2050 4349 2d44  M-6(a).  - PCI-D
│ │ │ -0004f730: 5353 7634 2d32 2e32 0a20 202d 2050 4349  SSv4-2.2.  - PCI
│ │ │ -0004f740: 2d44 5353 7634 2d32 2e32 2e36 0a20 202d  -DSSv4-2.2.6.  -
│ │ │ -0004f750: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -0004f760: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -0004f770: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -0004f780: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ -0004f790: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ -0004f7a0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -0004f7b0: 2020 2d20 7061 636b 6167 655f 7375 646f    - package_sudo
│ │ │ -0004f7c0: 5f69 6e73 7461 6c6c 6564 0a3c 2f63 6f64  _installed.</cod
│ │ │ +0004f080: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +0004f090: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +0004f0a0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +0004f0b0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +0004f0c0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +0004f0d0: 646d 3337 3439 223e 3c74 6162 6c65 2063  dm3749"><table c
│ │ │ +0004f0e0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +0004f0f0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +0004f100: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +0004f110: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +0004f120: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +0004f130: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0004f140: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +0004f150: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +0004f160: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0004f170: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +0004f180: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +0004f190: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +0004f1a0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +0004f1b0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +0004f1c0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +0004f1d0: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ +0004f1e0: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ +0004f1f0: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ +0004f200: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ +0004f210: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ +0004f220: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ +0004f230: 2861 290a 2020 2d20 5043 492d 4453 5376  (a).  - PCI-DSSv
│ │ │ +0004f240: 342d 322e 320a 2020 2d20 5043 492d 4453  4-2.2.  - PCI-DS
│ │ │ +0004f250: 5376 342d 322e 322e 360a 2020 2d20 656e  Sv4-2.2.6.  - en
│ │ │ +0004f260: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +0004f270: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +0004f280: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +0004f290: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +0004f2a0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +0004f2b0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +0004f2c0: 2070 6163 6b61 6765 5f73 7564 6f5f 696e   package_sudo_in
│ │ │ +0004f2d0: 7374 616c 6c65 640a 0a2d 206e 616d 653a  stalled..- name:
│ │ │ +0004f2e0: 2045 6e73 7572 6520 7375 646f 2069 7320   Ensure sudo is 
│ │ │ +0004f2f0: 696e 7374 616c 6c65 640a 2020 7061 636b  installed.  pack
│ │ │ +0004f300: 6167 653a 0a20 2020 206e 616d 653a 2073  age:.    name: s
│ │ │ +0004f310: 7564 6f0a 2020 2020 7374 6174 653a 2070  udo.    state: p
│ │ │ +0004f320: 7265 7365 6e74 0a20 2077 6865 6e3a 2027  resent.  when: '
│ │ │ +0004f330: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ +0004f340: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ +0004f350: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ +0004f360: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0004f370: 434d 2d36 2861 290a 2020 2d20 5043 492d  CM-6(a).  - PCI-
│ │ │ +0004f380: 4453 5376 342d 322e 320a 2020 2d20 5043  DSSv4-2.2.  - PC
│ │ │ +0004f390: 492d 4453 5376 342d 322e 322e 360a 2020  I-DSSv4-2.2.6.  
│ │ │ +0004f3a0: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +0004f3b0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +0004f3c0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +0004f3d0: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +0004f3e0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +0004f3f0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +0004f400: 0a20 202d 2070 6163 6b61 6765 5f73 7564  .  - package_sud
│ │ │ +0004f410: 6f5f 696e 7374 616c 6c65 640a 3c2f 636f  o_installed.</co
│ │ │ +0004f420: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +0004f430: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +0004f440: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +0004f450: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +0004f460: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +0004f470: 646d 3337 3530 2220 7461 6269 6e64 6578  dm3750" tabindex
│ │ │ +0004f480: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +0004f490: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +0004f4a0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +0004f4b0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +0004f4c0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +0004f4d0: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ +0004f4e0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +0004f4f0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +0004f500: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +0004f510: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +0004f520: 3337 3530 223e 3c74 6162 6c65 2063 6c61  3750"><table cla
│ │ │ +0004f530: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +0004f540: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +0004f550: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +0004f560: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +0004f570: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +0004f580: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0004f590: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +0004f5a0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +0004f5b0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0004f5c0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +0004f5d0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +0004f5e0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +0004f5f0: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ +0004f600: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +0004f610: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +0004f620: 636c 7564 6520 696e 7374 616c 6c5f 7375  clude install_su
│ │ │ +0004f630: 646f 0a0a 636c 6173 7320 696e 7374 616c  do..class instal
│ │ │ +0004f640: 6c5f 7375 646f 207b 0a20 2070 6163 6b61  l_sudo {.  packa
│ │ │ +0004f650: 6765 207b 2027 7375 646f 273a 0a20 2020  ge { 'sudo':.   
│ │ │ +0004f660: 2065 6e73 7572 6520 3d26 6774 3b20 2769   ensure =&gt; 'i
│ │ │ +0004f670: 6e73 7461 6c6c 6564 272c 0a20 207d 0a7d  nstalled',.  }.}
│ │ │ +0004f680: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +0004f690: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +0004f6a0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +0004f6b0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +0004f6c0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +0004f6d0: 743d 2223 6964 6d33 3735 3122 2074 6162  t="#idm3751" tab
│ │ │ +0004f6e0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +0004f6f0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +0004f700: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +0004f710: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +0004f720: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +0004f730: 2122 3e52 656d 6564 6961 7469 6f6e 204f  !">Remediation O
│ │ │ +0004f740: 5342 7569 6c64 2042 6c75 6570 7269 6e74  SBuild Blueprint
│ │ │ +0004f750: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +0004f760: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +0004f770: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +0004f780: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +0004f790: 3337 3531 223e 3c70 7265 3e3c 636f 6465  3751"><pre><code
│ │ │ +0004f7a0: 3e0a 5b5b 7061 636b 6167 6573 5d5d 0a6e  >.[[packages]].n
│ │ │ +0004f7b0: 616d 6520 3d20 2273 7564 6f22 0a76 6572  ame = "sudo".ver
│ │ │ +0004f7c0: 7369 6f6e 203d 2022 2a22 0a3c 2f63 6f64  sion = "*".</cod
│ │ │  0004f7d0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │  0004f7e0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │  0004f7f0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │  0004f800: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │  0004f810: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  0004f820: 6d33 3735 3222 2074 6162 696e 6465 783d  m3752" tabindex=
│ │ │  0004f830: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ @@ -32852,129 +32852,129 @@
│ │ │  00080530: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  00080540: 6964 6d34 3337 3022 2074 6162 696e 6465  idm4370" tabinde
│ │ │  00080550: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  00080560: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  00080570: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  00080580: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  00080590: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -000805a0: 656d 6564 6961 7469 6f6e 204f 5342 7569  emediation OSBui
│ │ │ -000805b0: 6c64 2042 6c75 6570 7269 6e74 2073 6e69  ld Blueprint sni
│ │ │ -000805c0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -000805d0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -000805e0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -000805f0: 7073 6522 2069 643d 2269 646d 3433 3730  pse" id="idm4370
│ │ │ -00080600: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b5b  "><pre><code>.[[
│ │ │ -00080610: 7061 636b 6167 6573 5d5d 0a6e 616d 6520  packages]].name 
│ │ │ -00080620: 3d20 226c 6962 7061 6d2d 7077 7175 616c  = "libpam-pwqual
│ │ │ -00080630: 6974 7922 0a76 6572 7369 6f6e 203d 2022  ity".version = "
│ │ │ -00080640: 2a22 0a3c 2f63 6f64 653e 3c2f 7072 653e  *".</code></pre>
│ │ │ -00080650: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -00080660: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -00080670: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -00080680: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -00080690: 6765 743d 2223 6964 6d34 3337 3122 2074  get="#idm4371" t
│ │ │ -000806a0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -000806b0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -000806c0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -000806d0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -000806e0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -000806f0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00080700: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -00080710: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00080720: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00080730: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00080740: 6964 3d22 6964 6d34 3337 3122 3e3c 7461  id="idm4371"><ta
│ │ │ -00080750: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00080760: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00080770: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00080780: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00080790: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -000807a0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -000807b0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -000807c0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -000807d0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -000807e0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -000807f0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -00080800: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00080810: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -00080820: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ -00080830: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -00080840: 636f 6465 3e69 6e63 6c75 6465 2069 6e73  code>include ins
│ │ │ -00080850: 7461 6c6c 5f6c 6962 7061 6d2d 7077 7175  tall_libpam-pwqu
│ │ │ -00080860: 616c 6974 790a 0a63 6c61 7373 2069 6e73  ality..class ins
│ │ │ -00080870: 7461 6c6c 5f6c 6962 7061 6d2d 7077 7175  tall_libpam-pwqu
│ │ │ -00080880: 616c 6974 7920 7b0a 2020 7061 636b 6167  ality {.  packag
│ │ │ -00080890: 6520 7b20 276c 6962 7061 6d2d 7077 7175  e { 'libpam-pwqu
│ │ │ -000808a0: 616c 6974 7927 3a0a 2020 2020 656e 7375  ality':.    ensu
│ │ │ -000808b0: 7265 203d 2667 743b 2027 696e 7374 616c  re =&gt; 'instal
│ │ │ -000808c0: 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  led',.  }.}.</co
│ │ │ -000808d0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -000808e0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -000808f0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -00080900: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -00080910: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00080920: 646d 3433 3732 2220 7461 6269 6e64 6578  dm4372" tabindex
│ │ │ -00080930: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00080940: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00080950: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00080960: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00080970: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00080980: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -00080990: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -000809a0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -000809b0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -000809c0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -000809d0: 6d34 3337 3222 3e3c 7461 626c 6520 636c  m4372"><table cl
│ │ │ -000809e0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -000809f0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00080a00: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00080a10: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00080a20: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00080a30: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00080a40: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00080a50: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00080a60: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00080a70: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00080a80: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00080a90: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00080aa0: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -00080ab0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00080ac0: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -00080ad0: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ -00080ae0: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ -00080af0: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ -00080b00: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ -00080b10: 746f 0a20 2074 6167 733a 0a20 202d 2065  to.  tags:.  - e
│ │ │ -00080b20: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -00080b30: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -00080b40: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -00080b50: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -00080b60: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -00080b70: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -00080b80: 2d20 7061 636b 6167 655f 7061 6d5f 7077  - package_pam_pw
│ │ │ -00080b90: 7175 616c 6974 795f 696e 7374 616c 6c65  quality_installe
│ │ │ -00080ba0: 640a 0a2d 206e 616d 653a 2045 6e73 7572  d..- name: Ensur
│ │ │ -00080bb0: 6520 6c69 6270 616d 2d70 7771 7561 6c69  e libpam-pwquali
│ │ │ -00080bc0: 7479 2069 7320 696e 7374 616c 6c65 640a  ty is installed.
│ │ │ -00080bd0: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ -00080be0: 616d 653a 206c 6962 7061 6d2d 7077 7175  ame: libpam-pwqu
│ │ │ -00080bf0: 616c 6974 790a 2020 2020 7374 6174 653a  ality.    state:
│ │ │ -00080c00: 2070 7265 7365 6e74 0a20 2077 6865 6e3a   present.  when:
│ │ │ -00080c10: 2027 226c 6962 7061 6d2d 7275 6e74 696d   '"libpam-runtim
│ │ │ -00080c20: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ -00080c30: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -00080c40: 7461 6773 3a0a 2020 2d20 656e 6162 6c65  tags:.  - enable
│ │ │ -00080c50: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -00080c60: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -00080c70: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -00080c80: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -00080c90: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -00080ca0: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -00080cb0: 6b61 6765 5f70 616d 5f70 7771 7561 6c69  kage_pam_pwquali
│ │ │ -00080cc0: 7479 5f69 6e73 7461 6c6c 6564 0a3c 2f63  ty_installed.</c
│ │ │ +000805a0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +000805b0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +000805c0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +000805d0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +000805e0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +000805f0: 646d 3433 3730 223e 3c74 6162 6c65 2063  dm4370"><table c
│ │ │ +00080600: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00080610: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00080620: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00080630: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00080640: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00080650: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00080660: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00080670: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00080680: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00080690: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +000806a0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +000806b0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +000806c0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +000806d0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +000806e0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +000806f0: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ +00080700: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ +00080710: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ +00080720: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ +00080730: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ +00080740: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +00080750: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +00080760: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +00080770: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +00080780: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +00080790: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +000807a0: 202d 2070 6163 6b61 6765 5f70 616d 5f70   - package_pam_p
│ │ │ +000807b0: 7771 7561 6c69 7479 5f69 6e73 7461 6c6c  wquality_install
│ │ │ +000807c0: 6564 0a0a 2d20 6e61 6d65 3a20 456e 7375  ed..- name: Ensu
│ │ │ +000807d0: 7265 206c 6962 7061 6d2d 7077 7175 616c  re libpam-pwqual
│ │ │ +000807e0: 6974 7920 6973 2069 6e73 7461 6c6c 6564  ity is installed
│ │ │ +000807f0: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ +00080800: 6e61 6d65 3a20 6c69 6270 616d 2d70 7771  name: libpam-pwq
│ │ │ +00080810: 7561 6c69 7479 0a20 2020 2073 7461 7465  uality.    state
│ │ │ +00080820: 3a20 7072 6573 656e 740a 2020 7768 656e  : present.  when
│ │ │ +00080830: 3a20 2722 6c69 6270 616d 2d72 756e 7469  : '"libpam-runti
│ │ │ +00080840: 6d65 2220 696e 2061 6e73 6962 6c65 5f66  me" in ansible_f
│ │ │ +00080850: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ +00080860: 2074 6167 733a 0a20 202d 2065 6e61 626c   tags:.  - enabl
│ │ │ +00080870: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +00080880: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +00080890: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +000808a0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ +000808b0: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ +000808c0: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ +000808d0: 636b 6167 655f 7061 6d5f 7077 7175 616c  ckage_pam_pwqual
│ │ │ +000808e0: 6974 795f 696e 7374 616c 6c65 640a 3c2f  ity_installed.</
│ │ │ +000808f0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00080900: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00080910: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00080920: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00080930: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +00080940: 2369 646d 3433 3731 2220 7461 6269 6e64  #idm4371" tabind
│ │ │ +00080950: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +00080960: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +00080970: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +00080980: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +00080990: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +000809a0: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ +000809b0: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ +000809c0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +000809d0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +000809e0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +000809f0: 646d 3433 3731 223e 3c74 6162 6c65 2063  dm4371"><table c
│ │ │ +00080a00: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00080a10: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00080a20: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00080a30: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00080a40: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00080a50: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00080a60: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00080a70: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00080a80: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00080a90: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00080aa0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00080ab0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00080ac0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +00080ad0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00080ae0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00080af0: 696e 636c 7564 6520 696e 7374 616c 6c5f  include install_
│ │ │ +00080b00: 6c69 6270 616d 2d70 7771 7561 6c69 7479  libpam-pwquality
│ │ │ +00080b10: 0a0a 636c 6173 7320 696e 7374 616c 6c5f  ..class install_
│ │ │ +00080b20: 6c69 6270 616d 2d70 7771 7561 6c69 7479  libpam-pwquality
│ │ │ +00080b30: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +00080b40: 6c69 6270 616d 2d70 7771 7561 6c69 7479  libpam-pwquality
│ │ │ +00080b50: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ +00080b60: 6774 3b20 2769 6e73 7461 6c6c 6564 272c  gt; 'installed',
│ │ │ +00080b70: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │ +00080b80: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +00080b90: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +00080ba0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00080bb0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00080bc0: 2d74 6172 6765 743d 2223 6964 6d34 3337  -target="#idm437
│ │ │ +00080bd0: 3222 2074 6162 696e 6465 783d 2230 2220  2" tabindex="0" 
│ │ │ +00080be0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +00080bf0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +00080c00: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +00080c10: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +00080c20: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +00080c30: 7469 6f6e 204f 5342 7569 6c64 2042 6c75  tion OSBuild Blu
│ │ │ +00080c40: 6570 7269 6e74 2073 6e69 7070 6574 20e2  eprint snippet .
│ │ │ +00080c50: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +00080c60: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +00080c70: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +00080c80: 643d 2269 646d 3433 3732 223e 3c70 7265  d="idm4372"><pre
│ │ │ +00080c90: 3e3c 636f 6465 3e0a 5b5b 7061 636b 6167  ><code>.[[packag
│ │ │ +00080ca0: 6573 5d5d 0a6e 616d 6520 3d20 226c 6962  es]].name = "lib
│ │ │ +00080cb0: 7061 6d2d 7077 7175 616c 6974 7922 0a76  pam-pwquality".v
│ │ │ +00080cc0: 6572 7369 6f6e 203d 2022 2a22 0a3c 2f63  ersion = "*".</c
│ │ │  00080cd0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │  00080ce0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │  00080cf0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │  00080d00: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │  00080d10: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  00080d20: 6964 6d34 3337 3322 2074 6162 696e 6465  idm4373" tabinde
│ │ │  00080d30: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ @@ -39567,115 +39567,115 @@
│ │ │  0009a8e0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │  0009a8f0: 743d 2223 6964 6d37 3638 3222 2074 6162  t="#idm7682" tab
│ │ │  0009a900: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │  0009a910: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │  0009a920: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │  0009a930: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │  0009a940: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -0009a950: 2122 3e52 656d 6564 6961 7469 6f6e 204f  !">Remediation O
│ │ │ -0009a960: 5342 7569 6c64 2042 6c75 6570 7269 6e74  SBuild Blueprint
│ │ │ -0009a970: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -0009a980: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -0009a990: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -0009a9a0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -0009a9b0: 3736 3832 223e 3c70 7265 3e3c 636f 6465  7682"><pre><code
│ │ │ -0009a9c0: 3e0a 5b5b 7061 636b 6167 6573 5d5d 0a6e  >.[[packages]].n
│ │ │ -0009a9d0: 616d 6520 3d20 2261 7070 6172 6d6f 7222  ame = "apparmor"
│ │ │ -0009a9e0: 0a76 6572 7369 6f6e 203d 2022 2a22 0a3c  .version = "*".<
│ │ │ -0009a9f0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -0009aa00: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -0009aa10: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -0009aa20: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -0009aa30: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -0009aa40: 2223 6964 6d37 3638 3322 2074 6162 696e  "#idm7683" tabin
│ │ │ -0009aa50: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -0009aa60: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -0009aa70: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -0009aa80: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -0009aa90: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -0009aaa0: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ -0009aab0: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ -0009aac0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -0009aad0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -0009aae0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -0009aaf0: 6964 6d37 3638 3322 3e3c 7461 626c 6520  idm7683"><table 
│ │ │ -0009ab00: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -0009ab10: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -0009ab20: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -0009ab30: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -0009ab40: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -0009ab50: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0009ab60: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -0009ab70: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -0009ab80: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0009ab90: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -0009aba0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -0009abb0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -0009abc0: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -0009abd0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0009abe0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0009abf0: 3e69 6e63 6c75 6465 2069 6e73 7461 6c6c  >include install
│ │ │ -0009ac00: 5f61 7070 6172 6d6f 720a 0a63 6c61 7373  _apparmor..class
│ │ │ -0009ac10: 2069 6e73 7461 6c6c 5f61 7070 6172 6d6f   install_apparmo
│ │ │ -0009ac20: 7220 7b0a 2020 7061 636b 6167 6520 7b20  r {.  package { 
│ │ │ -0009ac30: 2761 7070 6172 6d6f 7227 3a0a 2020 2020  'apparmor':.    
│ │ │ -0009ac40: 656e 7375 7265 203d 2667 743b 2027 696e  ensure =&gt; 'in
│ │ │ -0009ac50: 7374 616c 6c65 6427 2c0a 2020 7d0a 7d0a  stalled',.  }.}.
│ │ │ -0009ac60: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -0009ac70: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -0009ac80: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -0009ac90: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -0009aca0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -0009acb0: 3d22 2369 646d 3736 3834 2220 7461 6269  ="#idm7684" tabi
│ │ │ -0009acc0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -0009acd0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -0009ace0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -0009acf0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -0009ad00: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -0009ad10: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -0009ad20: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -0009ad30: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -0009ad40: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -0009ad50: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -0009ad60: 3d22 6964 6d37 3638 3422 3e3c 7461 626c  ="idm7684"><tabl
│ │ │ -0009ad70: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -0009ad80: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -0009ad90: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -0009ada0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -0009adb0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -0009adc0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0009add0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -0009ade0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -0009adf0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -0009ae00: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -0009ae10: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -0009ae20: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -0009ae30: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -0009ae40: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -0009ae50: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -0009ae60: 6465 3e2d 206e 616d 653a 2045 6e73 7572  de>- name: Ensur
│ │ │ -0009ae70: 6520 6170 7061 726d 6f72 2069 7320 696e  e apparmor is in
│ │ │ -0009ae80: 7374 616c 6c65 640a 2020 7061 636b 6167  stalled.  packag
│ │ │ -0009ae90: 653a 0a20 2020 206e 616d 653a 2061 7070  e:.    name: app
│ │ │ -0009aea0: 6172 6d6f 720a 2020 2020 7374 6174 653a  armor.    state:
│ │ │ -0009aeb0: 2070 7265 7365 6e74 0a20 2077 6865 6e3a   present.  when:
│ │ │ -0009aec0: 2061 6e73 6962 6c65 5f76 6972 7475 616c   ansible_virtual
│ │ │ -0009aed0: 697a 6174 696f 6e5f 7479 7065 206e 6f74  ization_type not
│ │ │ -0009aee0: 2069 6e20 5b22 646f 636b 6572 222c 2022   in ["docker", "
│ │ │ -0009aef0: 6c78 6322 2c20 226f 7065 6e76 7a22 2c20  lxc", "openvz", 
│ │ │ -0009af00: 2270 6f64 6d61 6e22 2c20 2263 6f6e 7461  "podman", "conta
│ │ │ -0009af10: 696e 6572 225d 0a20 2074 6167 733a 0a20  iner"].  tags:. 
│ │ │ -0009af20: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ -0009af30: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -0009af40: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -0009af50: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ -0009af60: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ -0009af70: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -0009af80: 640a 2020 2d20 7061 636b 6167 655f 6170  d.  - package_ap
│ │ │ -0009af90: 7061 726d 6f72 5f69 6e73 7461 6c6c 6564  parmor_installed
│ │ │ +0009a950: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ +0009a960: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ +0009a970: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +0009a980: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +0009a990: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +0009a9a0: 643d 2269 646d 3736 3832 223e 3c74 6162  d="idm7682"><tab
│ │ │ +0009a9b0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +0009a9c0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +0009a9d0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +0009a9e0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +0009a9f0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +0009aa00: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0009aa10: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +0009aa20: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +0009aa30: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0009aa40: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +0009aa50: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +0009aa60: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +0009aa70: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +0009aa80: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +0009aa90: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +0009aaa0: 6f64 653e 2d20 6e61 6d65 3a20 456e 7375  ode>- name: Ensu
│ │ │ +0009aab0: 7265 2061 7070 6172 6d6f 7220 6973 2069  re apparmor is i
│ │ │ +0009aac0: 6e73 7461 6c6c 6564 0a20 2070 6163 6b61  nstalled.  packa
│ │ │ +0009aad0: 6765 3a0a 2020 2020 6e61 6d65 3a20 6170  ge:.    name: ap
│ │ │ +0009aae0: 7061 726d 6f72 0a20 2020 2073 7461 7465  parmor.    state
│ │ │ +0009aaf0: 3a20 7072 6573 656e 740a 2020 7768 656e  : present.  when
│ │ │ +0009ab00: 3a20 616e 7369 626c 655f 7669 7274 7561  : ansible_virtua
│ │ │ +0009ab10: 6c69 7a61 7469 6f6e 5f74 7970 6520 6e6f  lization_type no
│ │ │ +0009ab20: 7420 696e 205b 2264 6f63 6b65 7222 2c20  t in ["docker", 
│ │ │ +0009ab30: 226c 7863 222c 2022 6f70 656e 767a 222c  "lxc", "openvz",
│ │ │ +0009ab40: 2022 706f 646d 616e 222c 2022 636f 6e74   "podman", "cont
│ │ │ +0009ab50: 6169 6e65 7222 5d0a 2020 7461 6773 3a0a  ainer"].  tags:.
│ │ │ +0009ab60: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ +0009ab70: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ +0009ab80: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +0009ab90: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ +0009aba0: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ +0009abb0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +0009abc0: 6564 0a20 202d 2070 6163 6b61 6765 5f61  ed.  - package_a
│ │ │ +0009abd0: 7070 6172 6d6f 725f 696e 7374 616c 6c65  pparmor_installe
│ │ │ +0009abe0: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +0009abf0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +0009ac00: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +0009ac10: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +0009ac20: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +0009ac30: 6574 3d22 2369 646d 3736 3833 2220 7461  et="#idm7683" ta
│ │ │ +0009ac40: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +0009ac50: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +0009ac60: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +0009ac70: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +0009ac80: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +0009ac90: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +0009aca0: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ +0009acb0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +0009acc0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +0009acd0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +0009ace0: 643d 2269 646d 3736 3833 223e 3c74 6162  d="idm7683"><tab
│ │ │ +0009acf0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +0009ad00: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +0009ad10: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +0009ad20: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +0009ad30: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +0009ad40: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0009ad50: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +0009ad60: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +0009ad70: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0009ad80: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +0009ad90: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +0009ada0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +0009adb0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +0009adc0: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +0009add0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +0009ade0: 6f64 653e 696e 636c 7564 6520 696e 7374  ode>include inst
│ │ │ +0009adf0: 616c 6c5f 6170 7061 726d 6f72 0a0a 636c  all_apparmor..cl
│ │ │ +0009ae00: 6173 7320 696e 7374 616c 6c5f 6170 7061  ass install_appa
│ │ │ +0009ae10: 726d 6f72 207b 0a20 2070 6163 6b61 6765  rmor {.  package
│ │ │ +0009ae20: 207b 2027 6170 7061 726d 6f72 273a 0a20   { 'apparmor':. 
│ │ │ +0009ae30: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ +0009ae40: 2769 6e73 7461 6c6c 6564 272c 0a20 207d  'installed',.  }
│ │ │ +0009ae50: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ +0009ae60: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +0009ae70: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +0009ae80: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +0009ae90: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +0009aea0: 6765 743d 2223 6964 6d37 3638 3422 2074  get="#idm7684" t
│ │ │ +0009aeb0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +0009aec0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +0009aed0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +0009aee0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +0009aef0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +0009af00: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +0009af10: 204f 5342 7569 6c64 2042 6c75 6570 7269   OSBuild Bluepri
│ │ │ +0009af20: 6e74 2073 6e69 7070 6574 20e2 87b2 3c2f  nt snippet ...</
│ │ │ +0009af30: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +0009af40: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +0009af50: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +0009af60: 646d 3736 3834 223e 3c70 7265 3e3c 636f  dm7684"><pre><co
│ │ │ +0009af70: 6465 3e0a 5b5b 7061 636b 6167 6573 5d5d  de>.[[packages]]
│ │ │ +0009af80: 0a6e 616d 6520 3d20 2261 7070 6172 6d6f  .name = "apparmo
│ │ │ +0009af90: 7222 0a76 6572 7369 6f6e 203d 2022 2a22  r".version = "*"
│ │ │  0009afa0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │  0009afb0: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │  0009afc0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │  0009afd0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │  0009afe0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │  0009aff0: 743d 2223 6964 6d37 3638 3522 2074 6162  t="#idm7685" tab
│ │ │  0009b000: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ @@ -39891,129 +39891,129 @@
│ │ │  0009bd20: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  0009bd30: 2223 6964 6d37 3731 3722 2074 6162 696e  "#idm7717" tabin
│ │ │  0009bd40: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  0009bd50: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  0009bd60: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  0009bd70: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  0009bd80: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -0009bd90: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ -0009bda0: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ -0009bdb0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -0009bdc0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -0009bdd0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -0009bde0: 6c61 7073 6522 2069 643d 2269 646d 3737  lapse" id="idm77
│ │ │ -0009bdf0: 3137 223e 3c70 7265 3e3c 636f 6465 3e0a  17"><pre><code>.
│ │ │ -0009be00: 5b5b 7061 636b 6167 6573 5d5d 0a6e 616d  [[packages]].nam
│ │ │ -0009be10: 6520 3d20 226c 6962 7061 6d2d 6170 7061  e = "libpam-appa
│ │ │ -0009be20: 726d 6f72 220a 7665 7273 696f 6e20 3d20  rmor".version = 
│ │ │ -0009be30: 222a 220a 3c2f 636f 6465 3e3c 2f70 7265  "*".</code></pre
│ │ │ -0009be40: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -0009be50: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -0009be60: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -0009be70: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -0009be80: 7267 6574 3d22 2369 646d 3737 3138 2220  rget="#idm7718" 
│ │ │ -0009be90: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -0009bea0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -0009beb0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -0009bec0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -0009bed0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -0009bee0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0009bef0: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -0009bf00: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -0009bf10: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -0009bf20: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -0009bf30: 2069 643d 2269 646d 3737 3138 223e 3c74   id="idm7718"><t
│ │ │ -0009bf40: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -0009bf50: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -0009bf60: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -0009bf70: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -0009bf80: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -0009bf90: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -0009bfa0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0009bfb0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -0009bfc0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0009bfd0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -0009bfe0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -0009bff0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0009c000: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -0009c010: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -0009c020: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -0009c030: 3c63 6f64 653e 696e 636c 7564 6520 696e  <code>include in
│ │ │ -0009c040: 7374 616c 6c5f 6c69 6270 616d 2d61 7070  stall_libpam-app
│ │ │ -0009c050: 6172 6d6f 720a 0a63 6c61 7373 2069 6e73  armor..class ins
│ │ │ -0009c060: 7461 6c6c 5f6c 6962 7061 6d2d 6170 7061  tall_libpam-appa
│ │ │ -0009c070: 726d 6f72 207b 0a20 2070 6163 6b61 6765  rmor {.  package
│ │ │ -0009c080: 207b 2027 6c69 6270 616d 2d61 7070 6172   { 'libpam-appar
│ │ │ -0009c090: 6d6f 7227 3a0a 2020 2020 656e 7375 7265  mor':.    ensure
│ │ │ -0009c0a0: 203d 2667 743b 2027 696e 7374 616c 6c65   =&gt; 'installe
│ │ │ -0009c0b0: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │ -0009c0c0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -0009c0d0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -0009c0e0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -0009c0f0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -0009c100: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -0009c110: 3737 3139 2220 7461 6269 6e64 6578 3d22  7719" tabindex="
│ │ │ -0009c120: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -0009c130: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -0009c140: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -0009c150: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -0009c160: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -0009c170: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -0009c180: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -0009c190: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -0009c1a0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -0009c1b0: 6c6c 6170 7365 2220 6964 3d22 6964 6d37  llapse" id="idm7
│ │ │ -0009c1c0: 3731 3922 3e3c 7461 626c 6520 636c 6173  719"><table clas
│ │ │ -0009c1d0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -0009c1e0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -0009c1f0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -0009c200: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -0009c210: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -0009c220: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -0009c230: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -0009c240: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -0009c250: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0009c260: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -0009c270: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -0009c280: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -0009c290: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ -0009c2a0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -0009c2b0: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ -0009c2c0: 616d 653a 2045 6e73 7572 6520 6c69 6270  ame: Ensure libp
│ │ │ -0009c2d0: 616d 2d61 7070 6172 6d6f 7220 6973 2069  am-apparmor is i
│ │ │ -0009c2e0: 6e73 7461 6c6c 6564 0a20 2070 6163 6b61  nstalled.  packa
│ │ │ -0009c2f0: 6765 3a0a 2020 2020 6e61 6d65 3a20 6c69  ge:.    name: li
│ │ │ -0009c300: 6270 616d 2d61 7070 6172 6d6f 720a 2020  bpam-apparmor.  
│ │ │ -0009c310: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ -0009c320: 0a20 2077 6865 6e3a 2061 6e73 6962 6c65  .  when: ansible
│ │ │ -0009c330: 5f76 6972 7475 616c 697a 6174 696f 6e5f  _virtualization_
│ │ │ -0009c340: 7479 7065 206e 6f74 2069 6e20 5b22 646f  type not in ["do
│ │ │ -0009c350: 636b 6572 222c 2022 6c78 6322 2c20 226f  cker", "lxc", "o
│ │ │ -0009c360: 7065 6e76 7a22 2c20 2270 6f64 6d61 6e22  penvz", "podman"
│ │ │ -0009c370: 2c20 2263 6f6e 7461 696e 6572 225d 0a20  , "container"]. 
│ │ │ -0009c380: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -0009c390: 3830 302d 3533 2d41 432d 3328 3429 0a20  800-53-AC-3(4). 
│ │ │ -0009c3a0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -0009c3b0: 432d 3628 3130 290a 2020 2d20 4e49 5354  C-6(10).  - NIST
│ │ │ -0009c3c0: 2d38 3030 2d35 332d 4143 2d36 2838 290a  -800-53-AC-6(8).
│ │ │ -0009c3d0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0009c3e0: 434d 2d36 2861 290a 2020 2d20 4e49 5354  CM-6(a).  - NIST
│ │ │ -0009c3f0: 2d38 3030 2d35 332d 434d 2d37 2832 290a  -800-53-CM-7(2).
│ │ │ -0009c400: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0009c410: 434d 2d37 2835 2928 6229 0a20 202d 204e  CM-7(5)(b).  - N
│ │ │ -0009c420: 4953 542d 3830 302d 3533 2d53 432d 3728  IST-800-53-SC-7(
│ │ │ -0009c430: 3231 290a 2020 2d20 656e 6162 6c65 5f73  21).  - enable_s
│ │ │ -0009c440: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -0009c450: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -0009c460: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -0009c470: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -0009c480: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -0009c490: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -0009c4a0: 6765 5f70 616d 5f61 7070 6172 6d6f 725f  ge_pam_apparmor_
│ │ │ -0009c4b0: 696e 7374 616c 6c65 640a 3c2f 636f 6465  installed.</code
│ │ │ +0009bd90: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +0009bda0: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +0009bdb0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +0009bdc0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +0009bdd0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +0009bde0: 2269 646d 3737 3137 223e 3c74 6162 6c65  "idm7717"><table
│ │ │ +0009bdf0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +0009be00: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +0009be10: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +0009be20: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +0009be30: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +0009be40: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0009be50: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +0009be60: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +0009be70: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0009be80: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +0009be90: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +0009bea0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +0009beb0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +0009bec0: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +0009bed0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +0009bee0: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ +0009bef0: 206c 6962 7061 6d2d 6170 7061 726d 6f72   libpam-apparmor
│ │ │ +0009bf00: 2069 7320 696e 7374 616c 6c65 640a 2020   is installed.  
│ │ │ +0009bf10: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ +0009bf20: 653a 206c 6962 7061 6d2d 6170 7061 726d  e: libpam-apparm
│ │ │ +0009bf30: 6f72 0a20 2020 2073 7461 7465 3a20 7072  or.    state: pr
│ │ │ +0009bf40: 6573 656e 740a 2020 7768 656e 3a20 616e  esent.  when: an
│ │ │ +0009bf50: 7369 626c 655f 7669 7274 7561 6c69 7a61  sible_virtualiza
│ │ │ +0009bf60: 7469 6f6e 5f74 7970 6520 6e6f 7420 696e  tion_type not in
│ │ │ +0009bf70: 205b 2264 6f63 6b65 7222 2c20 226c 7863   ["docker", "lxc
│ │ │ +0009bf80: 222c 2022 6f70 656e 767a 222c 2022 706f  ", "openvz", "po
│ │ │ +0009bf90: 646d 616e 222c 2022 636f 6e74 6169 6e65  dman", "containe
│ │ │ +0009bfa0: 7222 5d0a 2020 7461 6773 3a0a 2020 2d20  r"].  tags:.  - 
│ │ │ +0009bfb0: 4e49 5354 2d38 3030 2d35 332d 4143 2d33  NIST-800-53-AC-3
│ │ │ +0009bfc0: 2834 290a 2020 2d20 4e49 5354 2d38 3030  (4).  - NIST-800
│ │ │ +0009bfd0: 2d35 332d 4143 2d36 2831 3029 0a20 202d  -53-AC-6(10).  -
│ │ │ +0009bfe0: 204e 4953 542d 3830 302d 3533 2d41 432d   NIST-800-53-AC-
│ │ │ +0009bff0: 3628 3829 0a20 202d 204e 4953 542d 3830  6(8).  - NIST-80
│ │ │ +0009c000: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +0009c010: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +0009c020: 3728 3229 0a20 202d 204e 4953 542d 3830  7(2).  - NIST-80
│ │ │ +0009c030: 302d 3533 2d43 4d2d 3728 3529 2862 290a  0-53-CM-7(5)(b).
│ │ │ +0009c040: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0009c050: 5343 2d37 2832 3129 0a20 202d 2065 6e61  SC-7(21).  - ena
│ │ │ +0009c060: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +0009c070: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +0009c080: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +0009c090: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ +0009c0a0: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +0009c0b0: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +0009c0c0: 7061 636b 6167 655f 7061 6d5f 6170 7061  package_pam_appa
│ │ │ +0009c0d0: 726d 6f72 5f69 6e73 7461 6c6c 6564 0a3c  rmor_installed.<
│ │ │ +0009c0e0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +0009c0f0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +0009c100: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +0009c110: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +0009c120: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +0009c130: 2223 6964 6d37 3731 3822 2074 6162 696e  "#idm7718" tabin
│ │ │ +0009c140: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +0009c150: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +0009c160: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +0009c170: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +0009c180: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +0009c190: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +0009c1a0: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +0009c1b0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +0009c1c0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +0009c1d0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +0009c1e0: 6964 6d37 3731 3822 3e3c 7461 626c 6520  idm7718"><table 
│ │ │ +0009c1f0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +0009c200: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +0009c210: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +0009c220: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +0009c230: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +0009c240: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0009c250: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +0009c260: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +0009c270: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0009c280: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +0009c290: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +0009c2a0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +0009c2b0: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ +0009c2c0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +0009c2d0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +0009c2e0: 3e69 6e63 6c75 6465 2069 6e73 7461 6c6c  >include install
│ │ │ +0009c2f0: 5f6c 6962 7061 6d2d 6170 7061 726d 6f72  _libpam-apparmor
│ │ │ +0009c300: 0a0a 636c 6173 7320 696e 7374 616c 6c5f  ..class install_
│ │ │ +0009c310: 6c69 6270 616d 2d61 7070 6172 6d6f 7220  libpam-apparmor 
│ │ │ +0009c320: 7b0a 2020 7061 636b 6167 6520 7b20 276c  {.  package { 'l
│ │ │ +0009c330: 6962 7061 6d2d 6170 7061 726d 6f72 273a  ibpam-apparmor':
│ │ │ +0009c340: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +0009c350: 3b20 2769 6e73 7461 6c6c 6564 272c 0a20  ; 'installed',. 
│ │ │ +0009c360: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ +0009c370: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +0009c380: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +0009c390: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +0009c3a0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +0009c3b0: 6172 6765 743d 2223 6964 6d37 3731 3922  arget="#idm7719"
│ │ │ +0009c3c0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +0009c3d0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +0009c3e0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +0009c3f0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +0009c400: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +0009c410: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +0009c420: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ +0009c430: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ +0009c440: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +0009c450: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +0009c460: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +0009c470: 2269 646d 3737 3139 223e 3c70 7265 3e3c  "idm7719"><pre><
│ │ │ +0009c480: 636f 6465 3e0a 5b5b 7061 636b 6167 6573  code>.[[packages
│ │ │ +0009c490: 5d5d 0a6e 616d 6520 3d20 226c 6962 7061  ]].name = "libpa
│ │ │ +0009c4a0: 6d2d 6170 7061 726d 6f72 220a 7665 7273  m-apparmor".vers
│ │ │ +0009c4b0: 696f 6e20 3d20 222a 220a 3c2f 636f 6465  ion = "*".</code
│ │ │  0009c4c0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │  0009c4d0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │  0009c4e0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │  0009c4f0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │  0009c500: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  0009c510: 3737 3230 2220 7461 6269 6e64 6578 3d22  7720" tabindex="
│ │ │  0009c520: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ @@ -40756,109 +40756,109 @@
│ │ │  0009f330: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  0009f340: 2369 646d 3737 3734 2220 7461 6269 6e64  #idm7774" tabind
│ │ │  0009f350: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │  0009f360: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │  0009f370: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │  0009f380: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │  0009f390: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -0009f3a0: 5265 6d65 6469 6174 696f 6e20 4f53 4275  Remediation OSBu
│ │ │ -0009f3b0: 696c 6420 426c 7565 7072 696e 7420 736e  ild Blueprint sn
│ │ │ -0009f3c0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -0009f3d0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -0009f3e0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -0009f3f0: 6170 7365 2220 6964 3d22 6964 6d37 3737  apse" id="idm777
│ │ │ -0009f400: 3422 3e3c 7072 653e 3c63 6f64 653e 0a5b  4"><pre><code>.[
│ │ │ -0009f410: 6375 7374 6f6d 697a 6174 696f 6e73 2e73  customizations.s
│ │ │ -0009f420: 6572 7669 6365 735d 0a65 6e61 626c 6564  ervices].enabled
│ │ │ -0009f430: 203d 205b 2261 7070 6172 6d6f 7222 5d0a   = ["apparmor"].
│ │ │ -0009f440: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -0009f450: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -0009f460: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -0009f470: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -0009f480: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -0009f490: 3d22 2369 646d 3737 3735 2220 7461 6269  ="#idm7775" tabi
│ │ │ -0009f4a0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -0009f4b0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -0009f4c0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -0009f4d0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -0009f4e0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -0009f4f0: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ -0009f500: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ -0009f510: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -0009f520: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -0009f530: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -0009f540: 2269 646d 3737 3735 223e 3c74 6162 6c65  "idm7775"><table
│ │ │ -0009f550: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -0009f560: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -0009f570: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -0009f580: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -0009f590: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -0009f5a0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0009f5b0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -0009f5c0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -0009f5d0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0009f5e0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -0009f5f0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -0009f600: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -0009f610: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ -0009f620: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ -0009f630: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -0009f640: 653e 696e 636c 7564 6520 656e 6162 6c65  e>include enable
│ │ │ -0009f650: 5f61 7070 6172 6d6f 720a 0a63 6c61 7373  _apparmor..class
│ │ │ -0009f660: 2065 6e61 626c 655f 6170 7061 726d 6f72   enable_apparmor
│ │ │ -0009f670: 207b 0a20 2073 6572 7669 6365 207b 2761   {.  service {'a
│ │ │ -0009f680: 7070 6172 6d6f 7227 3a0a 2020 2020 656e  pparmor':.    en
│ │ │ -0009f690: 6162 6c65 203d 2667 743b 2074 7275 652c  able =&gt; true,
│ │ │ -0009f6a0: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ -0009f6b0: 3b20 2772 756e 6e69 6e67 272c 0a20 207d  ; 'running',.  }
│ │ │ -0009f6c0: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -0009f6d0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -0009f6e0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -0009f6f0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -0009f700: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -0009f710: 6765 743d 2223 6964 6d37 3737 3622 2074  get="#idm7776" t
│ │ │ -0009f720: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -0009f730: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -0009f740: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -0009f750: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -0009f760: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -0009f770: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -0009f780: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ -0009f790: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -0009f7a0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -0009f7b0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -0009f7c0: 2069 643d 2269 646d 3737 3736 223e 3c70   id="idm7776"><p
│ │ │ -0009f7d0: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -0009f7e0: 2053 7461 7274 2061 7070 6172 6d6f 722e   Start apparmor.
│ │ │ -0009f7f0: 7365 7276 6963 650a 2020 7379 7374 656d  service.  system
│ │ │ -0009f800: 643a 0a20 2020 206e 616d 653a 2061 7070  d:.    name: app
│ │ │ -0009f810: 6172 6d6f 722e 7365 7276 6963 650a 2020  armor.service.  
│ │ │ -0009f820: 2020 7374 6174 653a 2073 7461 7274 6564    state: started
│ │ │ -0009f830: 0a20 2020 2065 6e61 626c 6564 3a20 7472  .    enabled: tr
│ │ │ -0009f840: 7565 0a20 2077 6865 6e3a 2061 6e73 6962  ue.  when: ansib
│ │ │ -0009f850: 6c65 5f76 6972 7475 616c 697a 6174 696f  le_virtualizatio
│ │ │ -0009f860: 6e5f 7479 7065 206e 6f74 2069 6e20 5b22  n_type not in ["
│ │ │ -0009f870: 646f 636b 6572 222c 2022 6c78 6322 2c20  docker", "lxc", 
│ │ │ -0009f880: 226f 7065 6e76 7a22 2c20 2270 6f64 6d61  "openvz", "podma
│ │ │ -0009f890: 6e22 2c20 2263 6f6e 7461 696e 6572 225d  n", "container"]
│ │ │ -0009f8a0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -0009f8b0: 542d 3830 302d 3533 2d41 432d 3328 3429  T-800-53-AC-3(4)
│ │ │ -0009f8c0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -0009f8d0: 2d41 432d 3628 3130 290a 2020 2d20 4e49  -AC-6(10).  - NI
│ │ │ -0009f8e0: 5354 2d38 3030 2d35 332d 4143 2d36 2838  ST-800-53-AC-6(8
│ │ │ -0009f8f0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -0009f900: 332d 434d 2d36 2861 290a 2020 2d20 4e49  3-CM-6(a).  - NI
│ │ │ -0009f910: 5354 2d38 3030 2d35 332d 434d 2d37 2832  ST-800-53-CM-7(2
│ │ │ -0009f920: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -0009f930: 332d 434d 2d37 2835 2928 6229 0a20 202d  3-CM-7(5)(b).  -
│ │ │ -0009f940: 204e 4953 542d 3830 302d 3533 2d53 432d   NIST-800-53-SC-
│ │ │ -0009f950: 3728 3231 290a 2020 2d20 6170 7061 726d  7(21).  - apparm
│ │ │ -0009f960: 6f72 5f63 6f6e 6669 6775 7265 640a 2020  or_configured.  
│ │ │ -0009f970: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -0009f980: 790a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  y.</code></pre><
│ │ │ +0009f3a0: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ +0009f3b0: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ +0009f3c0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +0009f3d0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +0009f3e0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +0009f3f0: 6964 6d37 3737 3422 3e3c 7072 653e 3c63  idm7774"><pre><c
│ │ │ +0009f400: 6f64 653e 2d20 6e61 6d65 3a20 5374 6172  ode>- name: Star
│ │ │ +0009f410: 7420 6170 7061 726d 6f72 2e73 6572 7669  t apparmor.servi
│ │ │ +0009f420: 6365 0a20 2073 7973 7465 6d64 3a0a 2020  ce.  systemd:.  
│ │ │ +0009f430: 2020 6e61 6d65 3a20 6170 7061 726d 6f72    name: apparmor
│ │ │ +0009f440: 2e73 6572 7669 6365 0a20 2020 2073 7461  .service.    sta
│ │ │ +0009f450: 7465 3a20 7374 6172 7465 640a 2020 2020  te: started.    
│ │ │ +0009f460: 656e 6162 6c65 643a 2074 7275 650a 2020  enabled: true.  
│ │ │ +0009f470: 7768 656e 3a20 616e 7369 626c 655f 7669  when: ansible_vi
│ │ │ +0009f480: 7274 7561 6c69 7a61 7469 6f6e 5f74 7970  rtualization_typ
│ │ │ +0009f490: 6520 6e6f 7420 696e 205b 2264 6f63 6b65  e not in ["docke
│ │ │ +0009f4a0: 7222 2c20 226c 7863 222c 2022 6f70 656e  r", "lxc", "open
│ │ │ +0009f4b0: 767a 222c 2022 706f 646d 616e 222c 2022  vz", "podman", "
│ │ │ +0009f4c0: 636f 6e74 6169 6e65 7222 5d0a 2020 7461  container"].  ta
│ │ │ +0009f4d0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +0009f4e0: 2d35 332d 4143 2d33 2834 290a 2020 2d20  -53-AC-3(4).  - 
│ │ │ +0009f4f0: 4e49 5354 2d38 3030 2d35 332d 4143 2d36  NIST-800-53-AC-6
│ │ │ +0009f500: 2831 3029 0a20 202d 204e 4953 542d 3830  (10).  - NIST-80
│ │ │ +0009f510: 302d 3533 2d41 432d 3628 3829 0a20 202d  0-53-AC-6(8).  -
│ │ │ +0009f520: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +0009f530: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ +0009f540: 302d 3533 2d43 4d2d 3728 3229 0a20 202d  0-53-CM-7(2).  -
│ │ │ +0009f550: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +0009f560: 3728 3529 2862 290a 2020 2d20 4e49 5354  7(5)(b).  - NIST
│ │ │ +0009f570: 2d38 3030 2d35 332d 5343 2d37 2832 3129  -800-53-SC-7(21)
│ │ │ +0009f580: 0a20 202d 2061 7070 6172 6d6f 725f 636f  .  - apparmor_co
│ │ │ +0009f590: 6e66 6967 7572 6564 0a20 202d 206d 6564  nfigured.  - med
│ │ │ +0009f5a0: 6975 6d5f 7365 7665 7269 7479 0a3c 2f63  ium_severity.</c
│ │ │ +0009f5b0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +0009f5c0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +0009f5d0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +0009f5e0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +0009f5f0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +0009f600: 6964 6d37 3737 3522 2074 6162 696e 6465  idm7775" tabinde
│ │ │ +0009f610: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +0009f620: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +0009f630: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +0009f640: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +0009f650: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +0009f660: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ +0009f670: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +0009f680: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +0009f690: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +0009f6a0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +0009f6b0: 6d37 3737 3522 3e3c 7461 626c 6520 636c  m7775"><table cl
│ │ │ +0009f6c0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +0009f6d0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +0009f6e0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +0009f6f0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +0009f700: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +0009f710: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0009f720: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +0009f730: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +0009f740: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0009f750: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +0009f760: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +0009f770: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +0009f780: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ +0009f790: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +0009f7a0: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ +0009f7b0: 6e63 6c75 6465 2065 6e61 626c 655f 6170  nclude enable_ap
│ │ │ +0009f7c0: 7061 726d 6f72 0a0a 636c 6173 7320 656e  parmor..class en
│ │ │ +0009f7d0: 6162 6c65 5f61 7070 6172 6d6f 7220 7b0a  able_apparmor {.
│ │ │ +0009f7e0: 2020 7365 7276 6963 6520 7b27 6170 7061    service {'appa
│ │ │ +0009f7f0: 726d 6f72 273a 0a20 2020 2065 6e61 626c  rmor':.    enabl
│ │ │ +0009f800: 6520 3d26 6774 3b20 7472 7565 2c0a 2020  e =&gt; true,.  
│ │ │ +0009f810: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +0009f820: 7275 6e6e 696e 6727 2c0a 2020 7d0a 7d0a  running',.  }.}.
│ │ │ +0009f830: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +0009f840: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +0009f850: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +0009f860: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +0009f870: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +0009f880: 3d22 2369 646d 3737 3736 2220 7461 6269  ="#idm7776" tabi
│ │ │ +0009f890: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +0009f8a0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +0009f8b0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +0009f8c0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +0009f8d0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +0009f8e0: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ +0009f8f0: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ +0009f900: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +0009f910: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +0009f920: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +0009f930: 6c6c 6170 7365 2220 6964 3d22 6964 6d37  llapse" id="idm7
│ │ │ +0009f940: 3737 3622 3e3c 7072 653e 3c63 6f64 653e  776"><pre><code>
│ │ │ +0009f950: 0a5b 6375 7374 6f6d 697a 6174 696f 6e73  .[customizations
│ │ │ +0009f960: 2e73 6572 7669 6365 735d 0a65 6e61 626c  .services].enabl
│ │ │ +0009f970: 6564 203d 205b 2261 7070 6172 6d6f 7222  ed = ["apparmor"
│ │ │ +0009f980: 5d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ].</code></pre><
│ │ │  0009f990: 2f64 6976 3e3c 2f64 6976 3e3c 2f74 643e  /div></div></td>
│ │ │  0009f9a0: 3c2f 7472 3e3c 2f74 626f 6479 3e3c 2f74  </tr></tbody></t
│ │ │  0009f9b0: 6162 6c65 3e3c 2f74 643e 3c2f 7472 3e3c  able></td></tr><
│ │ │  0009f9c0: 7472 2064 6174 612d 7474 2d69 643d 2278  tr data-tt-id="x
│ │ │  0009f9d0: 6363 6466 5f6f 7267 2e73 7367 7072 6f6a  ccdf_org.ssgproj
│ │ │  0009f9e0: 6563 742e 636f 6e74 656e 745f 7275 6c65  ect.content_rule
│ │ │  0009f9f0: 5f67 7275 6232 5f65 6e61 626c 655f 6170  _grub2_enable_ap
│ │ │ @@ -67735,136 +67735,136 @@
│ │ │  00108960: 743d 2223 6964 6d31 3035 3532 2220 7461  t="#idm10552" ta
│ │ │  00108970: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  00108980: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │  00108990: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │  001089a0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │  001089b0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │  001089c0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -001089d0: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ -001089e0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -001089f0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00108a00: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00108a10: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00108a20: 6d31 3035 3532 223e 3c70 7265 3e3c 636f  m10552"><pre><co
│ │ │ -00108a30: 6465 3e0a 5b5b 7061 636b 6167 6573 5d5d  de>.[[packages]]
│ │ │ -00108a40: 0a6e 616d 6520 3d20 226c 6f67 726f 7461  .name = "logrota
│ │ │ -00108a50: 7465 220a 7665 7273 696f 6e20 3d20 222a  te".version = "*
│ │ │ -00108a60: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │ -00108a70: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -00108a80: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -00108a90: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -00108aa0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -00108ab0: 6574 3d22 2369 646d 3130 3535 3322 2074  et="#idm10553" t
│ │ │ -00108ac0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -00108ad0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -00108ae0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -00108af0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -00108b00: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -00108b10: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00108b20: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -00108b30: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00108b40: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00108b50: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00108b60: 6964 3d22 6964 6d31 3035 3533 223e 3c74  id="idm10553"><t
│ │ │ -00108b70: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -00108b80: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -00108b90: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -00108ba0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -00108bb0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -00108bc0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -00108bd0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00108be0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -00108bf0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00108c00: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -00108c10: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00108c20: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00108c30: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -00108c40: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -00108c50: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00108c60: 3c63 6f64 653e 696e 636c 7564 6520 696e  <code>include in
│ │ │ -00108c70: 7374 616c 6c5f 6c6f 6772 6f74 6174 650a  stall_logrotate.
│ │ │ -00108c80: 0a63 6c61 7373 2069 6e73 7461 6c6c 5f6c  .class install_l
│ │ │ -00108c90: 6f67 726f 7461 7465 207b 0a20 2070 6163  ogrotate {.  pac
│ │ │ -00108ca0: 6b61 6765 207b 2027 6c6f 6772 6f74 6174  kage { 'logrotat
│ │ │ -00108cb0: 6527 3a0a 2020 2020 656e 7375 7265 203d  e':.    ensure =
│ │ │ -00108cc0: 2667 743b 2027 696e 7374 616c 6c65 6427  &gt; 'installed'
│ │ │ -00108cd0: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │ -00108ce0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -00108cf0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -00108d00: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -00108d10: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -00108d20: 612d 7461 7267 6574 3d22 2369 646d 3130  a-target="#idm10
│ │ │ -00108d30: 3535 3422 2074 6162 696e 6465 783d 2230  554" tabindex="0
│ │ │ -00108d40: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00108d50: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00108d60: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00108d70: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -00108d80: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00108d90: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ -00108da0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00108db0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00108dc0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -00108dd0: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ -00108de0: 3535 3422 3e3c 7461 626c 6520 636c 6173  554"><table clas
│ │ │ -00108df0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -00108e00: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -00108e10: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -00108e20: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00108e30: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00108e40: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00108e50: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00108e60: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00108e70: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00108e80: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -00108e90: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -00108ea0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -00108eb0: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ -00108ec0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -00108ed0: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ -00108ee0: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ -00108ef0: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ -00108f00: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ -00108f10: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ -00108f20: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -00108f30: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -00108f40: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -00108f50: 2d31 302e 370a 2020 2d20 5043 492d 4453  -10.7.  - PCI-DS
│ │ │ -00108f60: 5376 342d 3130 2e35 0a20 202d 2050 4349  Sv4-10.5.  - PCI
│ │ │ -00108f70: 2d44 5353 7634 2d31 302e 352e 310a 2020  -DSSv4-10.5.1.  
│ │ │ -00108f80: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -00108f90: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -00108fa0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -00108fb0: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -00108fc0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -00108fd0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -00108fe0: 0a20 202d 2070 6163 6b61 6765 5f6c 6f67  .  - package_log
│ │ │ -00108ff0: 726f 7461 7465 5f69 6e73 7461 6c6c 6564  rotate_installed
│ │ │ -00109000: 0a0a 2d20 6e61 6d65 3a20 456e 7375 7265  ..- name: Ensure
│ │ │ -00109010: 206c 6f67 726f 7461 7465 2069 7320 696e   logrotate is in
│ │ │ -00109020: 7374 616c 6c65 640a 2020 7061 636b 6167  stalled.  packag
│ │ │ -00109030: 653a 0a20 2020 206e 616d 653a 206c 6f67  e:.    name: log
│ │ │ -00109040: 726f 7461 7465 0a20 2020 2073 7461 7465  rotate.    state
│ │ │ -00109050: 3a20 7072 6573 656e 740a 2020 7768 656e  : present.  when
│ │ │ -00109060: 3a20 2722 6c69 6e75 782d 6261 7365 2220  : '"linux-base" 
│ │ │ -00109070: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ -00109080: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ -00109090: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -001090a0: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ -001090b0: 4349 2d44 5353 2d52 6571 2d31 302e 370a  CI-DSS-Req-10.7.
│ │ │ -001090c0: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ -001090d0: 2e35 0a20 202d 2050 4349 2d44 5353 7634  .5.  - PCI-DSSv4
│ │ │ -001090e0: 2d31 302e 352e 310a 2020 2d20 656e 6162  -10.5.1.  - enab
│ │ │ -001090f0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00109100: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -00109110: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -00109120: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ -00109130: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ -00109140: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -00109150: 6163 6b61 6765 5f6c 6f67 726f 7461 7465  ackage_logrotate
│ │ │ -00109160: 5f69 6e73 7461 6c6c 6564 0a3c 2f63 6f64  _installed.</cod
│ │ │ +001089d0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ +001089e0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +001089f0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00108a00: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00108a10: 6964 3d22 6964 6d31 3035 3532 223e 3c74  id="idm10552"><t
│ │ │ +00108a20: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +00108a30: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00108a40: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +00108a50: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00108a60: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00108a70: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00108a80: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00108a90: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +00108aa0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00108ab0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +00108ac0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +00108ad0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00108ae0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00108af0: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +00108b00: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +00108b10: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ +00108b20: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ +00108b30: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ +00108b40: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ +00108b50: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ +00108b60: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +00108b70: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ +00108b80: 492d 4453 532d 5265 712d 3130 2e37 0a20  I-DSS-Req-10.7. 
│ │ │ +00108b90: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ +00108ba0: 350a 2020 2d20 5043 492d 4453 5376 342d  5.  - PCI-DSSv4-
│ │ │ +00108bb0: 3130 2e35 2e31 0a20 202d 2065 6e61 626c  10.5.1.  - enabl
│ │ │ +00108bc0: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +00108bd0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +00108be0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +00108bf0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ +00108c00: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ +00108c10: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ +00108c20: 636b 6167 655f 6c6f 6772 6f74 6174 655f  ckage_logrotate_
│ │ │ +00108c30: 696e 7374 616c 6c65 640a 0a2d 206e 616d  installed..- nam
│ │ │ +00108c40: 653a 2045 6e73 7572 6520 6c6f 6772 6f74  e: Ensure logrot
│ │ │ +00108c50: 6174 6520 6973 2069 6e73 7461 6c6c 6564  ate is installed
│ │ │ +00108c60: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ +00108c70: 6e61 6d65 3a20 6c6f 6772 6f74 6174 650a  name: logrotate.
│ │ │ +00108c80: 2020 2020 7374 6174 653a 2070 7265 7365      state: prese
│ │ │ +00108c90: 6e74 0a20 2077 6865 6e3a 2027 226c 696e  nt.  when: '"lin
│ │ │ +00108ca0: 7578 2d62 6173 6522 2069 6e20 616e 7369  ux-base" in ansi
│ │ │ +00108cb0: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ +00108cc0: 6573 270a 2020 7461 6773 3a0a 2020 2d20  es'.  tags:.  - 
│ │ │ +00108cd0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ +00108ce0: 2861 290a 2020 2d20 5043 492d 4453 532d  (a).  - PCI-DSS-
│ │ │ +00108cf0: 5265 712d 3130 2e37 0a20 202d 2050 4349  Req-10.7.  - PCI
│ │ │ +00108d00: 2d44 5353 7634 2d31 302e 350a 2020 2d20  -DSSv4-10.5.  - 
│ │ │ +00108d10: 5043 492d 4453 5376 342d 3130 2e35 2e31  PCI-DSSv4-10.5.1
│ │ │ +00108d20: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +00108d30: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +00108d40: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +00108d50: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +00108d60: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +00108d70: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +00108d80: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +00108d90: 6c6f 6772 6f74 6174 655f 696e 7374 616c  logrotate_instal
│ │ │ +00108da0: 6c65 640a 3c2f 636f 6465 3e3c 2f70 7265  led.</code></pre
│ │ │ +00108db0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +00108dc0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +00108dd0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +00108de0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +00108df0: 7267 6574 3d22 2369 646d 3130 3535 3322  rget="#idm10553"
│ │ │ +00108e00: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00108e10: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00108e20: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00108e30: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00108e40: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00108e50: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +00108e60: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +00108e70: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00108e80: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00108e90: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00108ea0: 2220 6964 3d22 6964 6d31 3035 3533 223e  " id="idm10553">
│ │ │ +00108eb0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00108ec0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00108ed0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00108ee0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00108ef0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00108f00: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00108f10: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00108f20: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00108f30: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00108f40: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00108f50: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00108f60: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00108f70: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00108f80: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +00108f90: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00108fa0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +00108fb0: 696e 7374 616c 6c5f 6c6f 6772 6f74 6174  install_logrotat
│ │ │ +00108fc0: 650a 0a63 6c61 7373 2069 6e73 7461 6c6c  e..class install
│ │ │ +00108fd0: 5f6c 6f67 726f 7461 7465 207b 0a20 2070  _logrotate {.  p
│ │ │ +00108fe0: 6163 6b61 6765 207b 2027 6c6f 6772 6f74  ackage { 'logrot
│ │ │ +00108ff0: 6174 6527 3a0a 2020 2020 656e 7375 7265  ate':.    ensure
│ │ │ +00109000: 203d 2667 743b 2027 696e 7374 616c 6c65   =&gt; 'installe
│ │ │ +00109010: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │ +00109020: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +00109030: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +00109040: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +00109050: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +00109060: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +00109070: 3130 3535 3422 2074 6162 696e 6465 783d  10554" tabindex=
│ │ │ +00109080: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00109090: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +001090a0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +001090b0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +001090c0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +001090d0: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ +001090e0: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ +001090f0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00109100: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00109110: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00109120: 6522 2069 643d 2269 646d 3130 3535 3422  e" id="idm10554"
│ │ │ +00109130: 3e3c 7072 653e 3c63 6f64 653e 0a5b 5b70  ><pre><code>.[[p
│ │ │ +00109140: 6163 6b61 6765 735d 5d0a 6e61 6d65 203d  ackages]].name =
│ │ │ +00109150: 2022 6c6f 6772 6f74 6174 6522 0a76 6572   "logrotate".ver
│ │ │ +00109160: 7369 6f6e 203d 2022 2a22 0a3c 2f63 6f64  sion = "*".</cod
│ │ │  00109170: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │  00109180: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │  00109190: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │  001091a0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │  001091b0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  001091c0: 6d31 3035 3535 2220 7461 6269 6e64 6578  m10555" tabindex
│ │ │  001091d0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ @@ -69755,128 +69755,128 @@
│ │ │  001107a0: 7461 7267 6574 3d22 2369 646d 3130 3036  target="#idm1006
│ │ │  001107b0: 3322 2074 6162 696e 6465 783d 2230 2220  3" tabindex="0" 
│ │ │  001107c0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │  001107d0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │  001107e0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │  001107f0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │  00110800: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00110810: 7469 6f6e 204f 5342 7569 6c64 2042 6c75  tion OSBuild Blu
│ │ │ -00110820: 6570 7269 6e74 2073 6e69 7070 6574 20e2  eprint snippet .
│ │ │ -00110830: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00110840: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00110850: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00110860: 643d 2269 646d 3130 3036 3322 3e3c 7072  d="idm10063"><pr
│ │ │ -00110870: 653e 3c63 6f64 653e 0a5b 5b70 6163 6b61  e><code>.[[packa
│ │ │ -00110880: 6765 735d 5d0a 6e61 6d65 203d 2022 7273  ges]].name = "rs
│ │ │ -00110890: 7973 6c6f 672d 676e 7574 6c73 220a 7665  yslog-gnutls".ve
│ │ │ -001108a0: 7273 696f 6e20 3d20 222a 220a 3c2f 636f  rsion = "*".</co
│ │ │ -001108b0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -001108c0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -001108d0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -001108e0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -001108f0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00110900: 646d 3130 3036 3422 2074 6162 696e 6465  dm10064" tabinde
│ │ │ -00110910: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -00110920: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -00110930: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -00110940: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -00110950: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00110960: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -00110970: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -00110980: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00110990: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -001109a0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -001109b0: 6d31 3030 3634 223e 3c74 6162 6c65 2063  m10064"><table c
│ │ │ -001109c0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -001109d0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -001109e0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -001109f0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00110a00: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00110a10: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00110a20: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00110a30: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00110a40: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00110a50: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00110a60: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00110a70: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00110a80: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -00110a90: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00110aa0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00110ab0: 696e 636c 7564 6520 696e 7374 616c 6c5f  include install_
│ │ │ -00110ac0: 7273 7973 6c6f 672d 676e 7574 6c73 0a0a  rsyslog-gnutls..
│ │ │ -00110ad0: 636c 6173 7320 696e 7374 616c 6c5f 7273  class install_rs
│ │ │ -00110ae0: 7973 6c6f 672d 676e 7574 6c73 207b 0a20  yslog-gnutls {. 
│ │ │ -00110af0: 2070 6163 6b61 6765 207b 2027 7273 7973   package { 'rsys
│ │ │ -00110b00: 6c6f 672d 676e 7574 6c73 273a 0a20 2020  log-gnutls':.   
│ │ │ -00110b10: 2065 6e73 7572 6520 3d26 6774 3b20 2769   ensure =&gt; 'i
│ │ │ -00110b20: 6e73 7461 6c6c 6564 272c 0a20 207d 0a7d  nstalled',.  }.}
│ │ │ -00110b30: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -00110b40: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -00110b50: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -00110b60: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -00110b70: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -00110b80: 743d 2223 6964 6d31 3030 3635 2220 7461  t="#idm10065" ta
│ │ │ -00110b90: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -00110ba0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -00110bb0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -00110bc0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -00110bd0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -00110be0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00110bf0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ -00110c00: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00110c10: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00110c20: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00110c30: 6964 3d22 6964 6d31 3030 3635 223e 3c74  id="idm10065"><t
│ │ │ -00110c40: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -00110c50: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -00110c60: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -00110c70: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -00110c80: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -00110c90: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -00110ca0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00110cb0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -00110cc0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00110cd0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -00110ce0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00110cf0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00110d00: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -00110d10: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -00110d20: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00110d30: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ -00110d40: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ -00110d50: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ -00110d60: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ -00110d70: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ -00110d80: 3a0a 2020 2d20 656e 6162 6c65 5f73 7472  :.  - enable_str
│ │ │ -00110d90: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -00110da0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -00110db0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -00110dc0: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -00110dd0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -00110de0: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -00110df0: 5f72 7379 736c 6f67 2d67 6e75 746c 735f  _rsyslog-gnutls_
│ │ │ -00110e00: 696e 7374 616c 6c65 640a 0a2d 206e 616d  installed..- nam
│ │ │ -00110e10: 653a 2045 6e73 7572 6520 7273 7973 6c6f  e: Ensure rsyslo
│ │ │ -00110e20: 672d 676e 7574 6c73 2069 7320 696e 7374  g-gnutls is inst
│ │ │ -00110e30: 616c 6c65 640a 2020 7061 636b 6167 653a  alled.  package:
│ │ │ -00110e40: 0a20 2020 206e 616d 653a 2072 7379 736c  .    name: rsysl
│ │ │ -00110e50: 6f67 2d67 6e75 746c 730a 2020 2020 7374  og-gnutls.    st
│ │ │ -00110e60: 6174 653a 2070 7265 7365 6e74 0a20 2077  ate: present.  w
│ │ │ -00110e70: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ -00110e80: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ -00110e90: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -00110ea0: 7461 6773 3a0a 2020 2d20 656e 6162 6c65  tags:.  - enable
│ │ │ -00110eb0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -00110ec0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -00110ed0: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -00110ee0: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -00110ef0: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -00110f00: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -00110f10: 6b61 6765 5f72 7379 736c 6f67 2d67 6e75  kage_rsyslog-gnu
│ │ │ -00110f20: 746c 735f 696e 7374 616c 6c65 640a 3c2f  tls_installed.</
│ │ │ +00110810: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ +00110820: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00110830: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00110840: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00110850: 7073 6522 2069 643d 2269 646d 3130 3036  pse" id="idm1006
│ │ │ +00110860: 3322 3e3c 7461 626c 6520 636c 6173 733d  3"><table class=
│ │ │ +00110870: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +00110880: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +00110890: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +001108a0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +001108b0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +001108c0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +001108d0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +001108e0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +001108f0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00110900: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00110910: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00110920: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00110930: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ +00110940: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +00110950: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ +00110960: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ +00110970: 636b 6167 6520 6661 6374 730a 2020 7061  ckage facts.  pa
│ │ │ +00110980: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ +00110990: 206d 616e 6167 6572 3a20 6175 746f 0a20   manager: auto. 
│ │ │ +001109a0: 2074 6167 733a 0a20 202d 2065 6e61 626c   tags:.  - enabl
│ │ │ +001109b0: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +001109c0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +001109d0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +001109e0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ +001109f0: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ +00110a00: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ +00110a10: 636b 6167 655f 7273 7973 6c6f 672d 676e  ckage_rsyslog-gn
│ │ │ +00110a20: 7574 6c73 5f69 6e73 7461 6c6c 6564 0a0a  utls_installed..
│ │ │ +00110a30: 2d20 6e61 6d65 3a20 456e 7375 7265 2072  - name: Ensure r
│ │ │ +00110a40: 7379 736c 6f67 2d67 6e75 746c 7320 6973  syslog-gnutls is
│ │ │ +00110a50: 2069 6e73 7461 6c6c 6564 0a20 2070 6163   installed.  pac
│ │ │ +00110a60: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ +00110a70: 7273 7973 6c6f 672d 676e 7574 6c73 0a20  rsyslog-gnutls. 
│ │ │ +00110a80: 2020 2073 7461 7465 3a20 7072 6573 656e     state: presen
│ │ │ +00110a90: 740a 2020 7768 656e 3a20 2722 6c69 6e75  t.  when: '"linu
│ │ │ +00110aa0: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ +00110ab0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ +00110ac0: 7327 0a20 2074 6167 733a 0a20 202d 2065  s'.  tags:.  - e
│ │ │ +00110ad0: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ +00110ae0: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +00110af0: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +00110b00: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ +00110b10: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ +00110b20: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +00110b30: 2d20 7061 636b 6167 655f 7273 7973 6c6f  - package_rsyslo
│ │ │ +00110b40: 672d 676e 7574 6c73 5f69 6e73 7461 6c6c  g-gnutls_install
│ │ │ +00110b50: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +00110b60: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00110b70: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00110b80: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00110b90: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00110ba0: 6765 743d 2223 6964 6d31 3030 3634 2220  get="#idm10064" 
│ │ │ +00110bb0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +00110bc0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +00110bd0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +00110be0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +00110bf0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +00110c00: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +00110c10: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ +00110c20: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00110c30: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00110c40: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00110c50: 2069 643d 2269 646d 3130 3036 3422 3e3c   id="idm10064"><
│ │ │ +00110c60: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00110c70: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00110c80: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00110c90: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00110ca0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00110cb0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00110cc0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00110cd0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00110ce0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00110cf0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00110d00: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00110d10: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00110d20: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00110d30: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +00110d40: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00110d50: 3e3c 636f 6465 3e69 6e63 6c75 6465 2069  ><code>include i
│ │ │ +00110d60: 6e73 7461 6c6c 5f72 7379 736c 6f67 2d67  nstall_rsyslog-g
│ │ │ +00110d70: 6e75 746c 730a 0a63 6c61 7373 2069 6e73  nutls..class ins
│ │ │ +00110d80: 7461 6c6c 5f72 7379 736c 6f67 2d67 6e75  tall_rsyslog-gnu
│ │ │ +00110d90: 746c 7320 7b0a 2020 7061 636b 6167 6520  tls {.  package 
│ │ │ +00110da0: 7b20 2772 7379 736c 6f67 2d67 6e75 746c  { 'rsyslog-gnutl
│ │ │ +00110db0: 7327 3a0a 2020 2020 656e 7375 7265 203d  s':.    ensure =
│ │ │ +00110dc0: 2667 743b 2027 696e 7374 616c 6c65 6427  &gt; 'installed'
│ │ │ +00110dd0: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │ +00110de0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +00110df0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +00110e00: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +00110e10: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +00110e20: 612d 7461 7267 6574 3d22 2369 646d 3130  a-target="#idm10
│ │ │ +00110e30: 3036 3522 2074 6162 696e 6465 783d 2230  065" tabindex="0
│ │ │ +00110e40: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +00110e50: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +00110e60: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +00110e70: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +00110e80: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +00110e90: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ +00110ea0: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ +00110eb0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00110ec0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00110ed0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00110ee0: 2069 643d 2269 646d 3130 3036 3522 3e3c   id="idm10065"><
│ │ │ +00110ef0: 7072 653e 3c63 6f64 653e 0a5b 5b70 6163  pre><code>.[[pac
│ │ │ +00110f00: 6b61 6765 735d 5d0a 6e61 6d65 203d 2022  kages]].name = "
│ │ │ +00110f10: 7273 7973 6c6f 672d 676e 7574 6c73 220a  rsyslog-gnutls".
│ │ │ +00110f20: 7665 7273 696f 6e20 3d20 222a 220a 3c2f  version = "*".</
│ │ │  00110f30: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │  00110f40: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │  00110f50: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │  00110f60: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │  00110f70: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  00110f80: 2369 646d 3130 3036 3622 2074 6162 696e  #idm10066" tabin
│ │ │  00110f90: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ @@ -70136,128 +70136,128 @@
│ │ │  00111f70: 612d 7461 7267 6574 3d22 2369 646d 3130  a-target="#idm10
│ │ │  00111f80: 3131 3422 2074 6162 696e 6465 783d 2230  114" tabindex="0
│ │ │  00111f90: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  00111fa0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  00111fb0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  00111fc0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  00111fd0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00111fe0: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ -00111ff0: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ -00112000: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00112010: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00112020: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00112030: 2069 643d 2269 646d 3130 3131 3422 3e3c   id="idm10114"><
│ │ │ -00112040: 7072 653e 3c63 6f64 653e 0a5b 5b70 6163  pre><code>.[[pac
│ │ │ -00112050: 6b61 6765 735d 5d0a 6e61 6d65 203d 2022  kages]].name = "
│ │ │ -00112060: 7273 7973 6c6f 6722 0a76 6572 7369 6f6e  rsyslog".version
│ │ │ -00112070: 203d 2022 2a22 0a3c 2f63 6f64 653e 3c2f   = "*".</code></
│ │ │ -00112080: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -00112090: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -001120a0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -001120b0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -001120c0: 2d74 6172 6765 743d 2223 6964 6d31 3031  -target="#idm101
│ │ │ -001120d0: 3135 2220 7461 6269 6e64 6578 3d22 3022  15" tabindex="0"
│ │ │ -001120e0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -001120f0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -00112100: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -00112110: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -00112120: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00112130: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -00112140: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00112150: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00112160: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00112170: 7073 6522 2069 643d 2269 646d 3130 3131  pse" id="idm1011
│ │ │ -00112180: 3522 3e3c 7461 626c 6520 636c 6173 733d  5"><table class=
│ │ │ -00112190: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -001121a0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -001121b0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -001121c0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -001121d0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -001121e0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -001121f0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -00112200: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00112210: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00112220: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00112230: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00112240: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00112250: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ -00112260: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00112270: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ -00112280: 6465 2069 6e73 7461 6c6c 5f72 7379 736c  de install_rsysl
│ │ │ -00112290: 6f67 0a0a 636c 6173 7320 696e 7374 616c  og..class instal
│ │ │ -001122a0: 6c5f 7273 7973 6c6f 6720 7b0a 2020 7061  l_rsyslog {.  pa
│ │ │ -001122b0: 636b 6167 6520 7b20 2772 7379 736c 6f67  ckage { 'rsyslog
│ │ │ -001122c0: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ -001122d0: 6774 3b20 2769 6e73 7461 6c6c 6564 272c  gt; 'installed',
│ │ │ -001122e0: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │ -001122f0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -00112300: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -00112310: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -00112320: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -00112330: 2d74 6172 6765 743d 2223 6964 6d31 3031  -target="#idm101
│ │ │ -00112340: 3136 2220 7461 6269 6e64 6578 3d22 3022  16" tabindex="0"
│ │ │ -00112350: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -00112360: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -00112370: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -00112380: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -00112390: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -001123a0: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ -001123b0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -001123c0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -001123d0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -001123e0: 6170 7365 2220 6964 3d22 6964 6d31 3031  apse" id="idm101
│ │ │ -001123f0: 3136 223e 3c74 6162 6c65 2063 6c61 7373  16"><table class
│ │ │ -00112400: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -00112410: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -00112420: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -00112430: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -00112440: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -00112450: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00112460: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -00112470: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -00112480: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00112490: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -001124a0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -001124b0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -001124c0: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ -001124d0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -001124e0: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ -001124f0: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ -00112500: 6163 6b61 6765 2066 6163 7473 0a20 2070  ackage facts.  p
│ │ │ -00112510: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ -00112520: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ -00112530: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ -00112540: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -00112550: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ -00112560: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ -00112570: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -00112580: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ -00112590: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ -001125a0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -001125b0: 6564 0a20 202d 2070 6163 6b61 6765 5f72  ed.  - package_r
│ │ │ -001125c0: 7379 736c 6f67 5f69 6e73 7461 6c6c 6564  syslog_installed
│ │ │ -001125d0: 0a0a 2d20 6e61 6d65 3a20 456e 7375 7265  ..- name: Ensure
│ │ │ -001125e0: 2072 7379 736c 6f67 2069 7320 696e 7374   rsyslog is inst
│ │ │ -001125f0: 616c 6c65 640a 2020 7061 636b 6167 653a  alled.  package:
│ │ │ -00112600: 0a20 2020 206e 616d 653a 2072 7379 736c  .    name: rsysl
│ │ │ -00112610: 6f67 0a20 2020 2073 7461 7465 3a20 7072  og.    state: pr
│ │ │ -00112620: 6573 656e 740a 2020 7768 656e 3a20 2722  esent.  when: '"
│ │ │ -00112630: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ -00112640: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ -00112650: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ -00112660: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -00112670: 4d2d 3628 6129 0a20 202d 2065 6e61 626c  M-6(a).  - enabl
│ │ │ -00112680: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -00112690: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -001126a0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -001126b0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -001126c0: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -001126d0: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -001126e0: 636b 6167 655f 7273 7973 6c6f 675f 696e  ckage_rsyslog_in
│ │ │ -001126f0: 7374 616c 6c65 640a 3c2f 636f 6465 3e3c  stalled.</code><
│ │ │ +00111fe0: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +00111ff0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00112000: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00112010: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00112020: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ +00112030: 3131 3422 3e3c 7461 626c 6520 636c 6173  114"><table clas
│ │ │ +00112040: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00112050: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00112060: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00112070: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00112080: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00112090: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +001120a0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +001120b0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +001120c0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +001120d0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +001120e0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +001120f0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00112100: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +00112110: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00112120: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +00112130: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ +00112140: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ +00112150: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ +00112160: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ +00112170: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +00112180: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +00112190: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +001121a0: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +001121b0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +001121c0: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +001121d0: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +001121e0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +001121f0: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +00112200: 7273 7973 6c6f 675f 696e 7374 616c 6c65  rsyslog_installe
│ │ │ +00112210: 640a 0a2d 206e 616d 653a 2045 6e73 7572  d..- name: Ensur
│ │ │ +00112220: 6520 7273 7973 6c6f 6720 6973 2069 6e73  e rsyslog is ins
│ │ │ +00112230: 7461 6c6c 6564 0a20 2070 6163 6b61 6765  talled.  package
│ │ │ +00112240: 3a0a 2020 2020 6e61 6d65 3a20 7273 7973  :.    name: rsys
│ │ │ +00112250: 6c6f 670a 2020 2020 7374 6174 653a 2070  log.    state: p
│ │ │ +00112260: 7265 7365 6e74 0a20 2077 6865 6e3a 2027  resent.  when: '
│ │ │ +00112270: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ +00112280: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ +00112290: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ +001122a0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +001122b0: 434d 2d36 2861 290a 2020 2d20 656e 6162  CM-6(a).  - enab
│ │ │ +001122c0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +001122d0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +001122e0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +001122f0: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +00112300: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +00112310: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +00112320: 6163 6b61 6765 5f72 7379 736c 6f67 5f69  ackage_rsyslog_i
│ │ │ +00112330: 6e73 7461 6c6c 6564 0a3c 2f63 6f64 653e  nstalled.</code>
│ │ │ +00112340: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +00112350: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +00112360: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +00112370: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +00112380: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ +00112390: 3031 3135 2220 7461 6269 6e64 6578 3d22  0115" tabindex="
│ │ │ +001123a0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +001123b0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +001123c0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +001123d0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +001123e0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +001123f0: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +00112400: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00112410: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00112420: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00112430: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ +00112440: 3131 3522 3e3c 7461 626c 6520 636c 6173  115"><table clas
│ │ │ +00112450: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00112460: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00112470: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00112480: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00112490: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +001124a0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +001124b0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +001124c0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +001124d0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +001124e0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +001124f0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00112500: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00112510: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +00112520: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00112530: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +00112540: 6c75 6465 2069 6e73 7461 6c6c 5f72 7379  lude install_rsy
│ │ │ +00112550: 736c 6f67 0a0a 636c 6173 7320 696e 7374  slog..class inst
│ │ │ +00112560: 616c 6c5f 7273 7973 6c6f 6720 7b0a 2020  all_rsyslog {.  
│ │ │ +00112570: 7061 636b 6167 6520 7b20 2772 7379 736c  package { 'rsysl
│ │ │ +00112580: 6f67 273a 0a20 2020 2065 6e73 7572 6520  og':.    ensure 
│ │ │ +00112590: 3d26 6774 3b20 2769 6e73 7461 6c6c 6564  =&gt; 'installed
│ │ │ +001125a0: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ +001125b0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +001125c0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +001125d0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +001125e0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +001125f0: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ +00112600: 3031 3136 2220 7461 6269 6e64 6578 3d22  0116" tabindex="
│ │ │ +00112610: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +00112620: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +00112630: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +00112640: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +00112650: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +00112660: 6469 6174 696f 6e20 4f53 4275 696c 6420  diation OSBuild 
│ │ │ +00112670: 426c 7565 7072 696e 7420 736e 6970 7065  Blueprint snippe
│ │ │ +00112680: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00112690: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +001126a0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +001126b0: 2220 6964 3d22 6964 6d31 3031 3136 223e  " id="idm10116">
│ │ │ +001126c0: 3c70 7265 3e3c 636f 6465 3e0a 5b5b 7061  <pre><code>.[[pa
│ │ │ +001126d0: 636b 6167 6573 5d5d 0a6e 616d 6520 3d20  ckages]].name = 
│ │ │ +001126e0: 2272 7379 736c 6f67 220a 7665 7273 696f  "rsyslog".versio
│ │ │ +001126f0: 6e20 3d20 222a 220a 3c2f 636f 6465 3e3c  n = "*".</code><
│ │ │  00112700: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │  00112710: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │  00112720: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │  00112730: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │  00112740: 612d 7461 7267 6574 3d22 2369 646d 3130  a-target="#idm10
│ │ │  00112750: 3131 3722 2074 6162 696e 6465 783d 2230  117" tabindex="0
│ │ │  00112760: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ @@ -70537,150 +70537,150 @@
│ │ │  00113880: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  00113890: 646d 3130 3230 3022 2074 6162 696e 6465  dm10200" tabinde
│ │ │  001138a0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  001138b0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  001138c0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  001138d0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  001138e0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -001138f0: 656d 6564 6961 7469 6f6e 204f 5342 7569  emediation OSBui
│ │ │ -00113900: 6c64 2042 6c75 6570 7269 6e74 2073 6e69  ld Blueprint sni
│ │ │ -00113910: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00113920: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00113930: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00113940: 7073 6522 2069 643d 2269 646d 3130 3230  pse" id="idm1020
│ │ │ -00113950: 3022 3e3c 7072 653e 3c63 6f64 653e 0a5b  0"><pre><code>.[
│ │ │ -00113960: 6375 7374 6f6d 697a 6174 696f 6e73 2e73  customizations.s
│ │ │ -00113970: 6572 7669 6365 735d 0a65 6e61 626c 6564  ervices].enabled
│ │ │ -00113980: 203d 205b 2272 7379 736c 6f67 225d 0a3c   = ["rsyslog"].<
│ │ │ -00113990: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -001139a0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -001139b0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -001139c0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -001139d0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -001139e0: 2223 6964 6d31 3032 3031 2220 7461 6269  "#idm10201" tabi
│ │ │ -001139f0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -00113a00: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -00113a10: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -00113a20: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -00113a30: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00113a40: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ -00113a50: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ -00113a60: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00113a70: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00113a80: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00113a90: 2269 646d 3130 3230 3122 3e3c 7461 626c  "idm10201"><tabl
│ │ │ -00113aa0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00113ab0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00113ac0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00113ad0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00113ae0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00113af0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00113b00: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00113b10: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00113b20: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00113b30: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00113b40: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00113b50: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00113b60: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00113b70: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -00113b80: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00113b90: 6465 3e69 6e63 6c75 6465 2065 6e61 626c  de>include enabl
│ │ │ -00113ba0: 655f 7273 7973 6c6f 670a 0a63 6c61 7373  e_rsyslog..class
│ │ │ -00113bb0: 2065 6e61 626c 655f 7273 7973 6c6f 6720   enable_rsyslog 
│ │ │ -00113bc0: 7b0a 2020 7365 7276 6963 6520 7b27 7273  {.  service {'rs
│ │ │ -00113bd0: 7973 6c6f 6727 3a0a 2020 2020 656e 6162  yslog':.    enab
│ │ │ -00113be0: 6c65 203d 2667 743b 2074 7275 652c 0a20  le =&gt; true,. 
│ │ │ -00113bf0: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -00113c00: 2772 756e 6e69 6e67 272c 0a20 207d 0a7d  'running',.  }.}
│ │ │ -00113c10: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -00113c20: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -00113c30: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -00113c40: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -00113c50: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -00113c60: 743d 2223 6964 6d31 3032 3032 2220 7461  t="#idm10202" ta
│ │ │ -00113c70: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -00113c80: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -00113c90: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -00113ca0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -00113cb0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -00113cc0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00113cd0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ -00113ce0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00113cf0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00113d00: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00113d10: 6964 3d22 6964 6d31 3032 3032 223e 3c74  id="idm10202"><t
│ │ │ -00113d20: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -00113d30: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -00113d40: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -00113d50: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -00113d60: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -00113d70: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -00113d80: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00113d90: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -00113da0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00113db0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -00113dc0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00113dd0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00113de0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -00113df0: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -00113e00: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00113e10: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ -00113e20: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ -00113e30: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ -00113e40: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ -00113e50: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ -00113e60: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -00113e70: 332d 4155 2d34 2831 290a 2020 2d20 4e49  3-AU-4(1).  - NI
│ │ │ -00113e80: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -00113e90: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ -00113ea0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -00113eb0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -00113ec0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -00113ed0: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -00113ee0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -00113ef0: 6564 6564 0a20 202d 2073 6572 7669 6365  eded.  - service
│ │ │ -00113f00: 5f72 7379 736c 6f67 5f65 6e61 626c 6564  _rsyslog_enabled
│ │ │ -00113f10: 0a0a 2d20 6e61 6d65 3a20 456e 6162 6c65  ..- name: Enable
│ │ │ -00113f20: 2072 7379 736c 6f67 2053 6572 7669 6365   rsyslog Service
│ │ │ -00113f30: 202d 2045 6e61 626c 6520 7365 7276 6963   - Enable servic
│ │ │ -00113f40: 6520 7273 7973 6c6f 670a 2020 626c 6f63  e rsyslog.  bloc
│ │ │ -00113f50: 6b3a 0a0a 2020 2d20 6e61 6d65 3a20 4761  k:..  - name: Ga
│ │ │ -00113f60: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ -00113f70: 2066 6163 7473 0a20 2020 2070 6163 6b61   facts.    packa
│ │ │ -00113f80: 6765 5f66 6163 7473 3a0a 2020 2020 2020  ge_facts:.      
│ │ │ -00113f90: 6d61 6e61 6765 723a 2061 7574 6f0a 0a20  manager: auto.. 
│ │ │ -00113fa0: 202d 206e 616d 653a 2045 6e61 626c 6520   - name: Enable 
│ │ │ -00113fb0: 7273 7973 6c6f 6720 5365 7276 6963 6520  rsyslog Service 
│ │ │ -00113fc0: 2d20 456e 6162 6c65 2053 6572 7669 6365  - Enable Service
│ │ │ -00113fd0: 2072 7379 736c 6f67 0a20 2020 2061 6e73   rsyslog.    ans
│ │ │ -00113fe0: 6962 6c65 2e62 7569 6c74 696e 2e73 7973  ible.builtin.sys
│ │ │ -00113ff0: 7465 6d64 3a0a 2020 2020 2020 6e61 6d65  temd:.      name
│ │ │ -00114000: 3a20 7273 7973 6c6f 670a 2020 2020 2020  : rsyslog.      
│ │ │ -00114010: 656e 6162 6c65 643a 2074 7275 650a 2020  enabled: true.  
│ │ │ -00114020: 2020 2020 7374 6174 653a 2073 7461 7274      state: start
│ │ │ -00114030: 6564 0a20 2020 2020 206d 6173 6b65 643a  ed.      masked:
│ │ │ -00114040: 2066 616c 7365 0a20 2020 2077 6865 6e3a   false.    when:
│ │ │ -00114050: 0a20 2020 202d 2027 2272 7379 736c 6f67  .    - '"rsyslog
│ │ │ -00114060: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ -00114070: 7473 2e70 6163 6b61 6765 7327 0a20 2077  ts.packages'.  w
│ │ │ -00114080: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ -00114090: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ -001140a0: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -001140b0: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -001140c0: 3030 2d35 332d 4155 2d34 2831 290a 2020  00-53-AU-4(1).  
│ │ │ -001140d0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -001140e0: 2d36 2861 290a 2020 2d20 656e 6162 6c65  -6(a).  - enable
│ │ │ -001140f0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -00114100: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -00114110: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -00114120: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -00114130: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -00114140: 745f 6e65 6564 6564 0a20 202d 2073 6572  t_needed.  - ser
│ │ │ -00114150: 7669 6365 5f72 7379 736c 6f67 5f65 6e61  vice_rsyslog_ena
│ │ │ -00114160: 626c 6564 0a3c 2f63 6f64 653e 3c2f 7072  bled.</code></pr
│ │ │ +001138f0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +00113900: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +00113910: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00113920: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00113930: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00113940: 646d 3130 3230 3022 3e3c 7461 626c 6520  dm10200"><table 
│ │ │ +00113950: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +00113960: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +00113970: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +00113980: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +00113990: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +001139a0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001139b0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +001139c0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +001139d0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +001139e0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +001139f0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +00113a00: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +00113a10: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ +00113a20: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00113a30: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +00113a40: 3e2d 206e 616d 653a 2047 6174 6865 7220  >- name: Gather 
│ │ │ +00113a50: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ +00113a60: 730a 2020 7061 636b 6167 655f 6661 6374  s.  package_fact
│ │ │ +00113a70: 733a 0a20 2020 206d 616e 6167 6572 3a20  s:.    manager: 
│ │ │ +00113a80: 6175 746f 0a20 2074 6167 733a 0a20 202d  auto.  tags:.  -
│ │ │ +00113a90: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +00113aa0: 3428 3129 0a20 202d 204e 4953 542d 3830  4(1).  - NIST-80
│ │ │ +00113ab0: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +00113ac0: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ +00113ad0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +00113ae0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +00113af0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ +00113b00: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ +00113b10: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +00113b20: 2020 2d20 7365 7276 6963 655f 7273 7973    - service_rsys
│ │ │ +00113b30: 6c6f 675f 656e 6162 6c65 640a 0a2d 206e  log_enabled..- n
│ │ │ +00113b40: 616d 653a 2045 6e61 626c 6520 7273 7973  ame: Enable rsys
│ │ │ +00113b50: 6c6f 6720 5365 7276 6963 6520 2d20 456e  log Service - En
│ │ │ +00113b60: 6162 6c65 2073 6572 7669 6365 2072 7379  able service rsy
│ │ │ +00113b70: 736c 6f67 0a20 2062 6c6f 636b 3a0a 0a20  slog.  block:.. 
│ │ │ +00113b80: 202d 206e 616d 653a 2047 6174 6865 7220   - name: Gather 
│ │ │ +00113b90: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ +00113ba0: 730a 2020 2020 7061 636b 6167 655f 6661  s.    package_fa
│ │ │ +00113bb0: 6374 733a 0a20 2020 2020 206d 616e 6167  cts:.      manag
│ │ │ +00113bc0: 6572 3a20 6175 746f 0a0a 2020 2d20 6e61  er: auto..  - na
│ │ │ +00113bd0: 6d65 3a20 456e 6162 6c65 2072 7379 736c  me: Enable rsysl
│ │ │ +00113be0: 6f67 2053 6572 7669 6365 202d 2045 6e61  og Service - Ena
│ │ │ +00113bf0: 626c 6520 5365 7276 6963 6520 7273 7973  ble Service rsys
│ │ │ +00113c00: 6c6f 670a 2020 2020 616e 7369 626c 652e  log.    ansible.
│ │ │ +00113c10: 6275 696c 7469 6e2e 7379 7374 656d 643a  builtin.systemd:
│ │ │ +00113c20: 0a20 2020 2020 206e 616d 653a 2072 7379  .      name: rsy
│ │ │ +00113c30: 736c 6f67 0a20 2020 2020 2065 6e61 626c  slog.      enabl
│ │ │ +00113c40: 6564 3a20 7472 7565 0a20 2020 2020 2073  ed: true.      s
│ │ │ +00113c50: 7461 7465 3a20 7374 6172 7465 640a 2020  tate: started.  
│ │ │ +00113c60: 2020 2020 6d61 736b 6564 3a20 6661 6c73      masked: fals
│ │ │ +00113c70: 650a 2020 2020 7768 656e 3a0a 2020 2020  e.    when:.    
│ │ │ +00113c80: 2d20 2722 7273 7973 6c6f 6722 2069 6e20  - '"rsyslog" in 
│ │ │ +00113c90: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ +00113ca0: 636b 6167 6573 270a 2020 7768 656e 3a20  ckages'.  when: 
│ │ │ +00113cb0: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ +00113cc0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ +00113cd0: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ +00113ce0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00113cf0: 2d41 552d 3428 3129 0a20 202d 204e 4953  -AU-4(1).  - NIS
│ │ │ +00113d00: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +00113d10: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +00113d20: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +00113d30: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +00113d40: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +00113d50: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +00113d60: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +00113d70: 6465 640a 2020 2d20 7365 7276 6963 655f  ded.  - service_
│ │ │ +00113d80: 7273 7973 6c6f 675f 656e 6162 6c65 640a  rsyslog_enabled.
│ │ │ +00113d90: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +00113da0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +00113db0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +00113dc0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00113dd0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +00113de0: 3d22 2369 646d 3130 3230 3122 2074 6162  ="#idm10201" tab
│ │ │ +00113df0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +00113e00: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +00113e10: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +00113e20: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +00113e30: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +00113e40: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ +00113e50: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ +00113e60: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00113e70: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00113e80: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00113e90: 3d22 6964 6d31 3032 3031 223e 3c74 6162  ="idm10201"><tab
│ │ │ +00113ea0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00113eb0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00113ec0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00113ed0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00113ee0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00113ef0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00113f00: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +00113f10: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +00113f20: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00113f30: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +00113f40: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +00113f50: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +00113f60: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +00113f70: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +00113f80: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00113f90: 6f64 653e 696e 636c 7564 6520 656e 6162  ode>include enab
│ │ │ +00113fa0: 6c65 5f72 7379 736c 6f67 0a0a 636c 6173  le_rsyslog..clas
│ │ │ +00113fb0: 7320 656e 6162 6c65 5f72 7379 736c 6f67  s enable_rsyslog
│ │ │ +00113fc0: 207b 0a20 2073 6572 7669 6365 207b 2772   {.  service {'r
│ │ │ +00113fd0: 7379 736c 6f67 273a 0a20 2020 2065 6e61  syslog':.    ena
│ │ │ +00113fe0: 626c 6520 3d26 6774 3b20 7472 7565 2c0a  ble =&gt; true,.
│ │ │ +00113ff0: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ +00114000: 2027 7275 6e6e 696e 6727 2c0a 2020 7d0a   'running',.  }.
│ │ │ +00114010: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │ +00114020: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +00114030: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +00114040: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +00114050: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +00114060: 6574 3d22 2369 646d 3130 3230 3222 2074  et="#idm10202" t
│ │ │ +00114070: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +00114080: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +00114090: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +001140a0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +001140b0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +001140c0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +001140d0: 204f 5342 7569 6c64 2042 6c75 6570 7269   OSBuild Bluepri
│ │ │ +001140e0: 6e74 2073 6e69 7070 6574 20e2 87b2 3c2f  nt snippet ...</
│ │ │ +001140f0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00114100: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00114110: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00114120: 646d 3130 3230 3222 3e3c 7072 653e 3c63  dm10202"><pre><c
│ │ │ +00114130: 6f64 653e 0a5b 6375 7374 6f6d 697a 6174  ode>.[customizat
│ │ │ +00114140: 696f 6e73 2e73 6572 7669 6365 735d 0a65  ions.services].e
│ │ │ +00114150: 6e61 626c 6564 203d 205b 2272 7379 736c  nabled = ["rsysl
│ │ │ +00114160: 6f67 225d 0a3c 2f63 6f64 653e 3c2f 7072  og"].</code></pr
│ │ │  00114170: 653e 3c2f 6469 763e 3c2f 6469 763e 3c2f  e></div></div></
│ │ │  00114180: 7464 3e3c 2f74 723e 3c2f 7462 6f64 793e  td></tr></tbody>
│ │ │  00114190: 3c2f 7461 626c 653e 3c2f 7464 3e3c 2f74  </table></td></t
│ │ │  001141a0: 723e 3c74 7220 6461 7461 2d74 742d 6964  r><tr data-tt-id
│ │ │  001141b0: 3d22 6368 696c 6472 656e 2d78 6363 6466  ="children-xccdf
│ │ │  001141c0: 5f6f 7267 2e73 7367 7072 6f6a 6563 742e  _org.ssgproject.
│ │ │  001141d0: 636f 6e74 656e 745f 6772 6f75 705f 6e65  content_group_ne
│ │ │ @@ -130279,109 +130279,109 @@
│ │ │  001fce60: 6765 743d 2223 6964 6d31 3838 3833 2220  get="#idm18883" 
│ │ │  001fce70: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  001fce80: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  001fce90: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  001fcea0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  001fceb0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  001fcec0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -001fced0: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -001fcee0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -001fcef0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -001fcf00: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -001fcf10: 2069 643d 2269 646d 3138 3838 3322 3e3c   id="idm18883"><
│ │ │ -001fcf20: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -001fcf30: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -001fcf40: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -001fcf50: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -001fcf60: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -001fcf70: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -001fcf80: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -001fcf90: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -001fcfa0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -001fcfb0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -001fcfc0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -001fcfd0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -001fcfe0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -001fcff0: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -001fd000: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -001fd010: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -001fd020: 7265 6d6f 7665 5f73 6574 726f 7562 6c65  remove_setrouble
│ │ │ -001fd030: 7368 6f6f 742d 706c 7567 696e 730a 0a63  shoot-plugins..c
│ │ │ -001fd040: 6c61 7373 2072 656d 6f76 655f 7365 7472  lass remove_setr
│ │ │ -001fd050: 6f75 626c 6573 686f 6f74 2d70 6c75 6769  oubleshoot-plugi
│ │ │ -001fd060: 6e73 207b 0a20 2070 6163 6b61 6765 207b  ns {.  package {
│ │ │ -001fd070: 2027 7365 7472 6f75 626c 6573 686f 6f74   'setroubleshoot
│ │ │ -001fd080: 2d70 6c75 6769 6e73 273a 0a20 2020 2065  -plugins':.    e
│ │ │ -001fd090: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ -001fd0a0: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │ -001fd0b0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -001fd0c0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -001fd0d0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -001fd0e0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -001fd0f0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -001fd100: 646d 3138 3838 3422 2074 6162 696e 6465  dm18884" tabinde
│ │ │ -001fd110: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -001fd120: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -001fd130: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -001fd140: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -001fd150: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -001fd160: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -001fd170: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -001fd180: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -001fd190: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -001fd1a0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -001fd1b0: 646d 3138 3838 3422 3e3c 7461 626c 6520  dm18884"><table 
│ │ │ -001fd1c0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -001fd1d0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -001fd1e0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -001fd1f0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -001fd200: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -001fd210: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -001fd220: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -001fd230: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -001fd240: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -001fd250: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -001fd260: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -001fd270: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -001fd280: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -001fd290: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -001fd2a0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -001fd2b0: 653e 2d20 6e61 6d65 3a20 4761 7468 6572  e>- name: Gather
│ │ │ -001fd2c0: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ -001fd2d0: 7473 0a20 2070 6163 6b61 6765 5f66 6163  ts.  package_fac
│ │ │ -001fd2e0: 7473 3a0a 2020 2020 6d61 6e61 6765 723a  ts:.    manager:
│ │ │ -001fd2f0: 2061 7574 6f0a 2020 7461 6773 3a0a 2020   auto.  tags:.  
│ │ │ -001fd300: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ -001fd310: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -001fd320: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -001fd330: 7372 7570 7469 6f6e 0a20 202d 206c 6f77  sruption.  - low
│ │ │ -001fd340: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ -001fd350: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -001fd360: 202d 2070 6163 6b61 6765 5f73 6574 726f   - package_setro
│ │ │ -001fd370: 7562 6c65 7368 6f6f 742d 706c 7567 696e  ubleshoot-plugin
│ │ │ -001fd380: 735f 7265 6d6f 7665 640a 0a2d 206e 616d  s_removed..- nam
│ │ │ -001fd390: 653a 2045 6e73 7572 6520 7365 7472 6f75  e: Ensure setrou
│ │ │ -001fd3a0: 626c 6573 686f 6f74 2d70 6c75 6769 6e73  bleshoot-plugins
│ │ │ -001fd3b0: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ -001fd3c0: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -001fd3d0: 2073 6574 726f 7562 6c65 7368 6f6f 742d   setroubleshoot-
│ │ │ -001fd3e0: 706c 7567 696e 730a 2020 2020 7374 6174  plugins.    stat
│ │ │ -001fd3f0: 653a 2061 6273 656e 740a 2020 7768 656e  e: absent.  when
│ │ │ -001fd400: 3a20 2722 6c69 6e75 782d 6261 7365 2220  : '"linux-base" 
│ │ │ -001fd410: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ -001fd420: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ -001fd430: 733a 0a20 202d 2064 6973 6162 6c65 5f73  s:.  - disable_s
│ │ │ -001fd440: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -001fd450: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -001fd460: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -001fd470: 2d20 6c6f 775f 7365 7665 7269 7479 0a20  - low_severity. 
│ │ │ -001fd480: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -001fd490: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ -001fd4a0: 7365 7472 6f75 626c 6573 686f 6f74 2d70  setroubleshoot-p
│ │ │ -001fd4b0: 6c75 6769 6e73 5f72 656d 6f76 6564 0a3c  lugins_removed.<
│ │ │ +001fced0: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +001fcee0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +001fcef0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +001fcf00: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +001fcf10: 2220 6964 3d22 6964 6d31 3838 3833 223e  " id="idm18883">
│ │ │ +001fcf20: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +001fcf30: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +001fcf40: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +001fcf50: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +001fcf60: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +001fcf70: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +001fcf80: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +001fcf90: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +001fcfa0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001fcfb0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +001fcfc0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +001fcfd0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +001fcfe0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +001fcff0: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +001fd000: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +001fd010: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +001fd020: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ +001fd030: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ +001fd040: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ +001fd050: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ +001fd060: 6167 733a 0a20 202d 2064 6973 6162 6c65  ags:.  - disable
│ │ │ +001fd070: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +001fd080: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +001fd090: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +001fd0a0: 2020 2d20 6c6f 775f 7365 7665 7269 7479    - low_severity
│ │ │ +001fd0b0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +001fd0c0: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +001fd0d0: 655f 7365 7472 6f75 626c 6573 686f 6f74  e_setroubleshoot
│ │ │ +001fd0e0: 2d70 6c75 6769 6e73 5f72 656d 6f76 6564  -plugins_removed
│ │ │ +001fd0f0: 0a0a 2d20 6e61 6d65 3a20 456e 7375 7265  ..- name: Ensure
│ │ │ +001fd100: 2073 6574 726f 7562 6c65 7368 6f6f 742d   setroubleshoot-
│ │ │ +001fd110: 706c 7567 696e 7320 6973 2072 656d 6f76  plugins is remov
│ │ │ +001fd120: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +001fd130: 2020 6e61 6d65 3a20 7365 7472 6f75 626c    name: setroubl
│ │ │ +001fd140: 6573 686f 6f74 2d70 6c75 6769 6e73 0a20  eshoot-plugins. 
│ │ │ +001fd150: 2020 2073 7461 7465 3a20 6162 7365 6e74     state: absent
│ │ │ +001fd160: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ +001fd170: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ +001fd180: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ +001fd190: 270a 2020 7461 6773 3a0a 2020 2d20 6469  '.  tags:.  - di
│ │ │ +001fd1a0: 7361 626c 655f 7374 7261 7465 6779 0a20  sable_strategy. 
│ │ │ +001fd1b0: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +001fd1c0: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +001fd1d0: 7469 6f6e 0a20 202d 206c 6f77 5f73 6576  tion.  - low_sev
│ │ │ +001fd1e0: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +001fd1f0: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +001fd200: 6163 6b61 6765 5f73 6574 726f 7562 6c65  ackage_setrouble
│ │ │ +001fd210: 7368 6f6f 742d 706c 7567 696e 735f 7265  shoot-plugins_re
│ │ │ +001fd220: 6d6f 7665 640a 3c2f 636f 6465 3e3c 2f70  moved.</code></p
│ │ │ +001fd230: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +001fd240: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +001fd250: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +001fd260: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +001fd270: 7461 7267 6574 3d22 2369 646d 3138 3838  target="#idm1888
│ │ │ +001fd280: 3422 2074 6162 696e 6465 783d 2230 2220  4" tabindex="0" 
│ │ │ +001fd290: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +001fd2a0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +001fd2b0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +001fd2c0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +001fd2d0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +001fd2e0: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ +001fd2f0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +001fd300: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +001fd310: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +001fd320: 7365 2220 6964 3d22 6964 6d31 3838 3834  se" id="idm18884
│ │ │ +001fd330: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +001fd340: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +001fd350: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +001fd360: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +001fd370: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +001fd380: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +001fd390: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +001fd3a0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +001fd3b0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +001fd3c0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +001fd3d0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +001fd3e0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +001fd3f0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +001fd400: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ +001fd410: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +001fd420: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ +001fd430: 6465 2072 656d 6f76 655f 7365 7472 6f75  de remove_setrou
│ │ │ +001fd440: 626c 6573 686f 6f74 2d70 6c75 6769 6e73  bleshoot-plugins
│ │ │ +001fd450: 0a0a 636c 6173 7320 7265 6d6f 7665 5f73  ..class remove_s
│ │ │ +001fd460: 6574 726f 7562 6c65 7368 6f6f 742d 706c  etroubleshoot-pl
│ │ │ +001fd470: 7567 696e 7320 7b0a 2020 7061 636b 6167  ugins {.  packag
│ │ │ +001fd480: 6520 7b20 2773 6574 726f 7562 6c65 7368  e { 'setroublesh
│ │ │ +001fd490: 6f6f 742d 706c 7567 696e 7327 3a0a 2020  oot-plugins':.  
│ │ │ +001fd4a0: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +001fd4b0: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │  001fd4c0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  001fd4d0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │  001fd4e0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │  001fd4f0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │  001fd500: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  001fd510: 2223 6964 6d31 3838 3835 2220 7461 6269  "#idm18885" tabi
│ │ │  001fd520: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ @@ -130585,110 +130585,110 @@
│ │ │  001fe180: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  001fe190: 6964 6d31 3838 3937 2220 7461 6269 6e64  idm18897" tabind
│ │ │  001fe1a0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │  001fe1b0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │  001fe1c0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │  001fe1d0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │  001fe1e0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -001fe1f0: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ -001fe200: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ -001fe210: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -001fe220: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -001fe230: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -001fe240: 646d 3138 3839 3722 3e3c 7461 626c 6520  dm18897"><table 
│ │ │ -001fe250: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -001fe260: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -001fe270: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -001fe280: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -001fe290: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -001fe2a0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -001fe2b0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -001fe2c0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -001fe2d0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -001fe2e0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -001fe2f0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -001fe300: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -001fe310: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -001fe320: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -001fe330: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -001fe340: 653e 696e 636c 7564 6520 7265 6d6f 7665  e>include remove
│ │ │ -001fe350: 5f73 6574 726f 7562 6c65 7368 6f6f 742d  _setroubleshoot-
│ │ │ -001fe360: 7365 7276 6572 0a0a 636c 6173 7320 7265  server..class re
│ │ │ -001fe370: 6d6f 7665 5f73 6574 726f 7562 6c65 7368  move_setroublesh
│ │ │ -001fe380: 6f6f 742d 7365 7276 6572 207b 0a20 2070  oot-server {.  p
│ │ │ -001fe390: 6163 6b61 6765 207b 2027 7365 7472 6f75  ackage { 'setrou
│ │ │ -001fe3a0: 626c 6573 686f 6f74 2d73 6572 7665 7227  bleshoot-server'
│ │ │ -001fe3b0: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ -001fe3c0: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ -001fe3d0: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -001fe3e0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -001fe3f0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -001fe400: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -001fe410: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -001fe420: 6765 743d 2223 6964 6d31 3838 3938 2220  get="#idm18898" 
│ │ │ -001fe430: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -001fe440: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -001fe450: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -001fe460: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -001fe470: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -001fe480: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -001fe490: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -001fe4a0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -001fe4b0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -001fe4c0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -001fe4d0: 2220 6964 3d22 6964 6d31 3838 3938 223e  " id="idm18898">
│ │ │ -001fe4e0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -001fe4f0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -001fe500: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -001fe510: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -001fe520: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -001fe530: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -001fe540: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -001fe550: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -001fe560: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -001fe570: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -001fe580: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -001fe590: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -001fe5a0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -001fe5b0: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -001fe5c0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -001fe5d0: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -001fe5e0: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -001fe5f0: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ -001fe600: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ -001fe610: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ -001fe620: 6167 733a 0a20 202d 2064 6973 6162 6c65  ags:.  - disable
│ │ │ -001fe630: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -001fe640: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -001fe650: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -001fe660: 2020 2d20 6c6f 775f 7365 7665 7269 7479    - low_severity
│ │ │ -001fe670: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -001fe680: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ -001fe690: 655f 7365 7472 6f75 626c 6573 686f 6f74  e_setroubleshoot
│ │ │ -001fe6a0: 2d73 6572 7665 725f 7265 6d6f 7665 640a  -server_removed.
│ │ │ -001fe6b0: 0a2d 206e 616d 653a 2045 6e73 7572 6520  .- name: Ensure 
│ │ │ -001fe6c0: 7365 7472 6f75 626c 6573 686f 6f74 2d73  setroubleshoot-s
│ │ │ -001fe6d0: 6572 7665 7220 6973 2072 656d 6f76 6564  erver is removed
│ │ │ -001fe6e0: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ -001fe6f0: 6e61 6d65 3a20 7365 7472 6f75 626c 6573  name: setroubles
│ │ │ -001fe700: 686f 6f74 2d73 6572 7665 720a 2020 2020  hoot-server.    
│ │ │ -001fe710: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ -001fe720: 7768 656e 3a20 2722 6c69 6e75 782d 6261  when: '"linux-ba
│ │ │ -001fe730: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ -001fe740: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -001fe750: 2074 6167 733a 0a20 202d 2064 6973 6162   tags:.  - disab
│ │ │ -001fe760: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -001fe770: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -001fe780: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -001fe790: 6e0a 2020 2d20 6c6f 775f 7365 7665 7269  n.  - low_severi
│ │ │ -001fe7a0: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -001fe7b0: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -001fe7c0: 6167 655f 7365 7472 6f75 626c 6573 686f  age_setroublesho
│ │ │ -001fe7d0: 6f74 2d73 6572 7665 725f 7265 6d6f 7665  ot-server_remove
│ │ │ -001fe7e0: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +001fe1f0: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ +001fe200: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ +001fe210: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +001fe220: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +001fe230: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +001fe240: 6964 6d31 3838 3937 223e 3c74 6162 6c65  idm18897"><table
│ │ │ +001fe250: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +001fe260: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +001fe270: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +001fe280: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +001fe290: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +001fe2a0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +001fe2b0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +001fe2c0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +001fe2d0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +001fe2e0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +001fe2f0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +001fe300: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +001fe310: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +001fe320: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +001fe330: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +001fe340: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ +001fe350: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ +001fe360: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ +001fe370: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ +001fe380: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ +001fe390: 202d 2064 6973 6162 6c65 5f73 7472 6174   - disable_strat
│ │ │ +001fe3a0: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ +001fe3b0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +001fe3c0: 6973 7275 7074 696f 6e0a 2020 2d20 6c6f  isruption.  - lo
│ │ │ +001fe3d0: 775f 7365 7665 7269 7479 0a20 202d 206e  w_severity.  - n
│ │ │ +001fe3e0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +001fe3f0: 2020 2d20 7061 636b 6167 655f 7365 7472    - package_setr
│ │ │ +001fe400: 6f75 626c 6573 686f 6f74 2d73 6572 7665  oubleshoot-serve
│ │ │ +001fe410: 725f 7265 6d6f 7665 640a 0a2d 206e 616d  r_removed..- nam
│ │ │ +001fe420: 653a 2045 6e73 7572 6520 7365 7472 6f75  e: Ensure setrou
│ │ │ +001fe430: 626c 6573 686f 6f74 2d73 6572 7665 7220  bleshoot-server 
│ │ │ +001fe440: 6973 2072 656d 6f76 6564 0a20 2070 6163  is removed.  pac
│ │ │ +001fe450: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ +001fe460: 7365 7472 6f75 626c 6573 686f 6f74 2d73  setroubleshoot-s
│ │ │ +001fe470: 6572 7665 720a 2020 2020 7374 6174 653a  erver.    state:
│ │ │ +001fe480: 2061 6273 656e 740a 2020 7768 656e 3a20   absent.  when: 
│ │ │ +001fe490: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ +001fe4a0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ +001fe4b0: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ +001fe4c0: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ +001fe4d0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +001fe4e0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +001fe4f0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +001fe500: 6c6f 775f 7365 7665 7269 7479 0a20 202d  low_severity.  -
│ │ │ +001fe510: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +001fe520: 640a 2020 2d20 7061 636b 6167 655f 7365  d.  - package_se
│ │ │ +001fe530: 7472 6f75 626c 6573 686f 6f74 2d73 6572  troubleshoot-ser
│ │ │ +001fe540: 7665 725f 7265 6d6f 7665 640a 3c2f 636f  ver_removed.</co
│ │ │ +001fe550: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +001fe560: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +001fe570: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +001fe580: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +001fe590: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +001fe5a0: 646d 3138 3839 3822 2074 6162 696e 6465  dm18898" tabinde
│ │ │ +001fe5b0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +001fe5c0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +001fe5d0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +001fe5e0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +001fe5f0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +001fe600: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ +001fe610: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +001fe620: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +001fe630: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +001fe640: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +001fe650: 6d31 3838 3938 223e 3c74 6162 6c65 2063  m18898"><table c
│ │ │ +001fe660: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +001fe670: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +001fe680: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +001fe690: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +001fe6a0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +001fe6b0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +001fe6c0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +001fe6d0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +001fe6e0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +001fe6f0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +001fe700: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +001fe710: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +001fe720: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +001fe730: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +001fe740: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +001fe750: 3e69 6e63 6c75 6465 2072 656d 6f76 655f  >include remove_
│ │ │ +001fe760: 7365 7472 6f75 626c 6573 686f 6f74 2d73  setroubleshoot-s
│ │ │ +001fe770: 6572 7665 720a 0a63 6c61 7373 2072 656d  erver..class rem
│ │ │ +001fe780: 6f76 655f 7365 7472 6f75 626c 6573 686f  ove_setroublesho
│ │ │ +001fe790: 6f74 2d73 6572 7665 7220 7b0a 2020 7061  ot-server {.  pa
│ │ │ +001fe7a0: 636b 6167 6520 7b20 2773 6574 726f 7562  ckage { 'setroub
│ │ │ +001fe7b0: 6c65 7368 6f6f 742d 7365 7276 6572 273a  leshoot-server':
│ │ │ +001fe7c0: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +001fe7d0: 3b20 2770 7572 6765 6427 2c0a 2020 7d0a  ; 'purged',.  }.
│ │ │ +001fe7e0: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │  001fe7f0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │  001fe800: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │  001fe810: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │  001fe820: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │  001fe830: 6574 3d22 2369 646d 3138 3839 3922 2074  et="#idm18899" t
│ │ │  001fe840: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  001fe850: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ @@ -130891,106 +130891,106 @@
│ │ │  001ff4a0: 6172 6765 743d 2223 6964 6d31 3839 3131  arget="#idm18911
│ │ │  001ff4b0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │  001ff4c0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │  001ff4d0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │  001ff4e0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │  001ff4f0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │  001ff500: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -001ff510: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ -001ff520: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -001ff530: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -001ff540: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -001ff550: 6522 2069 643d 2269 646d 3138 3931 3122  e" id="idm18911"
│ │ │ -001ff560: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -001ff570: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -001ff580: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -001ff590: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -001ff5a0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -001ff5b0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -001ff5c0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -001ff5d0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -001ff5e0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -001ff5f0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -001ff600: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -001ff610: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -001ff620: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -001ff630: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -001ff640: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -001ff650: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -001ff660: 6520 7265 6d6f 7665 5f73 6574 726f 7562  e remove_setroub
│ │ │ -001ff670: 6c65 7368 6f6f 740a 0a63 6c61 7373 2072  leshoot..class r
│ │ │ -001ff680: 656d 6f76 655f 7365 7472 6f75 626c 6573  emove_setroubles
│ │ │ -001ff690: 686f 6f74 207b 0a20 2070 6163 6b61 6765  hoot {.  package
│ │ │ -001ff6a0: 207b 2027 7365 7472 6f75 626c 6573 686f   { 'setroublesho
│ │ │ -001ff6b0: 6f74 273a 0a20 2020 2065 6e73 7572 6520  ot':.    ensure 
│ │ │ -001ff6c0: 3d26 6774 3b20 2770 7572 6765 6427 2c0a  =&gt; 'purged',.
│ │ │ -001ff6d0: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -001ff6e0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -001ff6f0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -001ff700: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -001ff710: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -001ff720: 7461 7267 6574 3d22 2369 646d 3138 3931  target="#idm1891
│ │ │ -001ff730: 3222 2074 6162 696e 6465 783d 2230 2220  2" tabindex="0" 
│ │ │ -001ff740: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -001ff750: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -001ff760: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -001ff770: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -001ff780: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -001ff790: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -001ff7a0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -001ff7b0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -001ff7c0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -001ff7d0: 7073 6522 2069 643d 2269 646d 3138 3931  pse" id="idm1891
│ │ │ -001ff7e0: 3222 3e3c 7461 626c 6520 636c 6173 733d  2"><table class=
│ │ │ -001ff7f0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -001ff800: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -001ff810: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -001ff820: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -001ff830: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -001ff840: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -001ff850: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -001ff860: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -001ff870: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -001ff880: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -001ff890: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -001ff8a0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -001ff8b0: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -001ff8c0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -001ff8d0: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ -001ff8e0: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ -001ff8f0: 6163 6b61 6765 2066 6163 7473 0a20 2070  ackage facts.  p
│ │ │ -001ff900: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ -001ff910: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ -001ff920: 2020 7461 6773 3a0a 2020 2d20 6469 7361    tags:.  - disa
│ │ │ -001ff930: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -001ff940: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -001ff950: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -001ff960: 6f6e 0a20 202d 206c 6f77 5f73 6576 6572  on.  - low_sever
│ │ │ -001ff970: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -001ff980: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -001ff990: 6b61 6765 5f73 6574 726f 7562 6c65 7368  kage_setroublesh
│ │ │ -001ff9a0: 6f6f 745f 7265 6d6f 7665 640a 0a2d 206e  oot_removed..- n
│ │ │ -001ff9b0: 616d 653a 2045 6e73 7572 6520 7365 7472  ame: Ensure setr
│ │ │ -001ff9c0: 6f75 626c 6573 686f 6f74 2069 7320 7265  oubleshoot is re
│ │ │ -001ff9d0: 6d6f 7665 640a 2020 7061 636b 6167 653a  moved.  package:
│ │ │ -001ff9e0: 0a20 2020 206e 616d 653a 2073 6574 726f  .    name: setro
│ │ │ -001ff9f0: 7562 6c65 7368 6f6f 740a 2020 2020 7374  ubleshoot.    st
│ │ │ -001ffa00: 6174 653a 2061 6273 656e 740a 2020 7768  ate: absent.  wh
│ │ │ -001ffa10: 656e 3a20 2722 6c69 6e75 782d 6261 7365  en: '"linux-base
│ │ │ -001ffa20: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ -001ffa30: 7473 2e70 6163 6b61 6765 7327 0a20 2074  ts.packages'.  t
│ │ │ -001ffa40: 6167 733a 0a20 202d 2064 6973 6162 6c65  ags:.  - disable
│ │ │ -001ffa50: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -001ffa60: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -001ffa70: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -001ffa80: 2020 2d20 6c6f 775f 7365 7665 7269 7479    - low_severity
│ │ │ -001ffa90: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -001ffaa0: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ -001ffab0: 655f 7365 7472 6f75 626c 6573 686f 6f74  e_setroubleshoot
│ │ │ -001ffac0: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ +001ff510: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ +001ff520: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +001ff530: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +001ff540: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +001ff550: 7365 2220 6964 3d22 6964 6d31 3839 3131  se" id="idm18911
│ │ │ +001ff560: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +001ff570: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +001ff580: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +001ff590: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +001ff5a0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +001ff5b0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +001ff5c0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +001ff5d0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +001ff5e0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +001ff5f0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +001ff600: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +001ff610: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +001ff620: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +001ff630: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ +001ff640: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +001ff650: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ +001ff660: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ +001ff670: 636b 6167 6520 6661 6374 730a 2020 7061  ckage facts.  pa
│ │ │ +001ff680: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ +001ff690: 206d 616e 6167 6572 3a20 6175 746f 0a20   manager: auto. 
│ │ │ +001ff6a0: 2074 6167 733a 0a20 202d 2064 6973 6162   tags:.  - disab
│ │ │ +001ff6b0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +001ff6c0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +001ff6d0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +001ff6e0: 6e0a 2020 2d20 6c6f 775f 7365 7665 7269  n.  - low_severi
│ │ │ +001ff6f0: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +001ff700: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +001ff710: 6167 655f 7365 7472 6f75 626c 6573 686f  age_setroublesho
│ │ │ +001ff720: 6f74 5f72 656d 6f76 6564 0a0a 2d20 6e61  ot_removed..- na
│ │ │ +001ff730: 6d65 3a20 456e 7375 7265 2073 6574 726f  me: Ensure setro
│ │ │ +001ff740: 7562 6c65 7368 6f6f 7420 6973 2072 656d  ubleshoot is rem
│ │ │ +001ff750: 6f76 6564 0a20 2070 6163 6b61 6765 3a0a  oved.  package:.
│ │ │ +001ff760: 2020 2020 6e61 6d65 3a20 7365 7472 6f75      name: setrou
│ │ │ +001ff770: 626c 6573 686f 6f74 0a20 2020 2073 7461  bleshoot.    sta
│ │ │ +001ff780: 7465 3a20 6162 7365 6e74 0a20 2077 6865  te: absent.  whe
│ │ │ +001ff790: 6e3a 2027 226c 696e 7578 2d62 6173 6522  n: '"linux-base"
│ │ │ +001ff7a0: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ +001ff7b0: 732e 7061 636b 6167 6573 270a 2020 7461  s.packages'.  ta
│ │ │ +001ff7c0: 6773 3a0a 2020 2d20 6469 7361 626c 655f  gs:.  - disable_
│ │ │ +001ff7d0: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ +001ff7e0: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +001ff7f0: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +001ff800: 202d 206c 6f77 5f73 6576 6572 6974 790a   - low_severity.
│ │ │ +001ff810: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +001ff820: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +001ff830: 5f73 6574 726f 7562 6c65 7368 6f6f 745f  _setroubleshoot_
│ │ │ +001ff840: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ +001ff850: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +001ff860: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +001ff870: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +001ff880: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +001ff890: 612d 7461 7267 6574 3d22 2369 646d 3138  a-target="#idm18
│ │ │ +001ff8a0: 3931 3222 2074 6162 696e 6465 783d 2230  912" tabindex="0
│ │ │ +001ff8b0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +001ff8c0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +001ff8d0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +001ff8e0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +001ff8f0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +001ff900: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +001ff910: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +001ff920: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +001ff930: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +001ff940: 6170 7365 2220 6964 3d22 6964 6d31 3839  apse" id="idm189
│ │ │ +001ff950: 3132 223e 3c74 6162 6c65 2063 6c61 7373  12"><table class
│ │ │ +001ff960: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +001ff970: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +001ff980: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +001ff990: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +001ff9a0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +001ff9b0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +001ff9c0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +001ff9d0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +001ff9e0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +001ff9f0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +001ffa00: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +001ffa10: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +001ffa20: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +001ffa30: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +001ffa40: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +001ffa50: 6c75 6465 2072 656d 6f76 655f 7365 7472  lude remove_setr
│ │ │ +001ffa60: 6f75 626c 6573 686f 6f74 0a0a 636c 6173  oubleshoot..clas
│ │ │ +001ffa70: 7320 7265 6d6f 7665 5f73 6574 726f 7562  s remove_setroub
│ │ │ +001ffa80: 6c65 7368 6f6f 7420 7b0a 2020 7061 636b  leshoot {.  pack
│ │ │ +001ffa90: 6167 6520 7b20 2773 6574 726f 7562 6c65  age { 'setrouble
│ │ │ +001ffaa0: 7368 6f6f 7427 3a0a 2020 2020 656e 7375  shoot':.    ensu
│ │ │ +001ffab0: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ +001ffac0: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │  001ffad0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │  001ffae0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │  001ffaf0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │  001ffb00: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │  001ffb10: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │  001ffb20: 3839 3133 2220 7461 6269 6e64 6578 3d22  8913" tabindex="
│ │ │  001ffb30: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ @@ -133096,93 +133096,93 @@
│ │ │  00207e70: 2d74 6172 6765 743d 2223 6964 6d32 3030  -target="#idm200
│ │ │  00207e80: 3435 2220 7461 6269 6e64 6578 3d22 3022  45" tabindex="0"
│ │ │  00207e90: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  00207ea0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  00207eb0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  00207ec0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  00207ed0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00207ee0: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -00207ef0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00207f00: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00207f10: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00207f20: 7073 6522 2069 643d 2269 646d 3230 3034  pse" id="idm2004
│ │ │ -00207f30: 3522 3e3c 7461 626c 6520 636c 6173 733d  5"><table class=
│ │ │ -00207f40: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -00207f50: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -00207f60: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -00207f70: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -00207f80: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -00207f90: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00207fa0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -00207fb0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00207fc0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00207fd0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00207fe0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00207ff0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00208000: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -00208010: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -00208020: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ -00208030: 7564 6520 7265 6d6f 7665 5f64 6863 700a  ude remove_dhcp.
│ │ │ -00208040: 0a63 6c61 7373 2072 656d 6f76 655f 6468  .class remove_dh
│ │ │ -00208050: 6370 207b 0a20 2070 6163 6b61 6765 207b  cp {.  package {
│ │ │ -00208060: 2027 6468 6370 273a 0a20 2020 2065 6e73   'dhcp':.    ens
│ │ │ -00208070: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ -00208080: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │ -00208090: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -002080a0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -002080b0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -002080c0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -002080d0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -002080e0: 3230 3034 3622 2074 6162 696e 6465 783d  20046" tabindex=
│ │ │ -002080f0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -00208100: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -00208110: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00208120: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00208130: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00208140: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ -00208150: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00208160: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00208170: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00208180: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00208190: 3230 3034 3622 3e3c 7461 626c 6520 636c  20046"><table cl
│ │ │ -002081a0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -002081b0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -002081c0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -002081d0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -002081e0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -002081f0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00208200: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00208210: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00208220: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00208230: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00208240: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00208250: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00208260: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -00208270: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00208280: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00208290: 2d20 6e61 6d65 3a20 456e 7375 7265 2064  - name: Ensure d
│ │ │ -002082a0: 6863 7020 6973 2072 656d 6f76 6564 0a20  hcp is removed. 
│ │ │ -002082b0: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ -002082c0: 6d65 3a20 6468 6370 0a20 2020 2073 7461  me: dhcp.    sta
│ │ │ -002082d0: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ -002082e0: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -002082f0: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ -00208300: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ -00208310: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ -00208320: 3533 2d43 4d2d 3728 6229 0a20 202d 2050  53-CM-7(b).  - P
│ │ │ -00208330: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ -00208340: 2050 4349 2d44 5353 7634 2d32 2e32 2e34   PCI-DSSv4-2.2.4
│ │ │ -00208350: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ -00208360: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -00208370: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -00208380: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -00208390: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -002083a0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -002083b0: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -002083c0: 5f64 6863 705f 7265 6d6f 7665 640a 3c2f  _dhcp_removed.</
│ │ │ +00207ee0: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +00207ef0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00207f00: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00207f10: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00207f20: 6170 7365 2220 6964 3d22 6964 6d32 3030  apse" id="idm200
│ │ │ +00207f30: 3435 223e 3c74 6162 6c65 2063 6c61 7373  45"><table class
│ │ │ +00207f40: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00207f50: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00207f60: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +00207f70: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00207f80: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00207f90: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00207fa0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00207fb0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00207fc0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00207fd0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00207fe0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00207ff0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00208000: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +00208010: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00208020: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +00208030: 616d 653a 2045 6e73 7572 6520 6468 6370  ame: Ensure dhcp
│ │ │ +00208040: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ +00208050: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ +00208060: 2064 6863 700a 2020 2020 7374 6174 653a   dhcp.    state:
│ │ │ +00208070: 2061 6273 656e 740a 2020 7461 6773 3a0a   absent.  tags:.
│ │ │ +00208080: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00208090: 434d 2d36 2861 290a 2020 2d20 4e49 5354  CM-6(a).  - NIST
│ │ │ +002080a0: 2d38 3030 2d35 332d 434d 2d37 2861 290a  -800-53-CM-7(a).
│ │ │ +002080b0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +002080c0: 434d 2d37 2862 290a 2020 2d20 5043 492d  CM-7(b).  - PCI-
│ │ │ +002080d0: 4453 5376 342d 322e 320a 2020 2d20 5043  DSSv4-2.2.  - PC
│ │ │ +002080e0: 492d 4453 5376 342d 322e 322e 340a 2020  I-DSSv4-2.2.4.  
│ │ │ +002080f0: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ +00208100: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ +00208110: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +00208120: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ +00208130: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ +00208140: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +00208150: 640a 2020 2d20 7061 636b 6167 655f 6468  d.  - package_dh
│ │ │ +00208160: 6370 5f72 656d 6f76 6564 0a3c 2f63 6f64  cp_removed.</cod
│ │ │ +00208170: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00208180: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00208190: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +002081a0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +002081b0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +002081c0: 6d32 3030 3436 2220 7461 6269 6e64 6578  m20046" tabindex
│ │ │ +002081d0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +002081e0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +002081f0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00208200: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +00208210: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00208220: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ +00208230: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +00208240: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +00208250: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00208260: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00208270: 3230 3034 3622 3e3c 7461 626c 6520 636c  20046"><table cl
│ │ │ +00208280: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +00208290: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +002082a0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +002082b0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +002082c0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +002082d0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +002082e0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +002082f0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +00208300: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00208310: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +00208320: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +00208330: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +00208340: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +00208350: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00208360: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00208370: 696e 636c 7564 6520 7265 6d6f 7665 5f64  include remove_d
│ │ │ +00208380: 6863 700a 0a63 6c61 7373 2072 656d 6f76  hcp..class remov
│ │ │ +00208390: 655f 6468 6370 207b 0a20 2070 6163 6b61  e_dhcp {.  packa
│ │ │ +002083a0: 6765 207b 2027 6468 6370 273a 0a20 2020  ge { 'dhcp':.   
│ │ │ +002083b0: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ +002083c0: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │  002083d0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │  002083e0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │  002083f0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │  00208400: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │  00208410: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  00208420: 2369 646d 3230 3034 3722 2074 6162 696e  #idm20047" tabin
│ │ │  00208430: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ @@ -133349,86 +133349,86 @@
│ │ │  00208e40: 7461 7267 6574 3d22 2369 646d 3230 3035  target="#idm2005
│ │ │  00208e50: 3722 2074 6162 696e 6465 783d 2230 2220  7" tabindex="0" 
│ │ │  00208e60: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │  00208e70: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │  00208e80: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │  00208e90: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │  00208ea0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00208eb0: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -00208ec0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00208ed0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00208ee0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00208ef0: 7365 2220 6964 3d22 6964 6d32 3030 3537  se" id="idm20057
│ │ │ -00208f00: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00208f10: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00208f20: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00208f30: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00208f40: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00208f50: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00208f60: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00208f70: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00208f80: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00208f90: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00208fa0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00208fb0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00208fc0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00208fd0: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -00208fe0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00208ff0: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ -00209000: 6465 2072 656d 6f76 655f 6b65 610a 0a63  de remove_kea..c
│ │ │ -00209010: 6c61 7373 2072 656d 6f76 655f 6b65 6120  lass remove_kea 
│ │ │ -00209020: 7b0a 2020 7061 636b 6167 6520 7b20 276b  {.  package { 'k
│ │ │ -00209030: 6561 273a 0a20 2020 2065 6e73 7572 6520  ea':.    ensure 
│ │ │ -00209040: 3d26 6774 3b20 2770 7572 6765 6427 2c0a  =&gt; 'purged',.
│ │ │ -00209050: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -00209060: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -00209070: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00209080: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00209090: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -002090a0: 7461 7267 6574 3d22 2369 646d 3230 3035  target="#idm2005
│ │ │ -002090b0: 3822 2074 6162 696e 6465 783d 2230 2220  8" tabindex="0" 
│ │ │ -002090c0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -002090d0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -002090e0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -002090f0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00209100: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00209110: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -00209120: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00209130: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00209140: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00209150: 7073 6522 2069 643d 2269 646d 3230 3035  pse" id="idm2005
│ │ │ -00209160: 3822 3e3c 7461 626c 6520 636c 6173 733d  8"><table class=
│ │ │ -00209170: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -00209180: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -00209190: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -002091a0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -002091b0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -002091c0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -002091d0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -002091e0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -002091f0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00209200: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00209210: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00209220: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00209230: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -00209240: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -00209250: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ -00209260: 6d65 3a20 456e 7375 7265 206b 6561 2069  me: Ensure kea i
│ │ │ -00209270: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ -00209280: 6167 653a 0a20 2020 206e 616d 653a 206b  age:.    name: k
│ │ │ -00209290: 6561 0a20 2020 2073 7461 7465 3a20 6162  ea.    state: ab
│ │ │ -002092a0: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ -002092b0: 2064 6973 6162 6c65 5f73 7472 6174 6567   disable_strateg
│ │ │ -002092c0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -002092d0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -002092e0: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -002092f0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -00209300: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -00209310: 0a20 202d 2070 6163 6b61 6765 5f6b 6561  .  - package_kea
│ │ │ -00209320: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ +00208eb0: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ +00208ec0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00208ed0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00208ee0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00208ef0: 7073 6522 2069 643d 2269 646d 3230 3035  pse" id="idm2005
│ │ │ +00208f00: 3722 3e3c 7461 626c 6520 636c 6173 733d  7"><table class=
│ │ │ +00208f10: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +00208f20: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +00208f30: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00208f40: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +00208f50: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +00208f60: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00208f70: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +00208f80: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00208f90: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00208fa0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00208fb0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00208fc0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00208fd0: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +00208fe0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00208ff0: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +00209000: 6d65 3a20 456e 7375 7265 206b 6561 2069  me: Ensure kea i
│ │ │ +00209010: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ +00209020: 6167 653a 0a20 2020 206e 616d 653a 206b  age:.    name: k
│ │ │ +00209030: 6561 0a20 2020 2073 7461 7465 3a20 6162  ea.    state: ab
│ │ │ +00209040: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ +00209050: 2064 6973 6162 6c65 5f73 7472 6174 6567   disable_strateg
│ │ │ +00209060: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00209070: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00209080: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +00209090: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +002090a0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +002090b0: 0a20 202d 2070 6163 6b61 6765 5f6b 6561  .  - package_kea
│ │ │ +002090c0: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ +002090d0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +002090e0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +002090f0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +00209100: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +00209110: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ +00209120: 3030 3538 2220 7461 6269 6e64 6578 3d22  0058" tabindex="
│ │ │ +00209130: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +00209140: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +00209150: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +00209160: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +00209170: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +00209180: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +00209190: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +002091a0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +002091b0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +002091c0: 6c61 7073 6522 2069 643d 2269 646d 3230  lapse" id="idm20
│ │ │ +002091d0: 3035 3822 3e3c 7461 626c 6520 636c 6173  058"><table clas
│ │ │ +002091e0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +002091f0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00209200: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00209210: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00209220: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00209230: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00209240: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +00209250: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +00209260: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00209270: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00209280: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00209290: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +002092a0: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +002092b0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +002092c0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +002092d0: 636c 7564 6520 7265 6d6f 7665 5f6b 6561  clude remove_kea
│ │ │ +002092e0: 0a0a 636c 6173 7320 7265 6d6f 7665 5f6b  ..class remove_k
│ │ │ +002092f0: 6561 207b 0a20 2070 6163 6b61 6765 207b  ea {.  package {
│ │ │ +00209300: 2027 6b65 6127 3a0a 2020 2020 656e 7375   'kea':.    ensu
│ │ │ +00209310: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ +00209320: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │  00209330: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │  00209340: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │  00209350: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │  00209360: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │  00209370: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │  00209380: 3030 3539 2220 7461 6269 6e64 6578 3d22  0059" tabindex="
│ │ │  00209390: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ @@ -134566,113 +134566,113 @@
│ │ │  0020da50: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  0020da60: 6d32 3032 3136 2220 7461 6269 6e64 6578  m20216" tabindex
│ │ │  0020da70: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │  0020da80: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │  0020da90: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │  0020daa0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │  0020dab0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -0020dac0: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -0020dad0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -0020dae0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -0020daf0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -0020db00: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -0020db10: 3230 3231 3622 3e3c 7461 626c 6520 636c  20216"><table cl
│ │ │ -0020db20: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -0020db30: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -0020db40: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -0020db50: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -0020db60: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -0020db70: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0020db80: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -0020db90: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -0020dba0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0020dbb0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -0020dbc0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -0020dbd0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -0020dbe0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -0020dbf0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -0020dc00: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -0020dc10: 696e 636c 7564 6520 7265 6d6f 7665 5f73  include remove_s
│ │ │ -0020dc20: 656e 646d 6169 6c0a 0a63 6c61 7373 2072  endmail..class r
│ │ │ -0020dc30: 656d 6f76 655f 7365 6e64 6d61 696c 207b  emove_sendmail {
│ │ │ -0020dc40: 0a20 2070 6163 6b61 6765 207b 2027 7365  .  package { 'se
│ │ │ -0020dc50: 6e64 6d61 696c 273a 0a20 2020 2065 6e73  ndmail':.    ens
│ │ │ -0020dc60: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ -0020dc70: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │ -0020dc80: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -0020dc90: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -0020dca0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -0020dcb0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -0020dcc0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -0020dcd0: 3230 3231 3722 2074 6162 696e 6465 783d  20217" tabindex=
│ │ │ -0020dce0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -0020dcf0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -0020dd00: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -0020dd10: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -0020dd20: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -0020dd30: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ -0020dd40: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -0020dd50: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -0020dd60: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -0020dd70: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -0020dd80: 3230 3231 3722 3e3c 7461 626c 6520 636c  20217"><table cl
│ │ │ -0020dd90: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -0020dda0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -0020ddb0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -0020ddc0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -0020ddd0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -0020dde0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0020ddf0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -0020de00: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -0020de10: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0020de20: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -0020de30: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -0020de40: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -0020de50: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -0020de60: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -0020de70: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -0020de80: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ -0020de90: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ -0020dea0: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ -0020deb0: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ -0020dec0: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ -0020ded0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -0020dee0: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ -0020def0: 2d35 332d 434d 2d37 2861 290a 2020 2d20  -53-CM-7(a).  - 
│ │ │ -0020df00: 4e49 5354 2d38 3030 2d35 332d 434d 2d37  NIST-800-53-CM-7
│ │ │ -0020df10: 2862 290a 2020 2d20 6469 7361 626c 655f  (b).  - disable_
│ │ │ -0020df20: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -0020df30: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -0020df40: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -0020df50: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ -0020df60: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -0020df70: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -0020df80: 6167 655f 7365 6e64 6d61 696c 5f72 656d  age_sendmail_rem
│ │ │ -0020df90: 6f76 6564 0a0a 2d20 6e61 6d65 3a20 456e  oved..- name: En
│ │ │ -0020dfa0: 7375 7265 2073 656e 646d 6169 6c20 6973  sure sendmail is
│ │ │ -0020dfb0: 2072 656d 6f76 6564 0a20 2070 6163 6b61   removed.  packa
│ │ │ -0020dfc0: 6765 3a0a 2020 2020 6e61 6d65 3a20 7365  ge:.    name: se
│ │ │ -0020dfd0: 6e64 6d61 696c 0a20 2020 2073 7461 7465  ndmail.    state
│ │ │ -0020dfe0: 3a20 6162 7365 6e74 0a20 2077 6865 6e3a  : absent.  when:
│ │ │ -0020dff0: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ -0020e000: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ -0020e010: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ -0020e020: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -0020e030: 332d 434d 2d36 2861 290a 2020 2d20 4e49  3-CM-6(a).  - NI
│ │ │ -0020e040: 5354 2d38 3030 2d35 332d 434d 2d37 2861  ST-800-53-CM-7(a
│ │ │ -0020e050: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -0020e060: 332d 434d 2d37 2862 290a 2020 2d20 6469  3-CM-7(b).  - di
│ │ │ -0020e070: 7361 626c 655f 7374 7261 7465 6779 0a20  sable_strategy. 
│ │ │ -0020e080: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -0020e090: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -0020e0a0: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -0020e0b0: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -0020e0c0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -0020e0d0: 2d20 7061 636b 6167 655f 7365 6e64 6d61  - package_sendma
│ │ │ -0020e0e0: 696c 5f72 656d 6f76 6564 0a3c 2f63 6f64  il_removed.</cod
│ │ │ +0020dac0: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ +0020dad0: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ +0020dae0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +0020daf0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +0020db00: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +0020db10: 6d32 3032 3136 223e 3c74 6162 6c65 2063  m20216"><table c
│ │ │ +0020db20: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +0020db30: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +0020db40: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +0020db50: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +0020db60: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +0020db70: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0020db80: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +0020db90: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +0020dba0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0020dbb0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +0020dbc0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +0020dbd0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +0020dbe0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +0020dbf0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +0020dc00: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +0020dc10: 3e2d 206e 616d 653a 2047 6174 6865 7220  >- name: Gather 
│ │ │ +0020dc20: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ +0020dc30: 730a 2020 7061 636b 6167 655f 6661 6374  s.  package_fact
│ │ │ +0020dc40: 733a 0a20 2020 206d 616e 6167 6572 3a20  s:.    manager: 
│ │ │ +0020dc50: 6175 746f 0a20 2074 6167 733a 0a20 202d  auto.  tags:.  -
│ │ │ +0020dc60: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +0020dc70: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ +0020dc80: 302d 3533 2d43 4d2d 3728 6129 0a20 202d  0-53-CM-7(a).  -
│ │ │ +0020dc90: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +0020dca0: 3728 6229 0a20 202d 2064 6973 6162 6c65  7(b).  - disable
│ │ │ +0020dcb0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +0020dcc0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +0020dcd0: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +0020dce0: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ +0020dcf0: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ +0020dd00: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ +0020dd10: 6b61 6765 5f73 656e 646d 6169 6c5f 7265  kage_sendmail_re
│ │ │ +0020dd20: 6d6f 7665 640a 0a2d 206e 616d 653a 2045  moved..- name: E
│ │ │ +0020dd30: 6e73 7572 6520 7365 6e64 6d61 696c 2069  nsure sendmail i
│ │ │ +0020dd40: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ +0020dd50: 6167 653a 0a20 2020 206e 616d 653a 2073  age:.    name: s
│ │ │ +0020dd60: 656e 646d 6169 6c0a 2020 2020 7374 6174  endmail.    stat
│ │ │ +0020dd70: 653a 2061 6273 656e 740a 2020 7768 656e  e: absent.  when
│ │ │ +0020dd80: 3a20 2722 6c69 6e75 782d 6261 7365 2220  : '"linux-base" 
│ │ │ +0020dd90: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ +0020dda0: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ +0020ddb0: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +0020ddc0: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ +0020ddd0: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ +0020dde0: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +0020ddf0: 3533 2d43 4d2d 3728 6229 0a20 202d 2064  53-CM-7(b).  - d
│ │ │ +0020de00: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ +0020de10: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +0020de20: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +0020de30: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +0020de40: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +0020de50: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +0020de60: 202d 2070 6163 6b61 6765 5f73 656e 646d   - package_sendm
│ │ │ +0020de70: 6169 6c5f 7265 6d6f 7665 640a 3c2f 636f  ail_removed.</co
│ │ │ +0020de80: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +0020de90: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +0020dea0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +0020deb0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +0020dec0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +0020ded0: 646d 3230 3231 3722 2074 6162 696e 6465  dm20217" tabinde
│ │ │ +0020dee0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +0020def0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +0020df00: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +0020df10: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +0020df20: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +0020df30: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ +0020df40: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +0020df50: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +0020df60: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +0020df70: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +0020df80: 6d32 3032 3137 223e 3c74 6162 6c65 2063  m20217"><table c
│ │ │ +0020df90: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +0020dfa0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +0020dfb0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +0020dfc0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +0020dfd0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +0020dfe0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0020dff0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +0020e000: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +0020e010: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0020e020: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +0020e030: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +0020e040: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +0020e050: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +0020e060: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +0020e070: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +0020e080: 3e69 6e63 6c75 6465 2072 656d 6f76 655f  >include remove_
│ │ │ +0020e090: 7365 6e64 6d61 696c 0a0a 636c 6173 7320  sendmail..class 
│ │ │ +0020e0a0: 7265 6d6f 7665 5f73 656e 646d 6169 6c20  remove_sendmail 
│ │ │ +0020e0b0: 7b0a 2020 7061 636b 6167 6520 7b20 2773  {.  package { 's
│ │ │ +0020e0c0: 656e 646d 6169 6c27 3a0a 2020 2020 656e  endmail':.    en
│ │ │ +0020e0d0: 7375 7265 203d 2667 743b 2027 7075 7267  sure =&gt; 'purg
│ │ │ +0020e0e0: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │  0020e0f0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │  0020e100: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │  0020e110: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │  0020e120: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │  0020e130: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  0020e140: 6d32 3032 3138 2220 7461 6269 6e64 6578  m20218" tabindex
│ │ │  0020e150: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ @@ -135179,132 +135179,132 @@
│ │ │  002100a0: 612d 7461 7267 6574 3d22 2369 646d 3230  a-target="#idm20
│ │ │  002100b0: 3437 3522 2074 6162 696e 6465 783d 2230  475" tabindex="0
│ │ │  002100c0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  002100d0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  002100e0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  002100f0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  00210100: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00210110: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ -00210120: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ -00210130: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00210140: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00210150: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00210160: 2069 643d 2269 646d 3230 3437 3522 3e3c   id="idm20475"><
│ │ │ -00210170: 7072 653e 3c63 6f64 653e 0a5b 5b70 6163  pre><code>.[[pac
│ │ │ -00210180: 6b61 6765 735d 5d0a 6e61 6d65 203d 2022  kages]].name = "
│ │ │ -00210190: 6368 726f 6e79 220a 7665 7273 696f 6e20  chrony".version 
│ │ │ -002101a0: 3d20 222a 220a 3c2f 636f 6465 3e3c 2f70  = "*".</code></p
│ │ │ -002101b0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -002101c0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -002101d0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -002101e0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -002101f0: 7461 7267 6574 3d22 2369 646d 3230 3437  target="#idm2047
│ │ │ -00210200: 3622 2074 6162 696e 6465 783d 2230 2220  6" tabindex="0" 
│ │ │ -00210210: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00210220: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00210230: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00210240: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00210250: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00210260: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -00210270: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00210280: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00210290: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -002102a0: 7365 2220 6964 3d22 6964 6d32 3034 3736  se" id="idm20476
│ │ │ -002102b0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -002102c0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -002102d0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -002102e0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -002102f0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00210300: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00210310: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00210320: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00210330: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00210340: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00210350: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00210360: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00210370: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00210380: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00210390: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -002103a0: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -002103b0: 6520 696e 7374 616c 6c5f 6368 726f 6e79  e install_chrony
│ │ │ -002103c0: 0a0a 636c 6173 7320 696e 7374 616c 6c5f  ..class install_
│ │ │ -002103d0: 6368 726f 6e79 207b 0a20 2070 6163 6b61  chrony {.  packa
│ │ │ -002103e0: 6765 207b 2027 6368 726f 6e79 273a 0a20  ge { 'chrony':. 
│ │ │ -002103f0: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -00210400: 2769 6e73 7461 6c6c 6564 272c 0a20 207d  'installed',.  }
│ │ │ -00210410: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -00210420: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -00210430: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -00210440: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -00210450: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -00210460: 6765 743d 2223 6964 6d32 3034 3737 2220  get="#idm20477" 
│ │ │ -00210470: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -00210480: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -00210490: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -002104a0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -002104b0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -002104c0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -002104d0: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -002104e0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -002104f0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00210500: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00210510: 2220 6964 3d22 6964 6d32 3034 3737 223e  " id="idm20477">
│ │ │ -00210520: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00210530: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00210540: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00210550: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00210560: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00210570: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00210580: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00210590: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -002105a0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -002105b0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -002105c0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -002105d0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -002105e0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -002105f0: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ -00210600: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00210610: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ -00210620: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ -00210630: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ -00210640: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ -00210650: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ -00210660: 6773 3a0a 2020 2d20 5043 492d 4453 532d  gs:.  - PCI-DSS-
│ │ │ -00210670: 5265 712d 3130 2e34 0a20 202d 2050 4349  Req-10.4.  - PCI
│ │ │ -00210680: 2d44 5353 7634 2d31 302e 360a 2020 2d20  -DSSv4-10.6.  - 
│ │ │ -00210690: 5043 492d 4453 5376 342d 3130 2e36 2e31  PCI-DSSv4-10.6.1
│ │ │ -002106a0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ -002106b0: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -002106c0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -002106d0: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ -002106e0: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ -002106f0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -00210700: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ -00210710: 6368 726f 6e79 5f69 6e73 7461 6c6c 6564  chrony_installed
│ │ │ -00210720: 0a0a 2d20 6e61 6d65 3a20 456e 7375 7265  ..- name: Ensure
│ │ │ -00210730: 2063 6872 6f6e 7920 6973 2069 6e73 7461   chrony is insta
│ │ │ -00210740: 6c6c 6564 0a20 2070 6163 6b61 6765 3a0a  lled.  package:.
│ │ │ -00210750: 2020 2020 6e61 6d65 3a20 6368 726f 6e79      name: chrony
│ │ │ -00210760: 0a20 2020 2073 7461 7465 3a20 7072 6573  .    state: pres
│ │ │ -00210770: 656e 740a 2020 7768 656e 3a20 2722 6c69  ent.  when: '"li
│ │ │ -00210780: 6e75 782d 6261 7365 2220 696e 2061 6e73  nux-base" in ans
│ │ │ -00210790: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ -002107a0: 6765 7327 0a20 2074 6167 733a 0a20 202d  ges'.  tags:.  -
│ │ │ -002107b0: 2050 4349 2d44 5353 2d52 6571 2d31 302e   PCI-DSS-Req-10.
│ │ │ -002107c0: 340a 2020 2d20 5043 492d 4453 5376 342d  4.  - PCI-DSSv4-
│ │ │ -002107d0: 3130 2e36 0a20 202d 2050 4349 2d44 5353  10.6.  - PCI-DSS
│ │ │ -002107e0: 7634 2d31 302e 362e 310a 2020 2d20 656e  v4-10.6.1.  - en
│ │ │ -002107f0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -00210800: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -00210810: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -00210820: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -00210830: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -00210840: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -00210850: 2070 6163 6b61 6765 5f63 6872 6f6e 795f   package_chrony_
│ │ │ -00210860: 696e 7374 616c 6c65 640a 3c2f 636f 6465  installed.</code
│ │ │ +00210110: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +00210120: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00210130: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00210140: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00210150: 6c61 7073 6522 2069 643d 2269 646d 3230  lapse" id="idm20
│ │ │ +00210160: 3437 3522 3e3c 7461 626c 6520 636c 6173  475"><table clas
│ │ │ +00210170: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00210180: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00210190: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +002101a0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +002101b0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +002101c0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +002101d0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +002101e0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +002101f0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00210200: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00210210: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00210220: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00210230: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +00210240: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00210250: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +00210260: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ +00210270: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ +00210280: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ +00210290: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ +002102a0: 0a20 2074 6167 733a 0a20 202d 2050 4349  .  tags:.  - PCI
│ │ │ +002102b0: 2d44 5353 2d52 6571 2d31 302e 340a 2020  -DSS-Req-10.4.  
│ │ │ +002102c0: 2d20 5043 492d 4453 5376 342d 3130 2e36  - PCI-DSSv4-10.6
│ │ │ +002102d0: 0a20 202d 2050 4349 2d44 5353 7634 2d31  .  - PCI-DSSv4-1
│ │ │ +002102e0: 302e 362e 310a 2020 2d20 656e 6162 6c65  0.6.1.  - enable
│ │ │ +002102f0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +00210300: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +00210310: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +00210320: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ +00210330: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ +00210340: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ +00210350: 6b61 6765 5f63 6872 6f6e 795f 696e 7374  kage_chrony_inst
│ │ │ +00210360: 616c 6c65 640a 0a2d 206e 616d 653a 2045  alled..- name: E
│ │ │ +00210370: 6e73 7572 6520 6368 726f 6e79 2069 7320  nsure chrony is 
│ │ │ +00210380: 696e 7374 616c 6c65 640a 2020 7061 636b  installed.  pack
│ │ │ +00210390: 6167 653a 0a20 2020 206e 616d 653a 2063  age:.    name: c
│ │ │ +002103a0: 6872 6f6e 790a 2020 2020 7374 6174 653a  hrony.    state:
│ │ │ +002103b0: 2070 7265 7365 6e74 0a20 2077 6865 6e3a   present.  when:
│ │ │ +002103c0: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ +002103d0: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ +002103e0: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ +002103f0: 3a0a 2020 2d20 5043 492d 4453 532d 5265  :.  - PCI-DSS-Re
│ │ │ +00210400: 712d 3130 2e34 0a20 202d 2050 4349 2d44  q-10.4.  - PCI-D
│ │ │ +00210410: 5353 7634 2d31 302e 360a 2020 2d20 5043  SSv4-10.6.  - PC
│ │ │ +00210420: 492d 4453 5376 342d 3130 2e36 2e31 0a20  I-DSSv4-10.6.1. 
│ │ │ +00210430: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ +00210440: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ +00210450: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +00210460: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ +00210470: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ +00210480: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +00210490: 640a 2020 2d20 7061 636b 6167 655f 6368  d.  - package_ch
│ │ │ +002104a0: 726f 6e79 5f69 6e73 7461 6c6c 6564 0a3c  rony_installed.<
│ │ │ +002104b0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +002104c0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +002104d0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +002104e0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +002104f0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +00210500: 2223 6964 6d32 3034 3736 2220 7461 6269  "#idm20476" tabi
│ │ │ +00210510: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00210520: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00210530: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00210540: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00210550: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00210560: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +00210570: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +00210580: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00210590: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +002105a0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +002105b0: 2269 646d 3230 3437 3622 3e3c 7461 626c  "idm20476"><tabl
│ │ │ +002105c0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +002105d0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +002105e0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +002105f0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +00210600: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +00210610: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00210620: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +00210630: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +00210640: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00210650: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +00210660: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +00210670: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +00210680: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00210690: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ +002106a0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +002106b0: 6465 3e69 6e63 6c75 6465 2069 6e73 7461  de>include insta
│ │ │ +002106c0: 6c6c 5f63 6872 6f6e 790a 0a63 6c61 7373  ll_chrony..class
│ │ │ +002106d0: 2069 6e73 7461 6c6c 5f63 6872 6f6e 7920   install_chrony 
│ │ │ +002106e0: 7b0a 2020 7061 636b 6167 6520 7b20 2763  {.  package { 'c
│ │ │ +002106f0: 6872 6f6e 7927 3a0a 2020 2020 656e 7375  hrony':.    ensu
│ │ │ +00210700: 7265 203d 2667 743b 2027 696e 7374 616c  re =&gt; 'instal
│ │ │ +00210710: 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  led',.  }.}.</co
│ │ │ +00210720: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +00210730: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +00210740: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +00210750: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +00210760: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +00210770: 646d 3230 3437 3722 2074 6162 696e 6465  dm20477" tabinde
│ │ │ +00210780: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +00210790: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +002107a0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +002107b0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +002107c0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +002107d0: 656d 6564 6961 7469 6f6e 204f 5342 7569  emediation OSBui
│ │ │ +002107e0: 6c64 2042 6c75 6570 7269 6e74 2073 6e69  ld Blueprint sni
│ │ │ +002107f0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00210800: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00210810: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00210820: 7073 6522 2069 643d 2269 646d 3230 3437  pse" id="idm2047
│ │ │ +00210830: 3722 3e3c 7072 653e 3c63 6f64 653e 0a5b  7"><pre><code>.[
│ │ │ +00210840: 5b70 6163 6b61 6765 735d 5d0a 6e61 6d65  [packages]].name
│ │ │ +00210850: 203d 2022 6368 726f 6e79 220a 7665 7273   = "chrony".vers
│ │ │ +00210860: 696f 6e20 3d20 222a 220a 3c2f 636f 6465  ion = "*".</code
│ │ │  00210870: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │  00210880: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │  00210890: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │  002108a0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │  002108b0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  002108c0: 3230 3437 3822 2074 6162 696e 6465 783d  20478" tabindex=
│ │ │  002108d0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ @@ -137320,117 +137320,117 @@
│ │ │  00218670: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  00218680: 646d 3230 3837 3622 2074 6162 696e 6465  dm20876" tabinde
│ │ │  00218690: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  002186a0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  002186b0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  002186c0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  002186d0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -002186e0: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -002186f0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -00218700: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00218710: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00218720: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00218730: 6d32 3038 3736 223e 3c74 6162 6c65 2063  m20876"><table c
│ │ │ -00218740: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00218750: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00218760: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00218770: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00218780: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00218790: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -002187a0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -002187b0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -002187c0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -002187d0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -002187e0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -002187f0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00218800: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -00218810: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00218820: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00218830: 3e69 6e63 6c75 6465 2072 656d 6f76 655f  >include remove_
│ │ │ -00218840: 7869 6e65 7464 0a0a 636c 6173 7320 7265  xinetd..class re
│ │ │ -00218850: 6d6f 7665 5f78 696e 6574 6420 7b0a 2020  move_xinetd {.  
│ │ │ -00218860: 7061 636b 6167 6520 7b20 2778 696e 6574  package { 'xinet
│ │ │ -00218870: 6427 3a0a 2020 2020 656e 7375 7265 203d  d':.    ensure =
│ │ │ -00218880: 2667 743b 2027 7075 7267 6564 272c 0a20  &gt; 'purged',. 
│ │ │ -00218890: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -002188a0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -002188b0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -002188c0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -002188d0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -002188e0: 6172 6765 743d 2223 6964 6d32 3038 3737  arget="#idm20877
│ │ │ -002188f0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00218900: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00218910: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -00218920: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -00218930: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -00218940: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00218950: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -00218960: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00218970: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00218980: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00218990: 7365 2220 6964 3d22 6964 6d32 3038 3737  se" id="idm20877
│ │ │ -002189a0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -002189b0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -002189c0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -002189d0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -002189e0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -002189f0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00218a00: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00218a10: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00218a20: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00218a30: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00218a40: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00218a50: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00218a60: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00218a70: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -00218a80: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00218a90: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ -00218aa0: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ -00218ab0: 636b 6167 6520 6661 6374 730a 2020 7061  ckage facts.  pa
│ │ │ -00218ac0: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ -00218ad0: 206d 616e 6167 6572 3a20 6175 746f 0a20   manager: auto. 
│ │ │ -00218ae0: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -00218af0: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -00218b00: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -00218b10: 4d2d 3728 6129 0a20 202d 204e 4953 542d  M-7(a).  - NIST-
│ │ │ -00218b20: 3830 302d 3533 2d43 4d2d 3728 6229 0a20  800-53-CM-7(b). 
│ │ │ -00218b30: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ -00218b40: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -00218b50: 2e32 2e34 0a20 202d 2064 6973 6162 6c65  .2.4.  - disable
│ │ │ -00218b60: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -00218b70: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -00218b80: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -00218b90: 2020 2d20 6c6f 775f 7365 7665 7269 7479    - low_severity
│ │ │ -00218ba0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -00218bb0: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ -00218bc0: 655f 7869 6e65 7464 5f72 656d 6f76 6564  e_xinetd_removed
│ │ │ -00218bd0: 0a0a 2d20 6e61 6d65 3a20 456e 7375 7265  ..- name: Ensure
│ │ │ -00218be0: 2078 696e 6574 6420 6973 2072 656d 6f76   xinetd is remov
│ │ │ -00218bf0: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ -00218c00: 2020 6e61 6d65 3a20 7869 6e65 7464 0a20    name: xinetd. 
│ │ │ -00218c10: 2020 2073 7461 7465 3a20 6162 7365 6e74     state: absent
│ │ │ -00218c20: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ -00218c30: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ -00218c40: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -00218c50: 270a 2020 7461 6773 3a0a 2020 2d20 4e49  '.  tags:.  - NI
│ │ │ -00218c60: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -00218c70: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00218c80: 332d 434d 2d37 2861 290a 2020 2d20 4e49  3-CM-7(a).  - NI
│ │ │ -00218c90: 5354 2d38 3030 2d35 332d 434d 2d37 2862  ST-800-53-CM-7(b
│ │ │ -00218ca0: 290a 2020 2d20 5043 492d 4453 5376 342d  ).  - PCI-DSSv4-
│ │ │ -00218cb0: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ -00218cc0: 342d 322e 322e 340a 2020 2d20 6469 7361  4-2.2.4.  - disa
│ │ │ -00218cd0: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -00218ce0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00218cf0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00218d00: 6f6e 0a20 202d 206c 6f77 5f73 6576 6572  on.  - low_sever
│ │ │ -00218d10: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -00218d20: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -00218d30: 6b61 6765 5f78 696e 6574 645f 7265 6d6f  kage_xinetd_remo
│ │ │ -00218d40: 7665 640a 3c2f 636f 6465 3e3c 2f70 7265  ved.</code></pre
│ │ │ +002186e0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +002186f0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +00218700: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00218710: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00218720: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00218730: 646d 3230 3837 3622 3e3c 7461 626c 6520  dm20876"><table 
│ │ │ +00218740: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +00218750: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +00218760: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +00218770: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +00218780: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +00218790: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +002187a0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +002187b0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +002187c0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +002187d0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +002187e0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +002187f0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +00218800: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +00218810: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +00218820: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00218830: 653e 2d20 6e61 6d65 3a20 4761 7468 6572  e>- name: Gather
│ │ │ +00218840: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ +00218850: 7473 0a20 2070 6163 6b61 6765 5f66 6163  ts.  package_fac
│ │ │ +00218860: 7473 3a0a 2020 2020 6d61 6e61 6765 723a  ts:.    manager:
│ │ │ +00218870: 2061 7574 6f0a 2020 7461 6773 3a0a 2020   auto.  tags:.  
│ │ │ +00218880: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +00218890: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ +002188a0: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ +002188b0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +002188c0: 2d37 2862 290a 2020 2d20 5043 492d 4453  -7(b).  - PCI-DS
│ │ │ +002188d0: 5376 342d 322e 320a 2020 2d20 5043 492d  Sv4-2.2.  - PCI-
│ │ │ +002188e0: 4453 5376 342d 322e 322e 340a 2020 2d20  DSSv4-2.2.4.  - 
│ │ │ +002188f0: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ +00218900: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +00218910: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +00218920: 7570 7469 6f6e 0a20 202d 206c 6f77 5f73  uption.  - low_s
│ │ │ +00218930: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +00218940: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +00218950: 2070 6163 6b61 6765 5f78 696e 6574 645f   package_xinetd_
│ │ │ +00218960: 7265 6d6f 7665 640a 0a2d 206e 616d 653a  removed..- name:
│ │ │ +00218970: 2045 6e73 7572 6520 7869 6e65 7464 2069   Ensure xinetd i
│ │ │ +00218980: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ +00218990: 6167 653a 0a20 2020 206e 616d 653a 2078  age:.    name: x
│ │ │ +002189a0: 696e 6574 640a 2020 2020 7374 6174 653a  inetd.    state:
│ │ │ +002189b0: 2061 6273 656e 740a 2020 7768 656e 3a20   absent.  when: 
│ │ │ +002189c0: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ +002189d0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ +002189e0: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ +002189f0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00218a00: 2d43 4d2d 3628 6129 0a20 202d 204e 4953  -CM-6(a).  - NIS
│ │ │ +00218a10: 542d 3830 302d 3533 2d43 4d2d 3728 6129  T-800-53-CM-7(a)
│ │ │ +00218a20: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00218a30: 2d43 4d2d 3728 6229 0a20 202d 2050 4349  -CM-7(b).  - PCI
│ │ │ +00218a40: 2d44 5353 7634 2d32 2e32 0a20 202d 2050  -DSSv4-2.2.  - P
│ │ │ +00218a50: 4349 2d44 5353 7634 2d32 2e32 2e34 0a20  CI-DSSv4-2.2.4. 
│ │ │ +00218a60: 202d 2064 6973 6162 6c65 5f73 7472 6174   - disable_strat
│ │ │ +00218a70: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ +00218a80: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +00218a90: 6973 7275 7074 696f 6e0a 2020 2d20 6c6f  isruption.  - lo
│ │ │ +00218aa0: 775f 7365 7665 7269 7479 0a20 202d 206e  w_severity.  - n
│ │ │ +00218ab0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +00218ac0: 2020 2d20 7061 636b 6167 655f 7869 6e65    - package_xine
│ │ │ +00218ad0: 7464 5f72 656d 6f76 6564 0a3c 2f63 6f64  td_removed.</cod
│ │ │ +00218ae0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00218af0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00218b00: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00218b10: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00218b20: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00218b30: 6d32 3038 3737 2220 7461 6269 6e64 6578  m20877" tabindex
│ │ │ +00218b40: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +00218b50: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +00218b60: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00218b70: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +00218b80: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00218b90: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ +00218ba0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +00218bb0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +00218bc0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00218bd0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00218be0: 3230 3837 3722 3e3c 7461 626c 6520 636c  20877"><table cl
│ │ │ +00218bf0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +00218c00: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +00218c10: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +00218c20: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +00218c30: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +00218c40: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00218c50: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +00218c60: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +00218c70: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00218c80: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +00218c90: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +00218ca0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +00218cb0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +00218cc0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00218cd0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00218ce0: 696e 636c 7564 6520 7265 6d6f 7665 5f78  include remove_x
│ │ │ +00218cf0: 696e 6574 640a 0a63 6c61 7373 2072 656d  inetd..class rem
│ │ │ +00218d00: 6f76 655f 7869 6e65 7464 207b 0a20 2070  ove_xinetd {.  p
│ │ │ +00218d10: 6163 6b61 6765 207b 2027 7869 6e65 7464  ackage { 'xinetd
│ │ │ +00218d20: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ +00218d30: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ +00218d40: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │  00218d50: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │  00218d60: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │  00218d70: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │  00218d80: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │  00218d90: 7267 6574 3d22 2369 646d 3230 3837 3822  rget="#idm20878"
│ │ │  00218da0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  00218db0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ @@ -137727,91 +137727,91 @@
│ │ │  00219fe0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  00219ff0: 646d 3230 3930 3022 2074 6162 696e 6465  dm20900" tabinde
│ │ │  0021a000: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  0021a010: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  0021a020: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  0021a030: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  0021a040: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0021a050: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -0021a060: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -0021a070: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0021a080: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0021a090: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0021a0a0: 6d32 3039 3030 223e 3c74 6162 6c65 2063  m20900"><table c
│ │ │ -0021a0b0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -0021a0c0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -0021a0d0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -0021a0e0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -0021a0f0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -0021a100: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0021a110: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -0021a120: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -0021a130: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0021a140: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -0021a150: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -0021a160: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -0021a170: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -0021a180: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0021a190: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0021a1a0: 3e69 6e63 6c75 6465 2072 656d 6f76 655f  >include remove_
│ │ │ -0021a1b0: 7970 6269 6e64 2d6d 740a 0a63 6c61 7373  ypbind-mt..class
│ │ │ -0021a1c0: 2072 656d 6f76 655f 7970 6269 6e64 2d6d   remove_ypbind-m
│ │ │ -0021a1d0: 7420 7b0a 2020 7061 636b 6167 6520 7b20  t {.  package { 
│ │ │ -0021a1e0: 2779 7062 696e 642d 6d74 273a 0a20 2020  'ypbind-mt':.   
│ │ │ -0021a1f0: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ -0021a200: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │ -0021a210: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -0021a220: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -0021a230: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -0021a240: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -0021a250: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -0021a260: 2369 646d 3230 3930 3122 2074 6162 696e  #idm20901" tabin
│ │ │ -0021a270: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -0021a280: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -0021a290: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -0021a2a0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -0021a2b0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -0021a2c0: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -0021a2d0: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -0021a2e0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -0021a2f0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -0021a300: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -0021a310: 2269 646d 3230 3930 3122 3e3c 7461 626c  "idm20901"><tabl
│ │ │ -0021a320: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -0021a330: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -0021a340: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -0021a350: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -0021a360: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -0021a370: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0021a380: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -0021a390: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -0021a3a0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -0021a3b0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -0021a3c0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -0021a3d0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -0021a3e0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -0021a3f0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -0021a400: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -0021a410: 6f64 653e 2d20 6e61 6d65 3a20 456e 7375  ode>- name: Ensu
│ │ │ -0021a420: 7265 2079 7062 696e 642d 6d74 2069 7320  re ypbind-mt is 
│ │ │ -0021a430: 7265 6d6f 7665 640a 2020 7061 636b 6167  removed.  packag
│ │ │ -0021a440: 653a 0a20 2020 206e 616d 653a 2079 7062  e:.    name: ypb
│ │ │ -0021a450: 696e 642d 6d74 0a20 2020 2073 7461 7465  ind-mt.    state
│ │ │ -0021a460: 3a20 6162 7365 6e74 0a20 2074 6167 733a  : absent.  tags:
│ │ │ -0021a470: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -0021a480: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -0021a490: 2d32 2e32 2e34 0a20 202d 2064 6973 6162  -2.2.4.  - disab
│ │ │ -0021a4a0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -0021a4b0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -0021a4c0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -0021a4d0: 6e0a 2020 2d20 6e6f 5f72 6562 6f6f 745f  n.  - no_reboot_
│ │ │ -0021a4e0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -0021a4f0: 6765 5f79 7062 696e 645f 7265 6d6f 7665  ge_ypbind_remove
│ │ │ -0021a500: 640a 2020 2d20 756e 6b6e 6f77 6e5f 7365  d.  - unknown_se
│ │ │ -0021a510: 7665 7269 7479 0a3c 2f63 6f64 653e 3c2f  verity.</code></
│ │ │ +0021a050: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +0021a060: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +0021a070: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +0021a080: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +0021a090: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +0021a0a0: 646d 3230 3930 3022 3e3c 7461 626c 6520  dm20900"><table 
│ │ │ +0021a0b0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +0021a0c0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +0021a0d0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +0021a0e0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +0021a0f0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +0021a100: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0021a110: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +0021a120: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +0021a130: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0021a140: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +0021a150: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +0021a160: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +0021a170: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +0021a180: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +0021a190: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +0021a1a0: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ +0021a1b0: 2079 7062 696e 642d 6d74 2069 7320 7265   ypbind-mt is re
│ │ │ +0021a1c0: 6d6f 7665 640a 2020 7061 636b 6167 653a  moved.  package:
│ │ │ +0021a1d0: 0a20 2020 206e 616d 653a 2079 7062 696e  .    name: ypbin
│ │ │ +0021a1e0: 642d 6d74 0a20 2020 2073 7461 7465 3a20  d-mt.    state: 
│ │ │ +0021a1f0: 6162 7365 6e74 0a20 2074 6167 733a 0a20  absent.  tags:. 
│ │ │ +0021a200: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +0021a210: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ +0021a220: 2e32 2e34 0a20 202d 2064 6973 6162 6c65  .2.4.  - disable
│ │ │ +0021a230: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +0021a240: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +0021a250: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +0021a260: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +0021a270: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +0021a280: 5f79 7062 696e 645f 7265 6d6f 7665 640a  _ypbind_removed.
│ │ │ +0021a290: 2020 2d20 756e 6b6e 6f77 6e5f 7365 7665    - unknown_seve
│ │ │ +0021a2a0: 7269 7479 0a3c 2f63 6f64 653e 3c2f 7072  rity.</code></pr
│ │ │ +0021a2b0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +0021a2c0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +0021a2d0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +0021a2e0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +0021a2f0: 6172 6765 743d 2223 6964 6d32 3039 3031  arget="#idm20901
│ │ │ +0021a300: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +0021a310: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +0021a320: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +0021a330: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +0021a340: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +0021a350: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +0021a360: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +0021a370: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +0021a380: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +0021a390: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +0021a3a0: 6522 2069 643d 2269 646d 3230 3930 3122  e" id="idm20901"
│ │ │ +0021a3b0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +0021a3c0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +0021a3d0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +0021a3e0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +0021a3f0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +0021a400: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +0021a410: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0021a420: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +0021a430: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0021a440: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +0021a450: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +0021a460: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +0021a470: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +0021a480: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +0021a490: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +0021a4a0: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +0021a4b0: 6520 7265 6d6f 7665 5f79 7062 696e 642d  e remove_ypbind-
│ │ │ +0021a4c0: 6d74 0a0a 636c 6173 7320 7265 6d6f 7665  mt..class remove
│ │ │ +0021a4d0: 5f79 7062 696e 642d 6d74 207b 0a20 2070  _ypbind-mt {.  p
│ │ │ +0021a4e0: 6163 6b61 6765 207b 2027 7970 6269 6e64  ackage { 'ypbind
│ │ │ +0021a4f0: 2d6d 7427 3a0a 2020 2020 656e 7375 7265  -mt':.    ensure
│ │ │ +0021a500: 203d 2667 743b 2027 7075 7267 6564 272c   =&gt; 'purged',
│ │ │ +0021a510: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │  0021a520: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │  0021a530: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │  0021a540: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │  0021a550: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │  0021a560: 2d74 6172 6765 743d 2223 6964 6d32 3039  -target="#idm209
│ │ │  0021a570: 3032 2220 7461 6269 6e64 6578 3d22 3022  02" tabindex="0"
│ │ │  0021a580: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ @@ -138138,97 +138138,97 @@
│ │ │  0021b990: 612d 7461 7267 6574 3d22 2369 646d 3231  a-target="#idm21
│ │ │  0021b9a0: 3031 3722 2074 6162 696e 6465 783d 2230  017" tabindex="0
│ │ │  0021b9b0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  0021b9c0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  0021b9d0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  0021b9e0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  0021b9f0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -0021ba00: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ -0021ba10: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -0021ba20: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -0021ba30: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -0021ba40: 6170 7365 2220 6964 3d22 6964 6d32 3130  apse" id="idm210
│ │ │ -0021ba50: 3137 223e 3c74 6162 6c65 2063 6c61 7373  17"><table class
│ │ │ -0021ba60: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -0021ba70: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -0021ba80: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -0021ba90: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -0021baa0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -0021bab0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -0021bac0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -0021bad0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -0021bae0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0021baf0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -0021bb00: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -0021bb10: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -0021bb20: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ -0021bb30: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -0021bb40: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ -0021bb50: 6c75 6465 2072 656d 6f76 655f 7970 7365  lude remove_ypse
│ │ │ -0021bb60: 7276 0a0a 636c 6173 7320 7265 6d6f 7665  rv..class remove
│ │ │ -0021bb70: 5f79 7073 6572 7620 7b0a 2020 7061 636b  _ypserv {.  pack
│ │ │ -0021bb80: 6167 6520 7b20 2779 7073 6572 7627 3a0a  age { 'ypserv':.
│ │ │ -0021bb90: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ -0021bba0: 2027 7075 7267 6564 272c 0a20 207d 0a7d   'purged',.  }.}
│ │ │ -0021bbb0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -0021bbc0: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -0021bbd0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -0021bbe0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -0021bbf0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -0021bc00: 743d 2223 6964 6d32 3130 3138 2220 7461  t="#idm21018" ta
│ │ │ -0021bc10: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -0021bc20: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -0021bc30: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -0021bc40: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -0021bc50: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -0021bc60: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -0021bc70: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ -0021bc80: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -0021bc90: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -0021bca0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -0021bcb0: 6964 3d22 6964 6d32 3130 3138 223e 3c74  id="idm21018"><t
│ │ │ -0021bcc0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -0021bcd0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -0021bce0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -0021bcf0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -0021bd00: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -0021bd10: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -0021bd20: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0021bd30: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -0021bd40: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0021bd50: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -0021bd60: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -0021bd70: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0021bd80: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -0021bd90: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -0021bda0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -0021bdb0: 3e3c 636f 6465 3e2d 206e 616d 653a 2045  ><code>- name: E
│ │ │ -0021bdc0: 6e73 7572 6520 7970 7365 7276 2069 7320  nsure ypserv is 
│ │ │ -0021bdd0: 7265 6d6f 7665 640a 2020 7061 636b 6167  removed.  packag
│ │ │ -0021bde0: 653a 0a20 2020 206e 616d 653a 2079 7073  e:.    name: yps
│ │ │ -0021bdf0: 6572 760a 2020 2020 7374 6174 653a 2061  erv.    state: a
│ │ │ -0021be00: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ -0021be10: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -0021be20: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ -0021be30: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ -0021be40: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -0021be50: 2d37 2862 290a 2020 2d20 4e49 5354 2d38  -7(b).  - NIST-8
│ │ │ -0021be60: 3030 2d35 332d 4941 2d35 2831 2928 6329  00-53-IA-5(1)(c)
│ │ │ -0021be70: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -0021be80: 2d32 2e32 2e32 0a20 202d 2050 4349 2d44  -2.2.2.  - PCI-D
│ │ │ -0021be90: 5353 7634 2d32 2e32 0a20 202d 2050 4349  SSv4-2.2.  - PCI
│ │ │ -0021bea0: 2d44 5353 7634 2d32 2e32 2e34 0a20 202d  -DSSv4-2.2.4.  -
│ │ │ -0021beb0: 2064 6973 6162 6c65 5f73 7472 6174 6567   disable_strateg
│ │ │ -0021bec0: 790a 2020 2d20 6869 6768 5f73 6576 6572  y.  - high_sever
│ │ │ -0021bed0: 6974 790a 2020 2d20 6c6f 775f 636f 6d70  ity.  - low_comp
│ │ │ -0021bee0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -0021bef0: 6973 7275 7074 696f 6e0a 2020 2d20 6e6f  isruption.  - no
│ │ │ -0021bf00: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -0021bf10: 202d 2070 6163 6b61 6765 5f79 7073 6572   - package_ypser
│ │ │ -0021bf20: 765f 7265 6d6f 7665 640a 3c2f 636f 6465  v_removed.</code
│ │ │ +0021ba00: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +0021ba10: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +0021ba20: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +0021ba30: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +0021ba40: 6c61 7073 6522 2069 643d 2269 646d 3231  lapse" id="idm21
│ │ │ +0021ba50: 3031 3722 3e3c 7461 626c 6520 636c 6173  017"><table clas
│ │ │ +0021ba60: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +0021ba70: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +0021ba80: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +0021ba90: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +0021baa0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +0021bab0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0021bac0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +0021bad0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +0021bae0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0021baf0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +0021bb00: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +0021bb10: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +0021bb20: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +0021bb30: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +0021bb40: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ +0021bb50: 6e61 6d65 3a20 456e 7375 7265 2079 7073  name: Ensure yps
│ │ │ +0021bb60: 6572 7620 6973 2072 656d 6f76 6564 0a20  erv is removed. 
│ │ │ +0021bb70: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +0021bb80: 6d65 3a20 7970 7365 7276 0a20 2020 2073  me: ypserv.    s
│ │ │ +0021bb90: 7461 7465 3a20 6162 7365 6e74 0a20 2074  tate: absent.  t
│ │ │ +0021bba0: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +0021bbb0: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +0021bbc0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +0021bbd0: 3728 6129 0a20 202d 204e 4953 542d 3830  7(a).  - NIST-80
│ │ │ +0021bbe0: 302d 3533 2d43 4d2d 3728 6229 0a20 202d  0-53-CM-7(b).  -
│ │ │ +0021bbf0: 204e 4953 542d 3830 302d 3533 2d49 412d   NIST-800-53-IA-
│ │ │ +0021bc00: 3528 3129 2863 290a 2020 2d20 5043 492d  5(1)(c).  - PCI-
│ │ │ +0021bc10: 4453 532d 5265 712d 322e 322e 320a 2020  DSS-Req-2.2.2.  
│ │ │ +0021bc20: 2d20 5043 492d 4453 5376 342d 322e 320a  - PCI-DSSv4-2.2.
│ │ │ +0021bc30: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ +0021bc40: 322e 340a 2020 2d20 6469 7361 626c 655f  2.4.  - disable_
│ │ │ +0021bc50: 7374 7261 7465 6779 0a20 202d 2068 6967  strategy.  - hig
│ │ │ +0021bc60: 685f 7365 7665 7269 7479 0a20 202d 206c  h_severity.  - l
│ │ │ +0021bc70: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +0021bc80: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +0021bc90: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +0021bca0: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +0021bcb0: 655f 7970 7365 7276 5f72 656d 6f76 6564  e_ypserv_removed
│ │ │ +0021bcc0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +0021bcd0: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +0021bce0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +0021bcf0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +0021bd00: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +0021bd10: 743d 2223 6964 6d32 3130 3138 2220 7461  t="#idm21018" ta
│ │ │ +0021bd20: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +0021bd30: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +0021bd40: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +0021bd50: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +0021bd60: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +0021bd70: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +0021bd80: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ +0021bd90: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +0021bda0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +0021bdb0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +0021bdc0: 643d 2269 646d 3231 3031 3822 3e3c 7461  d="idm21018"><ta
│ │ │ +0021bdd0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +0021bde0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +0021bdf0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +0021be00: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +0021be10: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +0021be20: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +0021be30: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0021be40: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +0021be50: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0021be60: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +0021be70: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +0021be80: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0021be90: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +0021bea0: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +0021beb0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +0021bec0: 3c63 6f64 653e 696e 636c 7564 6520 7265  <code>include re
│ │ │ +0021bed0: 6d6f 7665 5f79 7073 6572 760a 0a63 6c61  move_ypserv..cla
│ │ │ +0021bee0: 7373 2072 656d 6f76 655f 7970 7365 7276  ss remove_ypserv
│ │ │ +0021bef0: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +0021bf00: 7970 7365 7276 273a 0a20 2020 2065 6e73  ypserv':.    ens
│ │ │ +0021bf10: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ +0021bf20: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │  0021bf30: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │  0021bf40: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │  0021bf50: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │  0021bf60: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │  0021bf70: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  0021bf80: 3231 3031 3922 2074 6162 696e 6465 783d  21019" tabindex=
│ │ │  0021bf90: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ @@ -138619,97 +138619,97 @@
│ │ │  0021d7a0: 7267 6574 3d22 2369 646d 3231 3133 3722  rget="#idm21137"
│ │ │  0021d7b0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  0021d7c0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  0021d7d0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  0021d7e0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  0021d7f0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  0021d800: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -0021d810: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ -0021d820: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0021d830: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0021d840: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0021d850: 2220 6964 3d22 6964 6d32 3131 3337 223e  " id="idm21137">
│ │ │ -0021d860: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -0021d870: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -0021d880: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -0021d890: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -0021d8a0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -0021d8b0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -0021d8c0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0021d8d0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -0021d8e0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0021d8f0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -0021d900: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -0021d910: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -0021d920: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -0021d930: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -0021d940: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -0021d950: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ -0021d960: 2072 656d 6f76 655f 7273 682d 7365 7276   remove_rsh-serv
│ │ │ -0021d970: 6572 0a0a 636c 6173 7320 7265 6d6f 7665  er..class remove
│ │ │ -0021d980: 5f72 7368 2d73 6572 7665 7220 7b0a 2020  _rsh-server {.  
│ │ │ -0021d990: 7061 636b 6167 6520 7b20 2772 7368 2d73  package { 'rsh-s
│ │ │ -0021d9a0: 6572 7665 7227 3a0a 2020 2020 656e 7375  erver':.    ensu
│ │ │ -0021d9b0: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ -0021d9c0: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -0021d9d0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -0021d9e0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -0021d9f0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -0021da00: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -0021da10: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ -0021da20: 3131 3338 2220 7461 6269 6e64 6578 3d22  1138" tabindex="
│ │ │ -0021da30: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -0021da40: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -0021da50: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -0021da60: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -0021da70: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -0021da80: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -0021da90: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -0021daa0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -0021dab0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -0021dac0: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -0021dad0: 3131 3338 223e 3c74 6162 6c65 2063 6c61  1138"><table cla
│ │ │ -0021dae0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -0021daf0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -0021db00: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -0021db10: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -0021db20: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -0021db30: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0021db40: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -0021db50: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -0021db60: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0021db70: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -0021db80: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -0021db90: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -0021dba0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -0021dbb0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -0021dbc0: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -0021dbd0: 206e 616d 653a 2045 6e73 7572 6520 7273   name: Ensure rs
│ │ │ -0021dbe0: 682d 7365 7276 6572 2069 7320 7265 6d6f  h-server is remo
│ │ │ -0021dbf0: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ -0021dc00: 2020 206e 616d 653a 2072 7368 2d73 6572     name: rsh-ser
│ │ │ -0021dc10: 7665 720a 2020 2020 7374 6174 653a 2061  ver.    state: a
│ │ │ -0021dc20: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ -0021dc30: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -0021dc40: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ -0021dc50: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ -0021dc60: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -0021dc70: 2d37 2862 290a 2020 2d20 4e49 5354 2d38  -7(b).  - NIST-8
│ │ │ -0021dc80: 3030 2d35 332d 4941 2d35 2831 2928 6329  00-53-IA-5(1)(c)
│ │ │ -0021dc90: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -0021dca0: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -0021dcb0: 2d32 2e32 2e34 0a20 202d 2064 6973 6162  -2.2.4.  - disab
│ │ │ -0021dcc0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -0021dcd0: 6869 6768 5f73 6576 6572 6974 790a 2020  high_severity.  
│ │ │ -0021dce0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -0021dcf0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -0021dd00: 696f 6e0a 2020 2d20 6e6f 5f72 6562 6f6f  ion.  - no_reboo
│ │ │ -0021dd10: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -0021dd20: 6b61 6765 5f72 7368 2d73 6572 7665 725f  kage_rsh-server_
│ │ │ -0021dd30: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ +0021d810: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +0021d820: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +0021d830: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +0021d840: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +0021d850: 6522 2069 643d 2269 646d 3231 3133 3722  e" id="idm21137"
│ │ │ +0021d860: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +0021d870: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +0021d880: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +0021d890: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +0021d8a0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +0021d8b0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +0021d8c0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0021d8d0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +0021d8e0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0021d8f0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +0021d900: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +0021d910: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +0021d920: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +0021d930: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +0021d940: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +0021d950: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +0021d960: 3a20 456e 7375 7265 2072 7368 2d73 6572  : Ensure rsh-ser
│ │ │ +0021d970: 7665 7220 6973 2072 656d 6f76 6564 0a20  ver is removed. 
│ │ │ +0021d980: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +0021d990: 6d65 3a20 7273 682d 7365 7276 6572 0a20  me: rsh-server. 
│ │ │ +0021d9a0: 2020 2073 7461 7465 3a20 6162 7365 6e74     state: absent
│ │ │ +0021d9b0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +0021d9c0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +0021d9d0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0021d9e0: 2d43 4d2d 3728 6129 0a20 202d 204e 4953  -CM-7(a).  - NIS
│ │ │ +0021d9f0: 542d 3830 302d 3533 2d43 4d2d 3728 6229  T-800-53-CM-7(b)
│ │ │ +0021da00: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0021da10: 2d49 412d 3528 3129 2863 290a 2020 2d20  -IA-5(1)(c).  - 
│ │ │ +0021da20: 5043 492d 4453 5376 342d 322e 320a 2020  PCI-DSSv4-2.2.  
│ │ │ +0021da30: 2d20 5043 492d 4453 5376 342d 322e 322e  - PCI-DSSv4-2.2.
│ │ │ +0021da40: 340a 2020 2d20 6469 7361 626c 655f 7374  4.  - disable_st
│ │ │ +0021da50: 7261 7465 6779 0a20 202d 2068 6967 685f  rategy.  - high_
│ │ │ +0021da60: 7365 7665 7269 7479 0a20 202d 206c 6f77  severity.  - low
│ │ │ +0021da70: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +0021da80: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +0021da90: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +0021daa0: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +0021dab0: 7273 682d 7365 7276 6572 5f72 656d 6f76  rsh-server_remov
│ │ │ +0021dac0: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +0021dad0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +0021dae0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +0021daf0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +0021db00: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +0021db10: 6765 743d 2223 6964 6d32 3131 3338 2220  get="#idm21138" 
│ │ │ +0021db20: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +0021db30: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +0021db40: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +0021db50: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +0021db60: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +0021db70: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +0021db80: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ +0021db90: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +0021dba0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +0021dbb0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +0021dbc0: 2069 643d 2269 646d 3231 3133 3822 3e3c   id="idm21138"><
│ │ │ +0021dbd0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +0021dbe0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +0021dbf0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +0021dc00: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +0021dc10: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +0021dc20: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +0021dc30: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0021dc40: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +0021dc50: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0021dc60: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +0021dc70: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +0021dc80: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0021dc90: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +0021dca0: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +0021dcb0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +0021dcc0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +0021dcd0: 7265 6d6f 7665 5f72 7368 2d73 6572 7665  remove_rsh-serve
│ │ │ +0021dce0: 720a 0a63 6c61 7373 2072 656d 6f76 655f  r..class remove_
│ │ │ +0021dcf0: 7273 682d 7365 7276 6572 207b 0a20 2070  rsh-server {.  p
│ │ │ +0021dd00: 6163 6b61 6765 207b 2027 7273 682d 7365  ackage { 'rsh-se
│ │ │ +0021dd10: 7276 6572 273a 0a20 2020 2065 6e73 7572  rver':.    ensur
│ │ │ +0021dd20: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ +0021dd30: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │  0021dd40: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │  0021dd50: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │  0021dd60: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │  0021dd70: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │  0021dd80: 612d 7461 7267 6574 3d22 2369 646d 3231  a-target="#idm21
│ │ │  0021dd90: 3133 3922 2074 6162 696e 6465 783d 2230  139" tabindex="0
│ │ │  0021dda0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ @@ -138937,90 +138937,90 @@
│ │ │  0021eb80: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  0021eb90: 646d 3231 3136 3922 2074 6162 696e 6465  dm21169" tabinde
│ │ │  0021eba0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  0021ebb0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  0021ebc0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  0021ebd0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  0021ebe0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0021ebf0: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -0021ec00: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -0021ec10: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0021ec20: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0021ec30: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0021ec40: 6d32 3131 3639 223e 3c74 6162 6c65 2063  m21169"><table c
│ │ │ -0021ec50: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -0021ec60: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -0021ec70: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -0021ec80: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -0021ec90: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -0021eca0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0021ecb0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -0021ecc0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -0021ecd0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0021ece0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -0021ecf0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -0021ed00: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -0021ed10: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -0021ed20: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0021ed30: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0021ed40: 3e69 6e63 6c75 6465 2072 656d 6f76 655f  >include remove_
│ │ │ -0021ed50: 7273 680a 0a63 6c61 7373 2072 656d 6f76  rsh..class remov
│ │ │ -0021ed60: 655f 7273 6820 7b0a 2020 7061 636b 6167  e_rsh {.  packag
│ │ │ -0021ed70: 6520 7b20 2772 7368 273a 0a20 2020 2065  e { 'rsh':.    e
│ │ │ -0021ed80: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ -0021ed90: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │ -0021eda0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -0021edb0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -0021edc0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -0021edd0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -0021ede0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -0021edf0: 646d 3231 3137 3022 2074 6162 696e 6465  dm21170" tabinde
│ │ │ -0021ee00: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -0021ee10: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -0021ee20: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -0021ee30: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -0021ee40: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0021ee50: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -0021ee60: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -0021ee70: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0021ee80: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0021ee90: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0021eea0: 646d 3231 3137 3022 3e3c 7461 626c 6520  dm21170"><table 
│ │ │ -0021eeb0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -0021eec0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -0021eed0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -0021eee0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -0021eef0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -0021ef00: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0021ef10: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -0021ef20: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -0021ef30: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0021ef40: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -0021ef50: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -0021ef60: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -0021ef70: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -0021ef80: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -0021ef90: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -0021efa0: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ -0021efb0: 2072 7368 2069 7320 7265 6d6f 7665 640a   rsh is removed.
│ │ │ -0021efc0: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ -0021efd0: 616d 653a 2072 7368 0a20 2020 2073 7461  ame: rsh.    sta
│ │ │ -0021efe0: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ -0021eff0: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -0021f000: 3137 312d 332e 312e 3133 0a20 202d 2050  171-3.1.13.  - P
│ │ │ -0021f010: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ -0021f020: 2050 4349 2d44 5353 7634 2d32 2e32 2e34   PCI-DSSv4-2.2.4
│ │ │ -0021f030: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ -0021f040: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -0021f050: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -0021f060: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -0021f070: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -0021f080: 0a20 202d 2070 6163 6b61 6765 5f72 7368  .  - package_rsh
│ │ │ -0021f090: 5f72 656d 6f76 6564 0a20 202d 2075 6e6b  _removed.  - unk
│ │ │ -0021f0a0: 6e6f 776e 5f73 6576 6572 6974 790a 3c2f  nown_severity.</
│ │ │ +0021ebf0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +0021ec00: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +0021ec10: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +0021ec20: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +0021ec30: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +0021ec40: 646d 3231 3136 3922 3e3c 7461 626c 6520  dm21169"><table 
│ │ │ +0021ec50: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +0021ec60: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +0021ec70: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +0021ec80: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +0021ec90: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +0021eca0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0021ecb0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +0021ecc0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +0021ecd0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0021ece0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +0021ecf0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +0021ed00: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +0021ed10: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +0021ed20: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +0021ed30: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +0021ed40: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ +0021ed50: 2072 7368 2069 7320 7265 6d6f 7665 640a   rsh is removed.
│ │ │ +0021ed60: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ +0021ed70: 616d 653a 2072 7368 0a20 2020 2073 7461  ame: rsh.    sta
│ │ │ +0021ed80: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ +0021ed90: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +0021eda0: 3137 312d 332e 312e 3133 0a20 202d 2050  171-3.1.13.  - P
│ │ │ +0021edb0: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ +0021edc0: 2050 4349 2d44 5353 7634 2d32 2e32 2e34   PCI-DSSv4-2.2.4
│ │ │ +0021edd0: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ +0021ede0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +0021edf0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +0021ee00: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +0021ee10: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +0021ee20: 0a20 202d 2070 6163 6b61 6765 5f72 7368  .  - package_rsh
│ │ │ +0021ee30: 5f72 656d 6f76 6564 0a20 202d 2075 6e6b  _removed.  - unk
│ │ │ +0021ee40: 6e6f 776e 5f73 6576 6572 6974 790a 3c2f  nown_severity.</
│ │ │ +0021ee50: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +0021ee60: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +0021ee70: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +0021ee80: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +0021ee90: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +0021eea0: 2369 646d 3231 3137 3022 2074 6162 696e  #idm21170" tabin
│ │ │ +0021eeb0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +0021eec0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +0021eed0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +0021eee0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +0021eef0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +0021ef00: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +0021ef10: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +0021ef20: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +0021ef30: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +0021ef40: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +0021ef50: 6964 6d32 3131 3730 223e 3c74 6162 6c65  idm21170"><table
│ │ │ +0021ef60: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +0021ef70: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +0021ef80: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +0021ef90: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +0021efa0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +0021efb0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0021efc0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +0021efd0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +0021efe0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0021eff0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +0021f000: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +0021f010: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +0021f020: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +0021f030: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +0021f040: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +0021f050: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ +0021f060: 655f 7273 680a 0a63 6c61 7373 2072 656d  e_rsh..class rem
│ │ │ +0021f070: 6f76 655f 7273 6820 7b0a 2020 7061 636b  ove_rsh {.  pack
│ │ │ +0021f080: 6167 6520 7b20 2772 7368 273a 0a20 2020  age { 'rsh':.   
│ │ │ +0021f090: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ +0021f0a0: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │  0021f0b0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │  0021f0c0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │  0021f0d0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │  0021f0e0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │  0021f0f0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  0021f100: 2369 646d 3231 3137 3122 2074 6162 696e  #idm21171" tabin
│ │ │  0021f110: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ @@ -139276,91 +139276,91 @@
│ │ │  002200b0: 2d74 6172 6765 743d 2223 6964 6d32 3133  -target="#idm213
│ │ │  002200c0: 3036 2220 7461 6269 6e64 6578 3d22 3022  06" tabindex="0"
│ │ │  002200d0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  002200e0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  002200f0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  00220100: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  00220110: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00220120: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -00220130: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00220140: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00220150: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00220160: 7073 6522 2069 643d 2269 646d 3231 3330  pse" id="idm2130
│ │ │ -00220170: 3622 3e3c 7461 626c 6520 636c 6173 733d  6"><table class=
│ │ │ -00220180: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -00220190: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -002201a0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -002201b0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -002201c0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -002201d0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -002201e0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -002201f0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00220200: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00220210: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00220220: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00220230: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00220240: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -00220250: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -00220260: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ -00220270: 7564 6520 7265 6d6f 7665 5f74 616c 6b2d  ude remove_talk-
│ │ │ -00220280: 7365 7276 6572 0a0a 636c 6173 7320 7265  server..class re
│ │ │ -00220290: 6d6f 7665 5f74 616c 6b2d 7365 7276 6572  move_talk-server
│ │ │ -002202a0: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ -002202b0: 7461 6c6b 2d73 6572 7665 7227 3a0a 2020  talk-server':.  
│ │ │ -002202c0: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -002202d0: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │ -002202e0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -002202f0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -00220300: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -00220310: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -00220320: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -00220330: 2223 6964 6d32 3133 3037 2220 7461 6269  "#idm21307" tabi
│ │ │ -00220340: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -00220350: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -00220360: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -00220370: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -00220380: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00220390: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -002203a0: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -002203b0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -002203c0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -002203d0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -002203e0: 3d22 6964 6d32 3133 3037 223e 3c74 6162  ="idm21307"><tab
│ │ │ -002203f0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00220400: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00220410: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00220420: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00220430: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00220440: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00220450: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00220460: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -00220470: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00220480: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -00220490: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -002204a0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -002204b0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -002204c0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -002204d0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -002204e0: 636f 6465 3e2d 206e 616d 653a 2045 6e73  code>- name: Ens
│ │ │ -002204f0: 7572 6520 7461 6c6b 2d73 6572 7665 7220  ure talk-server 
│ │ │ -00220500: 6973 2072 656d 6f76 6564 0a20 2070 6163  is removed.  pac
│ │ │ -00220510: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -00220520: 7461 6c6b 2d73 6572 7665 720a 2020 2020  talk-server.    
│ │ │ -00220530: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ -00220540: 7461 6773 3a0a 2020 2d20 5043 492d 4453  tags:.  - PCI-DS
│ │ │ -00220550: 5376 342d 322e 320a 2020 2d20 5043 492d  Sv4-2.2.  - PCI-
│ │ │ -00220560: 4453 5376 342d 322e 322e 340a 2020 2d20  DSSv4-2.2.4.  - 
│ │ │ -00220570: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ -00220580: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -00220590: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -002205a0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ -002205b0: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ -002205c0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -002205d0: 2020 2d20 7061 636b 6167 655f 7461 6c6b    - package_talk
│ │ │ -002205e0: 2d73 6572 7665 725f 7265 6d6f 7665 640a  -server_removed.
│ │ │ +00220120: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +00220130: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00220140: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00220150: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00220160: 6170 7365 2220 6964 3d22 6964 6d32 3133  apse" id="idm213
│ │ │ +00220170: 3036 223e 3c74 6162 6c65 2063 6c61 7373  06"><table class
│ │ │ +00220180: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00220190: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +002201a0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +002201b0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +002201c0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +002201d0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +002201e0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +002201f0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00220200: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00220210: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00220220: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00220230: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00220240: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +00220250: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00220260: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +00220270: 616d 653a 2045 6e73 7572 6520 7461 6c6b  ame: Ensure talk
│ │ │ +00220280: 2d73 6572 7665 7220 6973 2072 656d 6f76  -server is remov
│ │ │ +00220290: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +002202a0: 2020 6e61 6d65 3a20 7461 6c6b 2d73 6572    name: talk-ser
│ │ │ +002202b0: 7665 720a 2020 2020 7374 6174 653a 2061  ver.    state: a
│ │ │ +002202c0: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ +002202d0: 2d20 5043 492d 4453 5376 342d 322e 320a  - PCI-DSSv4-2.2.
│ │ │ +002202e0: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ +002202f0: 322e 340a 2020 2d20 6469 7361 626c 655f  2.4.  - disable_
│ │ │ +00220300: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ +00220310: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +00220320: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +00220330: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ +00220340: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +00220350: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +00220360: 6167 655f 7461 6c6b 2d73 6572 7665 725f  age_talk-server_
│ │ │ +00220370: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ +00220380: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +00220390: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +002203a0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +002203b0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +002203c0: 612d 7461 7267 6574 3d22 2369 646d 3231  a-target="#idm21
│ │ │ +002203d0: 3330 3722 2074 6162 696e 6465 783d 2230  307" tabindex="0
│ │ │ +002203e0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +002203f0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +00220400: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +00220410: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +00220420: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +00220430: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +00220440: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00220450: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00220460: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00220470: 6170 7365 2220 6964 3d22 6964 6d32 3133  apse" id="idm213
│ │ │ +00220480: 3037 223e 3c74 6162 6c65 2063 6c61 7373  07"><table class
│ │ │ +00220490: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +002204a0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +002204b0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +002204c0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +002204d0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +002204e0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +002204f0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00220500: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00220510: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00220520: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00220530: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00220540: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00220550: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +00220560: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00220570: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +00220580: 6c75 6465 2072 656d 6f76 655f 7461 6c6b  lude remove_talk
│ │ │ +00220590: 2d73 6572 7665 720a 0a63 6c61 7373 2072  -server..class r
│ │ │ +002205a0: 656d 6f76 655f 7461 6c6b 2d73 6572 7665  emove_talk-serve
│ │ │ +002205b0: 7220 7b0a 2020 7061 636b 6167 6520 7b20  r {.  package { 
│ │ │ +002205c0: 2774 616c 6b2d 7365 7276 6572 273a 0a20  'talk-server':. 
│ │ │ +002205d0: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ +002205e0: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │  002205f0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  00220600: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │  00220610: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │  00220620: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │  00220630: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  00220640: 3d22 2369 646d 3231 3330 3822 2074 6162  ="#idm21308" tab
│ │ │  00220650: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ @@ -139575,89 +139575,89 @@
│ │ │  00221360: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  00221370: 2223 6964 6d32 3133 3330 2220 7461 6269  "#idm21330" tabi
│ │ │  00221380: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │  00221390: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │  002213a0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │  002213b0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │  002213c0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -002213d0: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ -002213e0: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ -002213f0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00221400: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00221410: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00221420: 2269 646d 3231 3333 3022 3e3c 7461 626c  "idm21330"><tabl
│ │ │ -00221430: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00221440: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00221450: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00221460: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00221470: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00221480: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00221490: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -002214a0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -002214b0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -002214c0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -002214d0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -002214e0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -002214f0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00221500: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -00221510: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00221520: 6f64 653e 696e 636c 7564 6520 7265 6d6f  ode>include remo
│ │ │ -00221530: 7665 5f74 616c 6b0a 0a63 6c61 7373 2072  ve_talk..class r
│ │ │ -00221540: 656d 6f76 655f 7461 6c6b 207b 0a20 2070  emove_talk {.  p
│ │ │ -00221550: 6163 6b61 6765 207b 2027 7461 6c6b 273a  ackage { 'talk':
│ │ │ -00221560: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ -00221570: 3b20 2770 7572 6765 6427 2c0a 2020 7d0a  ; 'purged',.  }.
│ │ │ -00221580: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │ -00221590: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -002215a0: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -002215b0: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -002215c0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -002215d0: 6574 3d22 2369 646d 3231 3333 3122 2074  et="#idm21331" t
│ │ │ -002215e0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -002215f0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -00221600: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -00221610: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -00221620: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -00221630: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00221640: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ -00221650: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00221660: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00221670: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00221680: 2069 643d 2269 646d 3231 3333 3122 3e3c   id="idm21331"><
│ │ │ -00221690: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -002216a0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -002216b0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -002216c0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -002216d0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -002216e0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -002216f0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00221700: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -00221710: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00221720: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -00221730: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -00221740: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00221750: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -00221760: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -00221770: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00221780: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ -00221790: 456e 7375 7265 2074 616c 6b20 6973 2072  Ensure talk is r
│ │ │ -002217a0: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ -002217b0: 3a0a 2020 2020 6e61 6d65 3a20 7461 6c6b  :.    name: talk
│ │ │ -002217c0: 0a20 2020 2073 7461 7465 3a20 6162 7365  .    state: abse
│ │ │ -002217d0: 6e74 0a20 2074 6167 733a 0a20 202d 2050  nt.  tags:.  - P
│ │ │ -002217e0: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ -002217f0: 2050 4349 2d44 5353 7634 2d32 2e32 2e34   PCI-DSSv4-2.2.4
│ │ │ -00221800: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ -00221810: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -00221820: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -00221830: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -00221840: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -00221850: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -00221860: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -00221870: 5f74 616c 6b5f 7265 6d6f 7665 640a 3c2f  _talk_removed.</
│ │ │ +002213d0: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ +002213e0: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ +002213f0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00221400: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00221410: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00221420: 3d22 6964 6d32 3133 3330 223e 3c74 6162  ="idm21330"><tab
│ │ │ +00221430: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00221440: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00221450: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00221460: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00221470: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00221480: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00221490: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +002214a0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +002214b0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +002214c0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +002214d0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +002214e0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +002214f0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +00221500: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ +00221510: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +00221520: 636f 6465 3e2d 206e 616d 653a 2045 6e73  code>- name: Ens
│ │ │ +00221530: 7572 6520 7461 6c6b 2069 7320 7265 6d6f  ure talk is remo
│ │ │ +00221540: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ +00221550: 2020 206e 616d 653a 2074 616c 6b0a 2020     name: talk.  
│ │ │ +00221560: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ +00221570: 2020 7461 6773 3a0a 2020 2d20 5043 492d    tags:.  - PCI-
│ │ │ +00221580: 4453 5376 342d 322e 320a 2020 2d20 5043  DSSv4-2.2.  - PC
│ │ │ +00221590: 492d 4453 5376 342d 322e 322e 340a 2020  I-DSSv4-2.2.4.  
│ │ │ +002215a0: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ +002215b0: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ +002215c0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +002215d0: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ +002215e0: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ +002215f0: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +00221600: 640a 2020 2d20 7061 636b 6167 655f 7461  d.  - package_ta
│ │ │ +00221610: 6c6b 5f72 656d 6f76 6564 0a3c 2f63 6f64  lk_removed.</cod
│ │ │ +00221620: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00221630: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00221640: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00221650: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00221660: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00221670: 6d32 3133 3331 2220 7461 6269 6e64 6578  m21331" tabindex
│ │ │ +00221680: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +00221690: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +002216a0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +002216b0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +002216c0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +002216d0: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ +002216e0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +002216f0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +00221700: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00221710: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00221720: 3231 3333 3122 3e3c 7461 626c 6520 636c  21331"><table cl
│ │ │ +00221730: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +00221740: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +00221750: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +00221760: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +00221770: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +00221780: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00221790: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +002217a0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +002217b0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +002217c0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +002217d0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +002217e0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +002217f0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +00221800: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00221810: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00221820: 696e 636c 7564 6520 7265 6d6f 7665 5f74  include remove_t
│ │ │ +00221830: 616c 6b0a 0a63 6c61 7373 2072 656d 6f76  alk..class remov
│ │ │ +00221840: 655f 7461 6c6b 207b 0a20 2070 6163 6b61  e_talk {.  packa
│ │ │ +00221850: 6765 207b 2027 7461 6c6b 273a 0a20 2020  ge { 'talk':.   
│ │ │ +00221860: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ +00221870: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │  00221880: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │  00221890: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │  002218a0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │  002218b0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │  002218c0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  002218d0: 2369 646d 3231 3333 3222 2074 6162 696e  #idm21332" tabin
│ │ │  002218e0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ @@ -140076,98 +140076,98 @@
│ │ │  002232b0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  002232c0: 646d 3231 3435 3122 2074 6162 696e 6465  dm21451" tabinde
│ │ │  002232d0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  002232e0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  002232f0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  00223300: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  00223310: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00223320: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -00223330: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -00223340: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00223350: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00223360: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00223370: 6d32 3134 3531 223e 3c74 6162 6c65 2063  m21451"><table c
│ │ │ -00223380: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00223390: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -002233a0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -002233b0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -002233c0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -002233d0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -002233e0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -002233f0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00223400: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00223410: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00223420: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00223430: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00223440: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -00223450: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00223460: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00223470: 3e69 6e63 6c75 6465 2072 656d 6f76 655f  >include remove_
│ │ │ -00223480: 7465 6c6e 6574 2d73 6572 7665 720a 0a63  telnet-server..c
│ │ │ -00223490: 6c61 7373 2072 656d 6f76 655f 7465 6c6e  lass remove_teln
│ │ │ -002234a0: 6574 2d73 6572 7665 7220 7b0a 2020 7061  et-server {.  pa
│ │ │ -002234b0: 636b 6167 6520 7b20 2774 656c 6e65 742d  ckage { 'telnet-
│ │ │ -002234c0: 7365 7276 6572 273a 0a20 2020 2065 6e73  server':.    ens
│ │ │ -002234d0: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ -002234e0: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │ -002234f0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -00223500: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -00223510: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -00223520: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -00223530: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -00223540: 3231 3435 3222 2074 6162 696e 6465 783d  21452" tabindex=
│ │ │ -00223550: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -00223560: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -00223570: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00223580: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00223590: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -002235a0: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ -002235b0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -002235c0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -002235d0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -002235e0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -002235f0: 3231 3435 3222 3e3c 7461 626c 6520 636c  21452"><table cl
│ │ │ -00223600: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00223610: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00223620: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00223630: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00223640: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00223650: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00223660: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00223670: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00223680: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00223690: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -002236a0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -002236b0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -002236c0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -002236d0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -002236e0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -002236f0: 2d20 6e61 6d65 3a20 456e 7375 7265 2074  - name: Ensure t
│ │ │ -00223700: 656c 6e65 742d 7365 7276 6572 2069 7320  elnet-server is 
│ │ │ -00223710: 7265 6d6f 7665 640a 2020 7061 636b 6167  removed.  packag
│ │ │ -00223720: 653a 0a20 2020 206e 616d 653a 2074 656c  e:.    name: tel
│ │ │ -00223730: 6e65 742d 7365 7276 6572 0a20 2020 2073  net-server.    s
│ │ │ -00223740: 7461 7465 3a20 6162 7365 6e74 0a20 2074  tate: absent.  t
│ │ │ -00223750: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ -00223760: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ -00223770: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -00223780: 3728 6129 0a20 202d 204e 4953 542d 3830  7(a).  - NIST-80
│ │ │ -00223790: 302d 3533 2d43 4d2d 3728 6229 0a20 202d  0-53-CM-7(b).  -
│ │ │ -002237a0: 2050 4349 2d44 5353 2d52 6571 2d32 2e32   PCI-DSS-Req-2.2
│ │ │ -002237b0: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -002237c0: 2d32 2e32 0a20 202d 2050 4349 2d44 5353  -2.2.  - PCI-DSS
│ │ │ -002237d0: 7634 2d32 2e32 2e34 0a20 202d 2064 6973  v4-2.2.4.  - dis
│ │ │ -002237e0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -002237f0: 2d20 6869 6768 5f73 6576 6572 6974 790a  - high_severity.
│ │ │ -00223800: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -00223810: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -00223820: 7074 696f 6e0a 2020 2d20 6e6f 5f72 6562  ption.  - no_reb
│ │ │ -00223830: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -00223840: 6163 6b61 6765 5f74 656c 6e65 742d 7365  ackage_telnet-se
│ │ │ -00223850: 7276 6572 5f72 656d 6f76 6564 0a3c 2f63  rver_removed.</c
│ │ │ +00223320: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +00223330: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +00223340: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00223350: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00223360: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00223370: 646d 3231 3435 3122 3e3c 7461 626c 6520  dm21451"><table 
│ │ │ +00223380: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +00223390: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +002233a0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +002233b0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +002233c0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +002233d0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +002233e0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +002233f0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +00223400: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00223410: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +00223420: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +00223430: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +00223440: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +00223450: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +00223460: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00223470: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ +00223480: 2074 656c 6e65 742d 7365 7276 6572 2069   telnet-server i
│ │ │ +00223490: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ +002234a0: 6167 653a 0a20 2020 206e 616d 653a 2074  age:.    name: t
│ │ │ +002234b0: 656c 6e65 742d 7365 7276 6572 0a20 2020  elnet-server.   
│ │ │ +002234c0: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ +002234d0: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ +002234e0: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ +002234f0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +00223500: 4d2d 3728 6129 0a20 202d 204e 4953 542d  M-7(a).  - NIST-
│ │ │ +00223510: 3830 302d 3533 2d43 4d2d 3728 6229 0a20  800-53-CM-7(b). 
│ │ │ +00223520: 202d 2050 4349 2d44 5353 2d52 6571 2d32   - PCI-DSS-Req-2
│ │ │ +00223530: 2e32 2e32 0a20 202d 2050 4349 2d44 5353  .2.2.  - PCI-DSS
│ │ │ +00223540: 7634 2d32 2e32 0a20 202d 2050 4349 2d44  v4-2.2.  - PCI-D
│ │ │ +00223550: 5353 7634 2d32 2e32 2e34 0a20 202d 2064  SSv4-2.2.4.  - d
│ │ │ +00223560: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ +00223570: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ +00223580: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00223590: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +002235a0: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ +002235b0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +002235c0: 2070 6163 6b61 6765 5f74 656c 6e65 742d   package_telnet-
│ │ │ +002235d0: 7365 7276 6572 5f72 656d 6f76 6564 0a3c  server_removed.<
│ │ │ +002235e0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +002235f0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +00223600: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +00223610: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +00223620: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +00223630: 2223 6964 6d32 3134 3532 2220 7461 6269  "#idm21452" tabi
│ │ │ +00223640: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00223650: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00223660: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00223670: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00223680: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00223690: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +002236a0: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +002236b0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +002236c0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +002236d0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +002236e0: 2269 646d 3231 3435 3222 3e3c 7461 626c  "idm21452"><tabl
│ │ │ +002236f0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +00223700: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +00223710: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +00223720: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +00223730: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +00223740: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00223750: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +00223760: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +00223770: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00223780: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +00223790: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +002237a0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +002237b0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +002237c0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +002237d0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +002237e0: 6f64 653e 696e 636c 7564 6520 7265 6d6f  ode>include remo
│ │ │ +002237f0: 7665 5f74 656c 6e65 742d 7365 7276 6572  ve_telnet-server
│ │ │ +00223800: 0a0a 636c 6173 7320 7265 6d6f 7665 5f74  ..class remove_t
│ │ │ +00223810: 656c 6e65 742d 7365 7276 6572 207b 0a20  elnet-server {. 
│ │ │ +00223820: 2070 6163 6b61 6765 207b 2027 7465 6c6e   package { 'teln
│ │ │ +00223830: 6574 2d73 6572 7665 7227 3a0a 2020 2020  et-server':.    
│ │ │ +00223840: 656e 7375 7265 203d 2667 743b 2027 7075  ensure =&gt; 'pu
│ │ │ +00223850: 7267 6564 272c 0a20 207d 0a7d 0a3c 2f63  rged',.  }.}.</c
│ │ │  00223860: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │  00223870: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │  00223880: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │  00223890: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │  002238a0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  002238b0: 6964 6d32 3134 3533 2220 7461 6269 6e64  idm21453" tabind
│ │ │  002238c0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ @@ -140387,91 +140387,91 @@
│ │ │  00224620: 612d 7461 7267 6574 3d22 2369 646d 3231  a-target="#idm21
│ │ │  00224630: 3438 3022 2074 6162 696e 6465 783d 2230  480" tabindex="0
│ │ │  00224640: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  00224650: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  00224660: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  00224670: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  00224680: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00224690: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ -002246a0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -002246b0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -002246c0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -002246d0: 6170 7365 2220 6964 3d22 6964 6d32 3134  apse" id="idm214
│ │ │ -002246e0: 3830 223e 3c74 6162 6c65 2063 6c61 7373  80"><table class
│ │ │ -002246f0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -00224700: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -00224710: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -00224720: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -00224730: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -00224740: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00224750: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -00224760: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -00224770: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00224780: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -00224790: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -002247a0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -002247b0: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ -002247c0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -002247d0: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ -002247e0: 6c75 6465 2072 656d 6f76 655f 7465 6c6e  lude remove_teln
│ │ │ -002247f0: 6574 0a0a 636c 6173 7320 7265 6d6f 7665  et..class remove
│ │ │ -00224800: 5f74 656c 6e65 7420 7b0a 2020 7061 636b  _telnet {.  pack
│ │ │ -00224810: 6167 6520 7b20 2774 656c 6e65 7427 3a0a  age { 'telnet':.
│ │ │ -00224820: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ -00224830: 2027 7075 7267 6564 272c 0a20 207d 0a7d   'purged',.  }.}
│ │ │ -00224840: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -00224850: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -00224860: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -00224870: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -00224880: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -00224890: 743d 2223 6964 6d32 3134 3831 2220 7461  t="#idm21481" ta
│ │ │ -002248a0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -002248b0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -002248c0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -002248d0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -002248e0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -002248f0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00224900: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ -00224910: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00224920: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00224930: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00224940: 6964 3d22 6964 6d32 3134 3831 223e 3c74  id="idm21481"><t
│ │ │ -00224950: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -00224960: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -00224970: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -00224980: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -00224990: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -002249a0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -002249b0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -002249c0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -002249d0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -002249e0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -002249f0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00224a00: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00224a10: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -00224a20: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -00224a30: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -00224a40: 3e3c 636f 6465 3e2d 206e 616d 653a 2045  ><code>- name: E
│ │ │ -00224a50: 6e73 7572 6520 7465 6c6e 6574 2069 7320  nsure telnet is 
│ │ │ -00224a60: 7265 6d6f 7665 640a 2020 7061 636b 6167  removed.  packag
│ │ │ -00224a70: 653a 0a20 2020 206e 616d 653a 2074 656c  e:.    name: tel
│ │ │ -00224a80: 6e65 740a 2020 2020 7374 6174 653a 2061  net.    state: a
│ │ │ -00224a90: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ -00224aa0: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33  - NIST-800-171-3
│ │ │ -00224ab0: 2e31 2e31 330a 2020 2d20 5043 492d 4453  .1.13.  - PCI-DS
│ │ │ -00224ac0: 5376 342d 322e 320a 2020 2d20 5043 492d  Sv4-2.2.  - PCI-
│ │ │ -00224ad0: 4453 5376 342d 322e 322e 340a 2020 2d20  DSSv4-2.2.4.  - 
│ │ │ -00224ae0: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ -00224af0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -00224b00: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -00224b10: 7570 7469 6f6e 0a20 202d 206c 6f77 5f73  uption.  - low_s
│ │ │ -00224b20: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -00224b30: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -00224b40: 2070 6163 6b61 6765 5f74 656c 6e65 745f   package_telnet_
│ │ │ -00224b50: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ +00224690: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +002246a0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +002246b0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +002246c0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +002246d0: 6c61 7073 6522 2069 643d 2269 646d 3231  lapse" id="idm21
│ │ │ +002246e0: 3438 3022 3e3c 7461 626c 6520 636c 6173  480"><table clas
│ │ │ +002246f0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00224700: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00224710: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00224720: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00224730: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00224740: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00224750: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +00224760: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +00224770: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00224780: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00224790: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +002247a0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +002247b0: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +002247c0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +002247d0: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ +002247e0: 6e61 6d65 3a20 456e 7375 7265 2074 656c  name: Ensure tel
│ │ │ +002247f0: 6e65 7420 6973 2072 656d 6f76 6564 0a20  net is removed. 
│ │ │ +00224800: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +00224810: 6d65 3a20 7465 6c6e 6574 0a20 2020 2073  me: telnet.    s
│ │ │ +00224820: 7461 7465 3a20 6162 7365 6e74 0a20 2074  tate: absent.  t
│ │ │ +00224830: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +00224840: 302d 3137 312d 332e 312e 3133 0a20 202d  0-171-3.1.13.  -
│ │ │ +00224850: 2050 4349 2d44 5353 7634 2d32 2e32 0a20   PCI-DSSv4-2.2. 
│ │ │ +00224860: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +00224870: 2e34 0a20 202d 2064 6973 6162 6c65 5f73  .4.  - disable_s
│ │ │ +00224880: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +00224890: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +002248a0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +002248b0: 2d20 6c6f 775f 7365 7665 7269 7479 0a20  - low_severity. 
│ │ │ +002248c0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +002248d0: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +002248e0: 7465 6c6e 6574 5f72 656d 6f76 6564 0a3c  telnet_removed.<
│ │ │ +002248f0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +00224900: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +00224910: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +00224920: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +00224930: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +00224940: 2223 6964 6d32 3134 3831 2220 7461 6269  "#idm21481" tabi
│ │ │ +00224950: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00224960: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00224970: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00224980: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00224990: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +002249a0: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +002249b0: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +002249c0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +002249d0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +002249e0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +002249f0: 2269 646d 3231 3438 3122 3e3c 7461 626c  "idm21481"><tabl
│ │ │ +00224a00: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +00224a10: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +00224a20: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +00224a30: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +00224a40: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +00224a50: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00224a60: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +00224a70: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +00224a80: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00224a90: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +00224aa0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +00224ab0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +00224ac0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00224ad0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +00224ae0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00224af0: 6f64 653e 696e 636c 7564 6520 7265 6d6f  ode>include remo
│ │ │ +00224b00: 7665 5f74 656c 6e65 740a 0a63 6c61 7373  ve_telnet..class
│ │ │ +00224b10: 2072 656d 6f76 655f 7465 6c6e 6574 207b   remove_telnet {
│ │ │ +00224b20: 0a20 2070 6163 6b61 6765 207b 2027 7465  .  package { 'te
│ │ │ +00224b30: 6c6e 6574 273a 0a20 2020 2065 6e73 7572  lnet':.    ensur
│ │ │ +00224b40: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ +00224b50: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │  00224b60: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │  00224b70: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │  00224b80: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │  00224b90: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │  00224ba0: 612d 7461 7267 6574 3d22 2369 646d 3231  a-target="#idm21
│ │ │  00224bb0: 3438 3222 2074 6162 696e 6465 783d 2230  482" tabindex="0
│ │ │  00224bc0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ @@ -140855,96 +140855,96 @@
│ │ │  00226360: 7267 6574 3d22 2369 646d 3231 3539 3422  rget="#idm21594"
│ │ │  00226370: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  00226380: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  00226390: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  002263a0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  002263b0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  002263c0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -002263d0: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ -002263e0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -002263f0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00226400: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00226410: 2220 6964 3d22 6964 6d32 3135 3934 223e  " id="idm21594">
│ │ │ -00226420: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00226430: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00226440: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00226450: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00226460: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00226470: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00226480: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00226490: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -002264a0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -002264b0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -002264c0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -002264d0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -002264e0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -002264f0: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -00226500: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00226510: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ -00226520: 2072 656d 6f76 655f 7466 7470 2d73 6572   remove_tftp-ser
│ │ │ -00226530: 7665 720a 0a63 6c61 7373 2072 656d 6f76  ver..class remov
│ │ │ -00226540: 655f 7466 7470 2d73 6572 7665 7220 7b0a  e_tftp-server {.
│ │ │ -00226550: 2020 7061 636b 6167 6520 7b20 2774 6674    package { 'tft
│ │ │ -00226560: 702d 7365 7276 6572 273a 0a20 2020 2065  p-server':.    e
│ │ │ -00226570: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ -00226580: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │ -00226590: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -002265a0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -002265b0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -002265c0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -002265d0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -002265e0: 646d 3231 3539 3522 2074 6162 696e 6465  dm21595" tabinde
│ │ │ -002265f0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -00226600: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -00226610: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -00226620: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -00226630: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00226640: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -00226650: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -00226660: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -00226670: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -00226680: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -00226690: 646d 3231 3539 3522 3e3c 7461 626c 6520  dm21595"><table 
│ │ │ -002266a0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -002266b0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -002266c0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -002266d0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -002266e0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -002266f0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00226700: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -00226710: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -00226720: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00226730: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -00226740: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -00226750: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -00226760: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -00226770: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -00226780: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -00226790: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ -002267a0: 2074 6674 702d 7365 7276 6572 2069 7320   tftp-server is 
│ │ │ -002267b0: 7265 6d6f 7665 640a 2020 7061 636b 6167  removed.  packag
│ │ │ -002267c0: 653a 0a20 2020 206e 616d 653a 2074 6674  e:.    name: tft
│ │ │ -002267d0: 702d 7365 7276 6572 0a20 2020 2073 7461  p-server.    sta
│ │ │ -002267e0: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ -002267f0: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -00226800: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ -00226810: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ -00226820: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ -00226830: 3533 2d43 4d2d 3728 6229 0a20 202d 2050  53-CM-7(b).  - P
│ │ │ -00226840: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ -00226850: 2050 4349 2d44 5353 7634 2d32 2e32 2e34   PCI-DSSv4-2.2.4
│ │ │ -00226860: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ -00226870: 6174 6567 790a 2020 2d20 6869 6768 5f73  ategy.  - high_s
│ │ │ -00226880: 6576 6572 6974 790a 2020 2d20 6c6f 775f  everity.  - low_
│ │ │ -00226890: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -002268a0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -002268b0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -002268c0: 6564 0a20 202d 2070 6163 6b61 6765 5f74  ed.  - package_t
│ │ │ -002268d0: 6674 702d 7365 7276 6572 5f72 656d 6f76  ftp-server_remov
│ │ │ -002268e0: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +002263d0: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +002263e0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +002263f0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00226400: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00226410: 6522 2069 643d 2269 646d 3231 3539 3422  e" id="idm21594"
│ │ │ +00226420: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00226430: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00226440: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00226450: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00226460: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00226470: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00226480: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00226490: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +002264a0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +002264b0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +002264c0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +002264d0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +002264e0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +002264f0: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +00226500: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00226510: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +00226520: 3a20 456e 7375 7265 2074 6674 702d 7365  : Ensure tftp-se
│ │ │ +00226530: 7276 6572 2069 7320 7265 6d6f 7665 640a  rver is removed.
│ │ │ +00226540: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ +00226550: 616d 653a 2074 6674 702d 7365 7276 6572  ame: tftp-server
│ │ │ +00226560: 0a20 2020 2073 7461 7465 3a20 6162 7365  .    state: abse
│ │ │ +00226570: 6e74 0a20 2074 6167 733a 0a20 202d 204e  nt.  tags:.  - N
│ │ │ +00226580: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +00226590: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +002265a0: 3533 2d43 4d2d 3728 6129 0a20 202d 204e  53-CM-7(a).  - N
│ │ │ +002265b0: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ +002265c0: 6229 0a20 202d 2050 4349 2d44 5353 7634  b).  - PCI-DSSv4
│ │ │ +002265d0: 2d32 2e32 0a20 202d 2050 4349 2d44 5353  -2.2.  - PCI-DSS
│ │ │ +002265e0: 7634 2d32 2e32 2e34 0a20 202d 2064 6973  v4-2.2.4.  - dis
│ │ │ +002265f0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +00226600: 2d20 6869 6768 5f73 6576 6572 6974 790a  - high_severity.
│ │ │ +00226610: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +00226620: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +00226630: 7074 696f 6e0a 2020 2d20 6e6f 5f72 6562  ption.  - no_reb
│ │ │ +00226640: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +00226650: 6163 6b61 6765 5f74 6674 702d 7365 7276  ackage_tftp-serv
│ │ │ +00226660: 6572 5f72 656d 6f76 6564 0a3c 2f63 6f64  er_removed.</cod
│ │ │ +00226670: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00226680: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00226690: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +002266a0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +002266b0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +002266c0: 6d32 3135 3935 2220 7461 6269 6e64 6578  m21595" tabindex
│ │ │ +002266d0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +002266e0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +002266f0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00226700: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +00226710: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00226720: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ +00226730: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +00226740: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +00226750: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00226760: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00226770: 3231 3539 3522 3e3c 7461 626c 6520 636c  21595"><table cl
│ │ │ +00226780: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +00226790: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +002267a0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +002267b0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +002267c0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +002267d0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +002267e0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +002267f0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +00226800: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00226810: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +00226820: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +00226830: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +00226840: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +00226850: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00226860: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00226870: 696e 636c 7564 6520 7265 6d6f 7665 5f74  include remove_t
│ │ │ +00226880: 6674 702d 7365 7276 6572 0a0a 636c 6173  ftp-server..clas
│ │ │ +00226890: 7320 7265 6d6f 7665 5f74 6674 702d 7365  s remove_tftp-se
│ │ │ +002268a0: 7276 6572 207b 0a20 2070 6163 6b61 6765  rver {.  package
│ │ │ +002268b0: 207b 2027 7466 7470 2d73 6572 7665 7227   { 'tftp-server'
│ │ │ +002268c0: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ +002268d0: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ +002268e0: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │  002268f0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │  00226900: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │  00226910: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │  00226920: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │  00226930: 6765 743d 2223 6964 6d32 3135 3936 2220  get="#idm21596" 
│ │ │  00226940: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  00226950: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ @@ -141154,88 +141154,88 @@
│ │ │  00227610: 6574 3d22 2369 646d 3231 3631 3222 2074  et="#idm21612" t
│ │ │  00227620: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  00227630: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  00227640: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  00227650: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  00227660: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  00227670: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00227680: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -00227690: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -002276a0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -002276b0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -002276c0: 6964 3d22 6964 6d32 3136 3132 223e 3c74  id="idm21612"><t
│ │ │ -002276d0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -002276e0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -002276f0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -00227700: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -00227710: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -00227720: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -00227730: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00227740: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -00227750: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00227760: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -00227770: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00227780: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00227790: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -002277a0: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -002277b0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -002277c0: 3e3c 636f 6465 3e69 6e63 6c75 6465 2072  ><code>include r
│ │ │ -002277d0: 656d 6f76 655f 7466 7470 0a0a 636c 6173  emove_tftp..clas
│ │ │ -002277e0: 7320 7265 6d6f 7665 5f74 6674 7020 7b0a  s remove_tftp {.
│ │ │ -002277f0: 2020 7061 636b 6167 6520 7b20 2774 6674    package { 'tft
│ │ │ -00227800: 7027 3a0a 2020 2020 656e 7375 7265 203d  p':.    ensure =
│ │ │ -00227810: 2667 743b 2027 7075 7267 6564 272c 0a20  &gt; 'purged',. 
│ │ │ -00227820: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -00227830: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -00227840: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -00227850: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -00227860: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -00227870: 6172 6765 743d 2223 6964 6d32 3136 3133  arget="#idm21613
│ │ │ -00227880: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00227890: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -002278a0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -002278b0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -002278c0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -002278d0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -002278e0: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -002278f0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00227900: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00227910: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00227920: 7365 2220 6964 3d22 6964 6d32 3136 3133  se" id="idm21613
│ │ │ -00227930: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00227940: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00227950: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00227960: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00227970: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00227980: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00227990: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -002279a0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -002279b0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -002279c0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -002279d0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -002279e0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -002279f0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00227a00: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -00227a10: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00227a20: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ -00227a30: 653a 2045 6e73 7572 6520 7466 7470 2069  e: Ensure tftp i
│ │ │ -00227a40: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ -00227a50: 6167 653a 0a20 2020 206e 616d 653a 2074  age:.    name: t
│ │ │ -00227a60: 6674 700a 2020 2020 7374 6174 653a 2061  ftp.    state: a
│ │ │ -00227a70: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ -00227a80: 2d20 5043 492d 4453 5376 342d 322e 320a  - PCI-DSSv4-2.2.
│ │ │ -00227a90: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ -00227aa0: 322e 340a 2020 2d20 6469 7361 626c 655f  2.4.  - disable_
│ │ │ -00227ab0: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -00227ac0: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -00227ad0: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -00227ae0: 202d 206c 6f77 5f73 6576 6572 6974 790a   - low_severity.
│ │ │ -00227af0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -00227b00: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -00227b10: 5f74 6674 705f 7265 6d6f 7665 640a 3c2f  _tftp_removed.</
│ │ │ +00227680: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +00227690: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +002276a0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +002276b0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +002276c0: 2069 643d 2269 646d 3231 3631 3222 3e3c   id="idm21612"><
│ │ │ +002276d0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +002276e0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +002276f0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00227700: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00227710: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00227720: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00227730: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00227740: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00227750: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00227760: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00227770: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00227780: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00227790: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +002277a0: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +002277b0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +002277c0: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +002277d0: 456e 7375 7265 2074 6674 7020 6973 2072  Ensure tftp is r
│ │ │ +002277e0: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ +002277f0: 3a0a 2020 2020 6e61 6d65 3a20 7466 7470  :.    name: tftp
│ │ │ +00227800: 0a20 2020 2073 7461 7465 3a20 6162 7365  .    state: abse
│ │ │ +00227810: 6e74 0a20 2074 6167 733a 0a20 202d 2050  nt.  tags:.  - P
│ │ │ +00227820: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ +00227830: 2050 4349 2d44 5353 7634 2d32 2e32 2e34   PCI-DSSv4-2.2.4
│ │ │ +00227840: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ +00227850: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +00227860: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +00227870: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +00227880: 6c6f 775f 7365 7665 7269 7479 0a20 202d  low_severity.  -
│ │ │ +00227890: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +002278a0: 640a 2020 2d20 7061 636b 6167 655f 7466  d.  - package_tf
│ │ │ +002278b0: 7470 5f72 656d 6f76 6564 0a3c 2f63 6f64  tp_removed.</cod
│ │ │ +002278c0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +002278d0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +002278e0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +002278f0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00227900: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00227910: 6d32 3136 3133 2220 7461 6269 6e64 6578  m21613" tabindex
│ │ │ +00227920: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +00227930: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +00227940: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00227950: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +00227960: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00227970: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ +00227980: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +00227990: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +002279a0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +002279b0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +002279c0: 3231 3631 3322 3e3c 7461 626c 6520 636c  21613"><table cl
│ │ │ +002279d0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +002279e0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +002279f0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +00227a00: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +00227a10: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +00227a20: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00227a30: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +00227a40: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +00227a50: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00227a60: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +00227a70: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +00227a80: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +00227a90: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +00227aa0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00227ab0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00227ac0: 696e 636c 7564 6520 7265 6d6f 7665 5f74  include remove_t
│ │ │ +00227ad0: 6674 700a 0a63 6c61 7373 2072 656d 6f76  ftp..class remov
│ │ │ +00227ae0: 655f 7466 7470 207b 0a20 2070 6163 6b61  e_tftp {.  packa
│ │ │ +00227af0: 6765 207b 2027 7466 7470 273a 0a20 2020  ge { 'tftp':.   
│ │ │ +00227b00: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ +00227b10: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │  00227b20: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │  00227b30: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │  00227b40: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │  00227b50: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │  00227b60: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  00227b70: 2369 646d 3231 3631 3422 2074 6162 696e  #idm21614" tabin
│ │ │  00227b80: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ @@ -144605,165 +144605,165 @@
│ │ │  00234dc0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  00234dd0: 2369 646d 3232 3232 3322 2074 6162 696e  #idm22223" tabin
│ │ │  00234de0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  00234df0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  00234e00: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  00234e10: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  00234e20: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00234e30: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ -00234e40: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ -00234e50: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00234e60: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00234e70: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00234e80: 6964 6d32 3232 3233 223e 3c70 7265 3e3c  idm22223"><pre><
│ │ │ -00234e90: 636f 6465 3e69 6e63 6c75 6465 2073 7368  code>include ssh
│ │ │ -00234ea0: 5f70 7269 7661 7465 5f6b 6579 5f70 6572  _private_key_per
│ │ │ -00234eb0: 6d73 0a0a 636c 6173 7320 7373 685f 7072  ms..class ssh_pr
│ │ │ -00234ec0: 6976 6174 655f 6b65 795f 7065 726d 7320  ivate_key_perms 
│ │ │ -00234ed0: 7b0a 2020 6578 6563 207b 2027 7373 6864  {.  exec { 'sshd
│ │ │ -00234ee0: 5f70 7269 765f 6b65 7927 3a0a 2020 2020  _priv_key':.    
│ │ │ -00234ef0: 636f 6d6d 616e 6420 3d26 6774 3b20 2263  command =&gt; "c
│ │ │ -00234f00: 686d 6f64 2030 3634 3020 2f65 7463 2f73  hmod 0640 /etc/s
│ │ │ -00234f10: 7368 2f2a 5f6b 6579 222c 0a20 2020 2070  sh/*_key",.    p
│ │ │ -00234f20: 6174 6820 2020 203d 2667 743b 2027 2f62  ath    =&gt; '/b
│ │ │ -00234f30: 696e 3a2f 7573 722f 6269 6e27 0a20 207d  in:/usr/bin'.  }
│ │ │ -00234f40: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -00234f50: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -00234f60: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -00234f70: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -00234f80: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -00234f90: 6765 743d 2223 6964 6d32 3232 3234 2220  get="#idm22224" 
│ │ │ -00234fa0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -00234fb0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -00234fc0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -00234fd0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -00234fe0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -00234ff0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00235000: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -00235010: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -00235020: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00235030: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00235040: 2220 6964 3d22 6964 6d32 3232 3234 223e  " id="idm22224">
│ │ │ -00235050: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00235060: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00235070: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00235080: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00235090: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -002350a0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -002350b0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -002350c0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -002350d0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -002350e0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -002350f0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00235100: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00235110: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00235120: 3e3c 7464 3e63 6f6e 6669 6775 7265 3c2f  ><td>configure</
│ │ │ -00235130: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00235140: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ -00235150: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ -00235160: 636b 6167 6520 6661 6374 730a 2020 7061  ckage facts.  pa
│ │ │ -00235170: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ -00235180: 206d 616e 6167 6572 3a20 6175 746f 0a20   manager: auto. 
│ │ │ -00235190: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -002351a0: 3830 302d 3137 312d 332e 312e 3133 0a20  800-171-3.1.13. 
│ │ │ -002351b0: 202d 204e 4953 542d 3830 302d 3137 312d   - NIST-800-171-
│ │ │ -002351c0: 332e 3133 2e31 300a 2020 2d20 4e49 5354  3.13.10.  - NIST
│ │ │ -002351d0: 2d38 3030 2d35 332d 4143 2d31 3728 6129  -800-53-AC-17(a)
│ │ │ -002351e0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -002351f0: 2d41 432d 3628 3129 0a20 202d 204e 4953  -AC-6(1).  - NIS
│ │ │ -00235200: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -00235210: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -00235220: 2d32 2e32 2e34 0a20 202d 2050 4349 2d44  -2.2.4.  - PCI-D
│ │ │ -00235230: 5353 7634 2d32 2e32 0a20 202d 2050 4349  SSv4-2.2.  - PCI
│ │ │ -00235240: 2d44 5353 7634 2d32 2e32 2e36 0a20 202d  -DSSv4-2.2.6.  -
│ │ │ -00235250: 2063 6f6e 6669 6775 7265 5f73 7472 6174   configure_strat
│ │ │ -00235260: 6567 790a 2020 2d20 6669 6c65 5f70 6572  egy.  - file_per
│ │ │ -00235270: 6d69 7373 696f 6e73 5f73 7368 645f 7072  missions_sshd_pr
│ │ │ -00235280: 6976 6174 655f 6b65 790a 2020 2d20 6c6f  ivate_key.  - lo
│ │ │ -00235290: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -002352a0: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -002352b0: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -002352c0: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -002352d0: 745f 6e65 6564 6564 0a0a 2d20 6e61 6d65  t_needed..- name
│ │ │ -002352e0: 3a20 4669 6e64 2072 6f6f 743a 726f 6f74  : Find root:root
│ │ │ -002352f0: 2d6f 776e 6564 206b 6579 730a 2020 616e  -owned keys.  an
│ │ │ -00235300: 7369 626c 652e 6275 696c 7469 6e2e 636f  sible.builtin.co
│ │ │ -00235310: 6d6d 616e 643a 2066 696e 6420 2d48 202f  mmand: find -H /
│ │ │ -00235320: 6574 632f 7373 682f 202d 6d61 7864 6570  etc/ssh/ -maxdep
│ │ │ -00235330: 7468 2031 202d 7573 6572 2072 6f6f 7420  th 1 -user root 
│ │ │ -00235340: 2d72 6567 6578 2022 2e2a 5f6b 6579 2422  -regex ".*_key$"
│ │ │ -00235350: 0a20 2020 202d 7479 7065 2066 202d 6772  .    -type f -gr
│ │ │ -00235360: 6f75 7020 726f 6f74 202d 7065 726d 202f  oup root -perm /
│ │ │ -00235370: 752b 7873 2c67 2b78 7772 732c 6f2b 7877  u+xs,g+xwrs,o+xw
│ │ │ -00235380: 7274 0a20 2072 6567 6973 7465 723a 2072  rt.  register: r
│ │ │ -00235390: 6f6f 745f 6f77 6e65 645f 6b65 7973 0a20  oot_owned_keys. 
│ │ │ -002353a0: 2063 6861 6e67 6564 5f77 6865 6e3a 2066   changed_when: f
│ │ │ -002353b0: 616c 7365 0a20 2066 6169 6c65 645f 7768  alse.  failed_wh
│ │ │ -002353c0: 656e 3a20 6661 6c73 650a 2020 6368 6563  en: false.  chec
│ │ │ -002353d0: 6b5f 6d6f 6465 3a20 6661 6c73 650a 2020  k_mode: false.  
│ │ │ -002353e0: 7768 656e 3a20 2722 6c69 6e75 782d 6261  when: '"linux-ba
│ │ │ -002353f0: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ -00235400: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -00235410: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -00235420: 3830 302d 3137 312d 332e 312e 3133 0a20  800-171-3.1.13. 
│ │ │ -00235430: 202d 204e 4953 542d 3830 302d 3137 312d   - NIST-800-171-
│ │ │ -00235440: 332e 3133 2e31 300a 2020 2d20 4e49 5354  3.13.10.  - NIST
│ │ │ -00235450: 2d38 3030 2d35 332d 4143 2d31 3728 6129  -800-53-AC-17(a)
│ │ │ -00235460: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00235470: 2d41 432d 3628 3129 0a20 202d 204e 4953  -AC-6(1).  - NIS
│ │ │ -00235480: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -00235490: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -002354a0: 2d32 2e32 2e34 0a20 202d 2050 4349 2d44  -2.2.4.  - PCI-D
│ │ │ -002354b0: 5353 7634 2d32 2e32 0a20 202d 2050 4349  SSv4-2.2.  - PCI
│ │ │ -002354c0: 2d44 5353 7634 2d32 2e32 2e36 0a20 202d  -DSSv4-2.2.6.  -
│ │ │ -002354d0: 2063 6f6e 6669 6775 7265 5f73 7472 6174   configure_strat
│ │ │ -002354e0: 6567 790a 2020 2d20 6669 6c65 5f70 6572  egy.  - file_per
│ │ │ -002354f0: 6d69 7373 696f 6e73 5f73 7368 645f 7072  missions_sshd_pr
│ │ │ -00235500: 6976 6174 655f 6b65 790a 2020 2d20 6c6f  ivate_key.  - lo
│ │ │ -00235510: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -00235520: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -00235530: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -00235540: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -00235550: 745f 6e65 6564 6564 0a0a 2d20 6e61 6d65  t_needed..- name
│ │ │ -00235560: 3a20 5365 7420 7065 726d 6973 7369 6f6e  : Set permission
│ │ │ -00235570: 7320 666f 7220 726f 6f74 3a72 6f6f 742d  s for root:root-
│ │ │ -00235580: 6f77 6e65 6420 6b65 7973 0a20 2061 6e73  owned keys.  ans
│ │ │ -00235590: 6962 6c65 2e62 7569 6c74 696e 2e66 696c  ible.builtin.fil
│ │ │ -002355a0: 653a 0a20 2020 2070 6174 683a 2027 7b7b  e:.    path: '{{
│ │ │ -002355b0: 2069 7465 6d20 7d7d 270a 2020 2020 6d6f   item }}'.    mo
│ │ │ -002355c0: 6465 3a20 752d 7873 2c67 2d78 7772 732c  de: u-xs,g-xwrs,
│ │ │ -002355d0: 6f2d 7877 7274 0a20 2020 2073 7461 7465  o-xwrt.    state
│ │ │ -002355e0: 3a20 6669 6c65 0a20 2077 6974 685f 6974  : file.  with_it
│ │ │ -002355f0: 656d 733a 0a20 202d 2027 7b7b 2072 6f6f  ems:.  - '{{ roo
│ │ │ -00235600: 745f 6f77 6e65 645f 6b65 7973 2e73 7464  t_owned_keys.std
│ │ │ -00235610: 6f75 745f 6c69 6e65 7320 7d7d 270a 2020  out_lines }}'.  
│ │ │ -00235620: 7768 656e 3a20 2722 6c69 6e75 782d 6261  when: '"linux-ba
│ │ │ -00235630: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ -00235640: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -00235650: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -00235660: 3830 302d 3137 312d 332e 312e 3133 0a20  800-171-3.1.13. 
│ │ │ -00235670: 202d 204e 4953 542d 3830 302d 3137 312d   - NIST-800-171-
│ │ │ -00235680: 332e 3133 2e31 300a 2020 2d20 4e49 5354  3.13.10.  - NIST
│ │ │ -00235690: 2d38 3030 2d35 332d 4143 2d31 3728 6129  -800-53-AC-17(a)
│ │ │ -002356a0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -002356b0: 2d41 432d 3628 3129 0a20 202d 204e 4953  -AC-6(1).  - NIS
│ │ │ -002356c0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -002356d0: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -002356e0: 2d32 2e32 2e34 0a20 202d 2050 4349 2d44  -2.2.4.  - PCI-D
│ │ │ -002356f0: 5353 7634 2d32 2e32 0a20 202d 2050 4349  SSv4-2.2.  - PCI
│ │ │ -00235700: 2d44 5353 7634 2d32 2e32 2e36 0a20 202d  -DSSv4-2.2.6.  -
│ │ │ -00235710: 2063 6f6e 6669 6775 7265 5f73 7472 6174   configure_strat
│ │ │ -00235720: 6567 790a 2020 2d20 6669 6c65 5f70 6572  egy.  - file_per
│ │ │ -00235730: 6d69 7373 696f 6e73 5f73 7368 645f 7072  missions_sshd_pr
│ │ │ -00235740: 6976 6174 655f 6b65 790a 2020 2d20 6c6f  ivate_key.  - lo
│ │ │ -00235750: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -00235760: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -00235770: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -00235780: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -00235790: 745f 6e65 6564 6564 0a3c 2f63 6f64 653e  t_needed.</code>
│ │ │ +00234e30: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +00234e40: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +00234e50: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00234e60: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00234e70: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00234e80: 2269 646d 3232 3232 3322 3e3c 7461 626c  "idm22223"><tabl
│ │ │ +00234e90: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +00234ea0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +00234eb0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +00234ec0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +00234ed0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +00234ee0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00234ef0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +00234f00: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +00234f10: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00234f20: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +00234f30: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +00234f40: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +00234f50: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00234f60: 636f 6e66 6967 7572 653c 2f74 643e 3c2f  configure</td></
│ │ │ +00234f70: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +00234f80: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ +00234f90: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ +00234fa0: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ +00234fb0: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ +00234fc0: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ +00234fd0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d31  :.  - NIST-800-1
│ │ │ +00234fe0: 3731 2d33 2e31 2e31 330a 2020 2d20 4e49  71-3.1.13.  - NI
│ │ │ +00234ff0: 5354 2d38 3030 2d31 3731 2d33 2e31 332e  ST-800-171-3.13.
│ │ │ +00235000: 3130 0a20 202d 204e 4953 542d 3830 302d  10.  - NIST-800-
│ │ │ +00235010: 3533 2d41 432d 3137 2861 290a 2020 2d20  53-AC-17(a).  - 
│ │ │ +00235020: 4e49 5354 2d38 3030 2d35 332d 4143 2d36  NIST-800-53-AC-6
│ │ │ +00235030: 2831 290a 2020 2d20 4e49 5354 2d38 3030  (1).  - NIST-800
│ │ │ +00235040: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +00235050: 5043 492d 4453 532d 5265 712d 322e 322e  PCI-DSS-Req-2.2.
│ │ │ +00235060: 340a 2020 2d20 5043 492d 4453 5376 342d  4.  - PCI-DSSv4-
│ │ │ +00235070: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ +00235080: 342d 322e 322e 360a 2020 2d20 636f 6e66  4-2.2.6.  - conf
│ │ │ +00235090: 6967 7572 655f 7374 7261 7465 6779 0a20  igure_strategy. 
│ │ │ +002350a0: 202d 2066 696c 655f 7065 726d 6973 7369   - file_permissi
│ │ │ +002350b0: 6f6e 735f 7373 6864 5f70 7269 7661 7465  ons_sshd_private
│ │ │ +002350c0: 5f6b 6579 0a20 202d 206c 6f77 5f63 6f6d  _key.  - low_com
│ │ │ +002350d0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +002350e0: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +002350f0: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +00235100: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +00235110: 6465 640a 0a2d 206e 616d 653a 2046 696e  ded..- name: Fin
│ │ │ +00235120: 6420 726f 6f74 3a72 6f6f 742d 6f77 6e65  d root:root-owne
│ │ │ +00235130: 6420 6b65 7973 0a20 2061 6e73 6962 6c65  d keys.  ansible
│ │ │ +00235140: 2e62 7569 6c74 696e 2e63 6f6d 6d61 6e64  .builtin.command
│ │ │ +00235150: 3a20 6669 6e64 202d 4820 2f65 7463 2f73  : find -H /etc/s
│ │ │ +00235160: 7368 2f20 2d6d 6178 6465 7074 6820 3120  sh/ -maxdepth 1 
│ │ │ +00235170: 2d75 7365 7220 726f 6f74 202d 7265 6765  -user root -rege
│ │ │ +00235180: 7820 222e 2a5f 6b65 7924 220a 2020 2020  x ".*_key$".    
│ │ │ +00235190: 2d74 7970 6520 6620 2d67 726f 7570 2072  -type f -group r
│ │ │ +002351a0: 6f6f 7420 2d70 6572 6d20 2f75 2b78 732c  oot -perm /u+xs,
│ │ │ +002351b0: 672b 7877 7273 2c6f 2b78 7772 740a 2020  g+xwrs,o+xwrt.  
│ │ │ +002351c0: 7265 6769 7374 6572 3a20 726f 6f74 5f6f  register: root_o
│ │ │ +002351d0: 776e 6564 5f6b 6579 730a 2020 6368 616e  wned_keys.  chan
│ │ │ +002351e0: 6765 645f 7768 656e 3a20 6661 6c73 650a  ged_when: false.
│ │ │ +002351f0: 2020 6661 696c 6564 5f77 6865 6e3a 2066    failed_when: f
│ │ │ +00235200: 616c 7365 0a20 2063 6865 636b 5f6d 6f64  alse.  check_mod
│ │ │ +00235210: 653a 2066 616c 7365 0a20 2077 6865 6e3a  e: false.  when:
│ │ │ +00235220: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ +00235230: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ +00235240: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ +00235250: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d31  :.  - NIST-800-1
│ │ │ +00235260: 3731 2d33 2e31 2e31 330a 2020 2d20 4e49  71-3.1.13.  - NI
│ │ │ +00235270: 5354 2d38 3030 2d31 3731 2d33 2e31 332e  ST-800-171-3.13.
│ │ │ +00235280: 3130 0a20 202d 204e 4953 542d 3830 302d  10.  - NIST-800-
│ │ │ +00235290: 3533 2d41 432d 3137 2861 290a 2020 2d20  53-AC-17(a).  - 
│ │ │ +002352a0: 4e49 5354 2d38 3030 2d35 332d 4143 2d36  NIST-800-53-AC-6
│ │ │ +002352b0: 2831 290a 2020 2d20 4e49 5354 2d38 3030  (1).  - NIST-800
│ │ │ +002352c0: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +002352d0: 5043 492d 4453 532d 5265 712d 322e 322e  PCI-DSS-Req-2.2.
│ │ │ +002352e0: 340a 2020 2d20 5043 492d 4453 5376 342d  4.  - PCI-DSSv4-
│ │ │ +002352f0: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ +00235300: 342d 322e 322e 360a 2020 2d20 636f 6e66  4-2.2.6.  - conf
│ │ │ +00235310: 6967 7572 655f 7374 7261 7465 6779 0a20  igure_strategy. 
│ │ │ +00235320: 202d 2066 696c 655f 7065 726d 6973 7369   - file_permissi
│ │ │ +00235330: 6f6e 735f 7373 6864 5f70 7269 7661 7465  ons_sshd_private
│ │ │ +00235340: 5f6b 6579 0a20 202d 206c 6f77 5f63 6f6d  _key.  - low_com
│ │ │ +00235350: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +00235360: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +00235370: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +00235380: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +00235390: 6465 640a 0a2d 206e 616d 653a 2053 6574  ded..- name: Set
│ │ │ +002353a0: 2070 6572 6d69 7373 696f 6e73 2066 6f72   permissions for
│ │ │ +002353b0: 2072 6f6f 743a 726f 6f74 2d6f 776e 6564   root:root-owned
│ │ │ +002353c0: 206b 6579 730a 2020 616e 7369 626c 652e   keys.  ansible.
│ │ │ +002353d0: 6275 696c 7469 6e2e 6669 6c65 3a0a 2020  builtin.file:.  
│ │ │ +002353e0: 2020 7061 7468 3a20 277b 7b20 6974 656d    path: '{{ item
│ │ │ +002353f0: 207d 7d27 0a20 2020 206d 6f64 653a 2075   }}'.    mode: u
│ │ │ +00235400: 2d78 732c 672d 7877 7273 2c6f 2d78 7772  -xs,g-xwrs,o-xwr
│ │ │ +00235410: 740a 2020 2020 7374 6174 653a 2066 696c  t.    state: fil
│ │ │ +00235420: 650a 2020 7769 7468 5f69 7465 6d73 3a0a  e.  with_items:.
│ │ │ +00235430: 2020 2d20 277b 7b20 726f 6f74 5f6f 776e    - '{{ root_own
│ │ │ +00235440: 6564 5f6b 6579 732e 7374 646f 7574 5f6c  ed_keys.stdout_l
│ │ │ +00235450: 696e 6573 207d 7d27 0a20 2077 6865 6e3a  ines }}'.  when:
│ │ │ +00235460: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ +00235470: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ +00235480: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ +00235490: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d31  :.  - NIST-800-1
│ │ │ +002354a0: 3731 2d33 2e31 2e31 330a 2020 2d20 4e49  71-3.1.13.  - NI
│ │ │ +002354b0: 5354 2d38 3030 2d31 3731 2d33 2e31 332e  ST-800-171-3.13.
│ │ │ +002354c0: 3130 0a20 202d 204e 4953 542d 3830 302d  10.  - NIST-800-
│ │ │ +002354d0: 3533 2d41 432d 3137 2861 290a 2020 2d20  53-AC-17(a).  - 
│ │ │ +002354e0: 4e49 5354 2d38 3030 2d35 332d 4143 2d36  NIST-800-53-AC-6
│ │ │ +002354f0: 2831 290a 2020 2d20 4e49 5354 2d38 3030  (1).  - NIST-800
│ │ │ +00235500: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +00235510: 5043 492d 4453 532d 5265 712d 322e 322e  PCI-DSS-Req-2.2.
│ │ │ +00235520: 340a 2020 2d20 5043 492d 4453 5376 342d  4.  - PCI-DSSv4-
│ │ │ +00235530: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ +00235540: 342d 322e 322e 360a 2020 2d20 636f 6e66  4-2.2.6.  - conf
│ │ │ +00235550: 6967 7572 655f 7374 7261 7465 6779 0a20  igure_strategy. 
│ │ │ +00235560: 202d 2066 696c 655f 7065 726d 6973 7369   - file_permissi
│ │ │ +00235570: 6f6e 735f 7373 6864 5f70 7269 7661 7465  ons_sshd_private
│ │ │ +00235580: 5f6b 6579 0a20 202d 206c 6f77 5f63 6f6d  _key.  - low_com
│ │ │ +00235590: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +002355a0: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +002355b0: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +002355c0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +002355d0: 6465 640a 3c2f 636f 6465 3e3c 2f70 7265  ded.</code></pre
│ │ │ +002355e0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +002355f0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +00235600: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +00235610: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +00235620: 7267 6574 3d22 2369 646d 3232 3232 3422  rget="#idm22224"
│ │ │ +00235630: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00235640: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00235650: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00235660: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00235670: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00235680: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +00235690: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +002356a0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +002356b0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +002356c0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +002356d0: 2220 6964 3d22 6964 6d32 3232 3234 223e  " id="idm22224">
│ │ │ +002356e0: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ +002356f0: 6465 2073 7368 5f70 7269 7661 7465 5f6b  de ssh_private_k
│ │ │ +00235700: 6579 5f70 6572 6d73 0a0a 636c 6173 7320  ey_perms..class 
│ │ │ +00235710: 7373 685f 7072 6976 6174 655f 6b65 795f  ssh_private_key_
│ │ │ +00235720: 7065 726d 7320 7b0a 2020 6578 6563 207b  perms {.  exec {
│ │ │ +00235730: 2027 7373 6864 5f70 7269 765f 6b65 7927   'sshd_priv_key'
│ │ │ +00235740: 3a0a 2020 2020 636f 6d6d 616e 6420 3d26  :.    command =&
│ │ │ +00235750: 6774 3b20 2263 686d 6f64 2030 3634 3020  gt; "chmod 0640 
│ │ │ +00235760: 2f65 7463 2f73 7368 2f2a 5f6b 6579 222c  /etc/ssh/*_key",
│ │ │ +00235770: 0a20 2020 2070 6174 6820 2020 203d 2667  .    path    =&g
│ │ │ +00235780: 743b 2027 2f62 696e 3a2f 7573 722f 6269  t; '/bin:/usr/bi
│ │ │ +00235790: 6e27 0a20 207d 0a7d 0a3c 2f63 6f64 653e  n'.  }.}.</code>
│ │ │  002357a0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │  002357b0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │  002357c0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │  002357d0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │  002357e0: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │  002357f0: 3232 3235 2220 7461 6269 6e64 6578 3d22  2225" tabindex="
│ │ │  00235800: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ @@ -145082,161 +145082,161 @@
│ │ │  00236b90: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  00236ba0: 2223 6964 6d32 3232 3937 2220 7461 6269  "#idm22297" tabi
│ │ │  00236bb0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │  00236bc0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │  00236bd0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │  00236be0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │  00236bf0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00236c00: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ -00236c10: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ -00236c20: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00236c30: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00236c40: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00236c50: 2269 646d 3232 3239 3722 3e3c 7072 653e  "idm22297"><pre>
│ │ │ -00236c60: 3c63 6f64 653e 696e 636c 7564 6520 7373  <code>include ss
│ │ │ -00236c70: 685f 7075 626c 6963 5f6b 6579 5f70 6572  h_public_key_per
│ │ │ -00236c80: 6d73 0a0a 636c 6173 7320 7373 685f 7075  ms..class ssh_pu
│ │ │ -00236c90: 626c 6963 5f6b 6579 5f70 6572 6d73 207b  blic_key_perms {
│ │ │ -00236ca0: 0a20 2065 7865 6320 7b20 2773 7368 645f  .  exec { 'sshd_
│ │ │ -00236cb0: 7075 625f 6b65 7927 3a0a 2020 2020 636f  pub_key':.    co
│ │ │ -00236cc0: 6d6d 616e 6420 3d26 6774 3b20 2263 686d  mmand =&gt; "chm
│ │ │ -00236cd0: 6f64 2030 3634 3420 2f65 7463 2f73 7368  od 0644 /etc/ssh
│ │ │ -00236ce0: 2f2a 2e70 7562 222c 0a20 2020 2070 6174  /*.pub",.    pat
│ │ │ -00236cf0: 6820 2020 203d 2667 743b 2027 2f62 696e  h    =&gt; '/bin
│ │ │ -00236d00: 3a2f 7573 722f 6269 6e27 0a20 207d 0a7d  :/usr/bin'.  }.}
│ │ │ -00236d10: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -00236d20: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -00236d30: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -00236d40: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -00236d50: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -00236d60: 743d 2223 6964 6d32 3232 3938 2220 7461  t="#idm22298" ta
│ │ │ -00236d70: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -00236d80: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -00236d90: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -00236da0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -00236db0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -00236dc0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00236dd0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ -00236de0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00236df0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00236e00: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00236e10: 6964 3d22 6964 6d32 3232 3938 223e 3c74  id="idm22298"><t
│ │ │ -00236e20: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -00236e30: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -00236e40: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -00236e50: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -00236e60: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -00236e70: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -00236e80: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00236e90: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -00236ea0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00236eb0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -00236ec0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00236ed0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00236ee0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -00236ef0: 7464 3e63 6f6e 6669 6775 7265 3c2f 7464  td>configure</td
│ │ │ -00236f00: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00236f10: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -00236f20: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -00236f30: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ -00236f40: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ -00236f50: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ -00236f60: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ -00236f70: 302d 3137 312d 332e 312e 3133 0a20 202d  0-171-3.1.13.  -
│ │ │ -00236f80: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ -00236f90: 3133 2e31 300a 2020 2d20 4e49 5354 2d38  13.10.  - NIST-8
│ │ │ -00236fa0: 3030 2d35 332d 4143 2d31 3728 6129 0a20  00-53-AC-17(a). 
│ │ │ -00236fb0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -00236fc0: 432d 3628 3129 0a20 202d 204e 4953 542d  C-6(1).  - NIST-
│ │ │ -00236fd0: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -00236fe0: 202d 2050 4349 2d44 5353 2d52 6571 2d32   - PCI-DSS-Req-2
│ │ │ -00236ff0: 2e32 2e34 0a20 202d 2050 4349 2d44 5353  .2.4.  - PCI-DSS
│ │ │ -00237000: 7634 2d32 2e32 0a20 202d 2050 4349 2d44  v4-2.2.  - PCI-D
│ │ │ -00237010: 5353 7634 2d32 2e32 2e36 0a20 202d 2063  SSv4-2.2.6.  - c
│ │ │ -00237020: 6f6e 6669 6775 7265 5f73 7472 6174 6567  onfigure_strateg
│ │ │ -00237030: 790a 2020 2d20 6669 6c65 5f70 6572 6d69  y.  - file_permi
│ │ │ -00237040: 7373 696f 6e73 5f73 7368 645f 7075 625f  ssions_sshd_pub_
│ │ │ -00237050: 6b65 790a 2020 2d20 6c6f 775f 636f 6d70  key.  - low_comp
│ │ │ -00237060: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -00237070: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ -00237080: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ -00237090: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -002370a0: 6564 0a0a 2d20 6e61 6d65 3a20 4669 6e64  ed..- name: Find
│ │ │ -002370b0: 202f 6574 632f 7373 682f 2066 696c 6528   /etc/ssh/ file(
│ │ │ -002370c0: 7329 0a20 2063 6f6d 6d61 6e64 3a20 6669  s).  command: fi
│ │ │ -002370d0: 6e64 202d 4820 2f65 7463 2f73 7368 2f20  nd -H /etc/ssh/ 
│ │ │ -002370e0: 2d6d 6178 6465 7074 6820 3120 2d70 6572  -maxdepth 1 -per
│ │ │ -002370f0: 6d20 2f75 2b78 732c 672b 7877 732c 6f2b  m /u+xs,g+xws,o+
│ │ │ -00237100: 7877 7420 202d 7479 7065 2066 202d 7265  xwt  -type f -re
│ │ │ -00237110: 6765 7874 7970 650a 2020 2020 706f 7369  gextype.    posi
│ │ │ -00237120: 782d 6578 7465 6e64 6564 202d 7265 6765  x-extended -rege
│ │ │ -00237130: 7820 225e 2e2a 5c2e 7075 6224 220a 2020  x "^.*\.pub$".  
│ │ │ -00237140: 7265 6769 7374 6572 3a20 6669 6c65 735f  register: files_
│ │ │ -00237150: 666f 756e 640a 2020 6368 616e 6765 645f  found.  changed_
│ │ │ -00237160: 7768 656e 3a20 6661 6c73 650a 2020 6661  when: false.  fa
│ │ │ -00237170: 696c 6564 5f77 6865 6e3a 2066 616c 7365  iled_when: false
│ │ │ -00237180: 0a20 2063 6865 636b 5f6d 6f64 653a 2066  .  check_mode: f
│ │ │ -00237190: 616c 7365 0a20 2077 6865 6e3a 2027 226c  alse.  when: '"l
│ │ │ -002371a0: 696e 7578 2d62 6173 6522 2069 6e20 616e  inux-base" in an
│ │ │ -002371b0: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ -002371c0: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ -002371d0: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33  - NIST-800-171-3
│ │ │ -002371e0: 2e31 2e31 330a 2020 2d20 4e49 5354 2d38  .1.13.  - NIST-8
│ │ │ -002371f0: 3030 2d31 3731 2d33 2e31 332e 3130 0a20  00-171-3.13.10. 
│ │ │ -00237200: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -00237210: 432d 3137 2861 290a 2020 2d20 4e49 5354  C-17(a).  - NIST
│ │ │ -00237220: 2d38 3030 2d35 332d 4143 2d36 2831 290a  -800-53-AC-6(1).
│ │ │ -00237230: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00237240: 434d 2d36 2861 290a 2020 2d20 5043 492d  CM-6(a).  - PCI-
│ │ │ -00237250: 4453 532d 5265 712d 322e 322e 340a 2020  DSS-Req-2.2.4.  
│ │ │ -00237260: 2d20 5043 492d 4453 5376 342d 322e 320a  - PCI-DSSv4-2.2.
│ │ │ -00237270: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ -00237280: 322e 360a 2020 2d20 636f 6e66 6967 7572  2.6.  - configur
│ │ │ -00237290: 655f 7374 7261 7465 6779 0a20 202d 2066  e_strategy.  - f
│ │ │ -002372a0: 696c 655f 7065 726d 6973 7369 6f6e 735f  ile_permissions_
│ │ │ -002372b0: 7373 6864 5f70 7562 5f6b 6579 0a20 202d  sshd_pub_key.  -
│ │ │ -002372c0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -002372d0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -002372e0: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ -002372f0: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ -00237300: 626f 6f74 5f6e 6565 6465 640a 0a2d 206e  boot_needed..- n
│ │ │ -00237310: 616d 653a 2053 6574 2070 6572 6d69 7373  ame: Set permiss
│ │ │ -00237320: 696f 6e73 2066 6f72 202f 6574 632f 7373  ions for /etc/ss
│ │ │ -00237330: 682f 2066 696c 6528 7329 0a20 2066 696c  h/ file(s).  fil
│ │ │ -00237340: 653a 0a20 2020 2070 6174 683a 2027 7b7b  e:.    path: '{{
│ │ │ -00237350: 2069 7465 6d20 7d7d 270a 2020 2020 6d6f   item }}'.    mo
│ │ │ -00237360: 6465 3a20 752d 7873 2c67 2d78 7773 2c6f  de: u-xs,g-xws,o
│ │ │ -00237370: 2d78 7774 0a20 2020 2073 7461 7465 3a20  -xwt.    state: 
│ │ │ -00237380: 6669 6c65 0a20 2077 6974 685f 6974 656d  file.  with_item
│ │ │ -00237390: 733a 0a20 202d 2027 7b7b 2066 696c 6573  s:.  - '{{ files
│ │ │ -002373a0: 5f66 6f75 6e64 2e73 7464 6f75 745f 6c69  _found.stdout_li
│ │ │ -002373b0: 6e65 7320 7d7d 270a 2020 7768 656e 3a20  nes }}'.  when: 
│ │ │ -002373c0: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ -002373d0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -002373e0: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ -002373f0: 0a20 202d 204e 4953 542d 3830 302d 3137  .  - NIST-800-17
│ │ │ -00237400: 312d 332e 312e 3133 0a20 202d 204e 4953  1-3.1.13.  - NIS
│ │ │ -00237410: 542d 3830 302d 3137 312d 332e 3133 2e31  T-800-171-3.13.1
│ │ │ -00237420: 300a 2020 2d20 4e49 5354 2d38 3030 2d35  0.  - NIST-800-5
│ │ │ -00237430: 332d 4143 2d31 3728 6129 0a20 202d 204e  3-AC-17(a).  - N
│ │ │ -00237440: 4953 542d 3830 302d 3533 2d41 432d 3628  IST-800-53-AC-6(
│ │ │ -00237450: 3129 0a20 202d 204e 4953 542d 3830 302d  1).  - NIST-800-
│ │ │ -00237460: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ -00237470: 4349 2d44 5353 2d52 6571 2d32 2e32 2e34  CI-DSS-Req-2.2.4
│ │ │ -00237480: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -00237490: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -002374a0: 2d32 2e32 2e36 0a20 202d 2063 6f6e 6669  -2.2.6.  - confi
│ │ │ -002374b0: 6775 7265 5f73 7472 6174 6567 790a 2020  gure_strategy.  
│ │ │ -002374c0: 2d20 6669 6c65 5f70 6572 6d69 7373 696f  - file_permissio
│ │ │ -002374d0: 6e73 5f73 7368 645f 7075 625f 6b65 790a  ns_sshd_pub_key.
│ │ │ -002374e0: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -002374f0: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -00237500: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ -00237510: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ -00237520: 5f72 6562 6f6f 745f 6e65 6564 6564 0a3c  _reboot_needed.<
│ │ │ +00236c00: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ +00236c10: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ +00236c20: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00236c30: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00236c40: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00236c50: 3d22 6964 6d32 3232 3937 223e 3c74 6162  ="idm22297"><tab
│ │ │ +00236c60: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00236c70: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00236c80: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00236c90: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00236ca0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00236cb0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00236cc0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +00236cd0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +00236ce0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00236cf0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +00236d00: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +00236d10: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +00236d20: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +00236d30: 3e63 6f6e 6669 6775 7265 3c2f 7464 3e3c  >configure</td><
│ │ │ +00236d40: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00236d50: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ +00236d60: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ +00236d70: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ +00236d80: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ +00236d90: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ +00236da0: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +00236db0: 3137 312d 332e 312e 3133 0a20 202d 204e  171-3.1.13.  - N
│ │ │ +00236dc0: 4953 542d 3830 302d 3137 312d 332e 3133  IST-800-171-3.13
│ │ │ +00236dd0: 2e31 300a 2020 2d20 4e49 5354 2d38 3030  .10.  - NIST-800
│ │ │ +00236de0: 2d35 332d 4143 2d31 3728 6129 0a20 202d  -53-AC-17(a).  -
│ │ │ +00236df0: 204e 4953 542d 3830 302d 3533 2d41 432d   NIST-800-53-AC-
│ │ │ +00236e00: 3628 3129 0a20 202d 204e 4953 542d 3830  6(1).  - NIST-80
│ │ │ +00236e10: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +00236e20: 2050 4349 2d44 5353 2d52 6571 2d32 2e32   PCI-DSS-Req-2.2
│ │ │ +00236e30: 2e34 0a20 202d 2050 4349 2d44 5353 7634  .4.  - PCI-DSSv4
│ │ │ +00236e40: 2d32 2e32 0a20 202d 2050 4349 2d44 5353  -2.2.  - PCI-DSS
│ │ │ +00236e50: 7634 2d32 2e32 2e36 0a20 202d 2063 6f6e  v4-2.2.6.  - con
│ │ │ +00236e60: 6669 6775 7265 5f73 7472 6174 6567 790a  figure_strategy.
│ │ │ +00236e70: 2020 2d20 6669 6c65 5f70 6572 6d69 7373    - file_permiss
│ │ │ +00236e80: 696f 6e73 5f73 7368 645f 7075 625f 6b65  ions_sshd_pub_ke
│ │ │ +00236e90: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00236ea0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00236eb0: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +00236ec0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +00236ed0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +00236ee0: 0a0a 2d20 6e61 6d65 3a20 4669 6e64 202f  ..- name: Find /
│ │ │ +00236ef0: 6574 632f 7373 682f 2066 696c 6528 7329  etc/ssh/ file(s)
│ │ │ +00236f00: 0a20 2063 6f6d 6d61 6e64 3a20 6669 6e64  .  command: find
│ │ │ +00236f10: 202d 4820 2f65 7463 2f73 7368 2f20 2d6d   -H /etc/ssh/ -m
│ │ │ +00236f20: 6178 6465 7074 6820 3120 2d70 6572 6d20  axdepth 1 -perm 
│ │ │ +00236f30: 2f75 2b78 732c 672b 7877 732c 6f2b 7877  /u+xs,g+xws,o+xw
│ │ │ +00236f40: 7420 202d 7479 7065 2066 202d 7265 6765  t  -type f -rege
│ │ │ +00236f50: 7874 7970 650a 2020 2020 706f 7369 782d  xtype.    posix-
│ │ │ +00236f60: 6578 7465 6e64 6564 202d 7265 6765 7820  extended -regex 
│ │ │ +00236f70: 225e 2e2a 5c2e 7075 6224 220a 2020 7265  "^.*\.pub$".  re
│ │ │ +00236f80: 6769 7374 6572 3a20 6669 6c65 735f 666f  gister: files_fo
│ │ │ +00236f90: 756e 640a 2020 6368 616e 6765 645f 7768  und.  changed_wh
│ │ │ +00236fa0: 656e 3a20 6661 6c73 650a 2020 6661 696c  en: false.  fail
│ │ │ +00236fb0: 6564 5f77 6865 6e3a 2066 616c 7365 0a20  ed_when: false. 
│ │ │ +00236fc0: 2063 6865 636b 5f6d 6f64 653a 2066 616c   check_mode: fal
│ │ │ +00236fd0: 7365 0a20 2077 6865 6e3a 2027 226c 696e  se.  when: '"lin
│ │ │ +00236fe0: 7578 2d62 6173 6522 2069 6e20 616e 7369  ux-base" in ansi
│ │ │ +00236ff0: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ +00237000: 6573 270a 2020 7461 6773 3a0a 2020 2d20  es'.  tags:.  - 
│ │ │ +00237010: 4e49 5354 2d38 3030 2d31 3731 2d33 2e31  NIST-800-171-3.1
│ │ │ +00237020: 2e31 330a 2020 2d20 4e49 5354 2d38 3030  .13.  - NIST-800
│ │ │ +00237030: 2d31 3731 2d33 2e31 332e 3130 0a20 202d  -171-3.13.10.  -
│ │ │ +00237040: 204e 4953 542d 3830 302d 3533 2d41 432d   NIST-800-53-AC-
│ │ │ +00237050: 3137 2861 290a 2020 2d20 4e49 5354 2d38  17(a).  - NIST-8
│ │ │ +00237060: 3030 2d35 332d 4143 2d36 2831 290a 2020  00-53-AC-6(1).  
│ │ │ +00237070: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +00237080: 2d36 2861 290a 2020 2d20 5043 492d 4453  -6(a).  - PCI-DS
│ │ │ +00237090: 532d 5265 712d 322e 322e 340a 2020 2d20  S-Req-2.2.4.  - 
│ │ │ +002370a0: 5043 492d 4453 5376 342d 322e 320a 2020  PCI-DSSv4-2.2.  
│ │ │ +002370b0: 2d20 5043 492d 4453 5376 342d 322e 322e  - PCI-DSSv4-2.2.
│ │ │ +002370c0: 360a 2020 2d20 636f 6e66 6967 7572 655f  6.  - configure_
│ │ │ +002370d0: 7374 7261 7465 6779 0a20 202d 2066 696c  strategy.  - fil
│ │ │ +002370e0: 655f 7065 726d 6973 7369 6f6e 735f 7373  e_permissions_ss
│ │ │ +002370f0: 6864 5f70 7562 5f6b 6579 0a20 202d 206c  hd_pub_key.  - l
│ │ │ +00237100: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +00237110: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +00237120: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ +00237130: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ +00237140: 6f74 5f6e 6565 6465 640a 0a2d 206e 616d  ot_needed..- nam
│ │ │ +00237150: 653a 2053 6574 2070 6572 6d69 7373 696f  e: Set permissio
│ │ │ +00237160: 6e73 2066 6f72 202f 6574 632f 7373 682f  ns for /etc/ssh/
│ │ │ +00237170: 2066 696c 6528 7329 0a20 2066 696c 653a   file(s).  file:
│ │ │ +00237180: 0a20 2020 2070 6174 683a 2027 7b7b 2069  .    path: '{{ i
│ │ │ +00237190: 7465 6d20 7d7d 270a 2020 2020 6d6f 6465  tem }}'.    mode
│ │ │ +002371a0: 3a20 752d 7873 2c67 2d78 7773 2c6f 2d78  : u-xs,g-xws,o-x
│ │ │ +002371b0: 7774 0a20 2020 2073 7461 7465 3a20 6669  wt.    state: fi
│ │ │ +002371c0: 6c65 0a20 2077 6974 685f 6974 656d 733a  le.  with_items:
│ │ │ +002371d0: 0a20 202d 2027 7b7b 2066 696c 6573 5f66  .  - '{{ files_f
│ │ │ +002371e0: 6f75 6e64 2e73 7464 6f75 745f 6c69 6e65  ound.stdout_line
│ │ │ +002371f0: 7320 7d7d 270a 2020 7768 656e 3a20 2722  s }}'.  when: '"
│ │ │ +00237200: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ +00237210: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ +00237220: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ +00237230: 202d 204e 4953 542d 3830 302d 3137 312d   - NIST-800-171-
│ │ │ +00237240: 332e 312e 3133 0a20 202d 204e 4953 542d  3.1.13.  - NIST-
│ │ │ +00237250: 3830 302d 3137 312d 332e 3133 2e31 300a  800-171-3.13.10.
│ │ │ +00237260: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00237270: 4143 2d31 3728 6129 0a20 202d 204e 4953  AC-17(a).  - NIS
│ │ │ +00237280: 542d 3830 302d 3533 2d41 432d 3628 3129  T-800-53-AC-6(1)
│ │ │ +00237290: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +002372a0: 2d43 4d2d 3628 6129 0a20 202d 2050 4349  -CM-6(a).  - PCI
│ │ │ +002372b0: 2d44 5353 2d52 6571 2d32 2e32 2e34 0a20  -DSS-Req-2.2.4. 
│ │ │ +002372c0: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +002372d0: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ +002372e0: 2e32 2e36 0a20 202d 2063 6f6e 6669 6775  .2.6.  - configu
│ │ │ +002372f0: 7265 5f73 7472 6174 6567 790a 2020 2d20  re_strategy.  - 
│ │ │ +00237300: 6669 6c65 5f70 6572 6d69 7373 696f 6e73  file_permissions
│ │ │ +00237310: 5f73 7368 645f 7075 625f 6b65 790a 2020  _sshd_pub_key.  
│ │ │ +00237320: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +00237330: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +00237340: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +00237350: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +00237360: 6562 6f6f 745f 6e65 6564 6564 0a3c 2f63  eboot_needed.</c
│ │ │ +00237370: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +00237380: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +00237390: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +002373a0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +002373b0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +002373c0: 6964 6d32 3232 3938 2220 7461 6269 6e64  idm22298" tabind
│ │ │ +002373d0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +002373e0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +002373f0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +00237400: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +00237410: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +00237420: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ +00237430: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ +00237440: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00237450: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00237460: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00237470: 646d 3232 3239 3822 3e3c 7072 653e 3c63  dm22298"><pre><c
│ │ │ +00237480: 6f64 653e 696e 636c 7564 6520 7373 685f  ode>include ssh_
│ │ │ +00237490: 7075 626c 6963 5f6b 6579 5f70 6572 6d73  public_key_perms
│ │ │ +002374a0: 0a0a 636c 6173 7320 7373 685f 7075 626c  ..class ssh_publ
│ │ │ +002374b0: 6963 5f6b 6579 5f70 6572 6d73 207b 0a20  ic_key_perms {. 
│ │ │ +002374c0: 2065 7865 6320 7b20 2773 7368 645f 7075   exec { 'sshd_pu
│ │ │ +002374d0: 625f 6b65 7927 3a0a 2020 2020 636f 6d6d  b_key':.    comm
│ │ │ +002374e0: 616e 6420 3d26 6774 3b20 2263 686d 6f64  and =&gt; "chmod
│ │ │ +002374f0: 2030 3634 3420 2f65 7463 2f73 7368 2f2a   0644 /etc/ssh/*
│ │ │ +00237500: 2e70 7562 222c 0a20 2020 2070 6174 6820  .pub",.    path 
│ │ │ +00237510: 2020 203d 2667 743b 2027 2f62 696e 3a2f     =&gt; '/bin:/
│ │ │ +00237520: 7573 722f 6269 6e27 0a20 207d 0a7d 0a3c  usr/bin'.  }.}.<
│ │ │  00237530: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  00237540: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │  00237550: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │  00237560: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │  00237570: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  00237580: 2223 6964 6d32 3232 3939 2220 7461 6269  "#idm22299" tabi
│ │ │  00237590: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ @@ -240803,153 +240803,153 @@
│ │ │  003aca20: 7267 6574 3d22 2369 646d 3234 3634 3722  rget="#idm24647"
│ │ │  003aca30: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  003aca40: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  003aca50: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  003aca60: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  003aca70: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  003aca80: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -003aca90: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ -003acaa0: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ -003acab0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -003acac0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -003acad0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -003acae0: 2269 646d 3234 3634 3722 3e3c 7072 653e  "idm24647"><pre>
│ │ │ -003acaf0: 3c63 6f64 653e 0a5b 5b70 6163 6b61 6765  <code>.[[package
│ │ │ -003acb00: 735d 5d0a 6e61 6d65 203d 2022 6175 6469  s]].name = "audi
│ │ │ -003acb10: 7464 220a 7665 7273 696f 6e20 3d20 222a  td".version = "*
│ │ │ -003acb20: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │ -003acb30: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -003acb40: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -003acb50: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -003acb60: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -003acb70: 6574 3d22 2369 646d 3234 3634 3822 2074  et="#idm24648" t
│ │ │ -003acb80: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -003acb90: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -003acba0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -003acbb0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -003acbc0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -003acbd0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -003acbe0: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -003acbf0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -003acc00: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -003acc10: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -003acc20: 6964 3d22 6964 6d32 3436 3438 223e 3c74  id="idm24648"><t
│ │ │ -003acc30: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -003acc40: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -003acc50: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -003acc60: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -003acc70: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -003acc80: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -003acc90: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -003acca0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -003accb0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -003accc0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -003accd0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -003acce0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -003accf0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -003acd00: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -003acd10: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -003acd20: 3c63 6f64 653e 696e 636c 7564 6520 696e  <code>include in
│ │ │ -003acd30: 7374 616c 6c5f 6175 6469 7464 0a0a 636c  stall_auditd..cl
│ │ │ -003acd40: 6173 7320 696e 7374 616c 6c5f 6175 6469  ass install_audi
│ │ │ -003acd50: 7464 207b 0a20 2070 6163 6b61 6765 207b  td {.  package {
│ │ │ -003acd60: 2027 6175 6469 7464 273a 0a20 2020 2065   'auditd':.    e
│ │ │ -003acd70: 6e73 7572 6520 3d26 6774 3b20 2769 6e73  nsure =&gt; 'ins
│ │ │ -003acd80: 7461 6c6c 6564 272c 0a20 207d 0a7d 0a3c  talled',.  }.}.<
│ │ │ -003acd90: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -003acda0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -003acdb0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -003acdc0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -003acdd0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -003acde0: 2223 6964 6d32 3436 3439 2220 7461 6269  "#idm24649" tabi
│ │ │ -003acdf0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -003ace00: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -003ace10: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -003ace20: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -003ace30: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -003ace40: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -003ace50: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -003ace60: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -003ace70: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -003ace80: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -003ace90: 3d22 6964 6d32 3436 3439 223e 3c74 6162  ="idm24649"><tab
│ │ │ -003acea0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -003aceb0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -003acec0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -003aced0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -003acee0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -003acef0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -003acf00: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -003acf10: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -003acf20: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -003acf30: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -003acf40: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -003acf50: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -003acf60: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -003acf70: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -003acf80: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -003acf90: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ -003acfa0: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ -003acfb0: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ -003acfc0: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ -003acfd0: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ -003acfe0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -003acff0: 4143 2d37 2861 290a 2020 2d20 4e49 5354  AC-7(a).  - NIST
│ │ │ -003ad000: 2d38 3030 2d35 332d 4155 2d31 3228 3229  -800-53-AU-12(2)
│ │ │ -003ad010: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -003ad020: 2d41 552d 3134 0a20 202d 204e 4953 542d  -AU-14.  - NIST-
│ │ │ -003ad030: 3830 302d 3533 2d41 552d 3228 6129 0a20  800-53-AU-2(a). 
│ │ │ -003ad040: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -003ad050: 552d 3728 3129 0a20 202d 204e 4953 542d  U-7(1).  - NIST-
│ │ │ -003ad060: 3830 302d 3533 2d41 552d 3728 3229 0a20  800-53-AU-7(2). 
│ │ │ -003ad070: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -003ad080: 4d2d 3628 6129 0a20 202d 2050 4349 2d44  M-6(a).  - PCI-D
│ │ │ -003ad090: 5353 2d52 6571 2d31 302e 310a 2020 2d20  SS-Req-10.1.  - 
│ │ │ -003ad0a0: 5043 492d 4453 5376 342d 3130 2e32 0a20  PCI-DSSv4-10.2. 
│ │ │ -003ad0b0: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ -003ad0c0: 322e 310a 2020 2d20 656e 6162 6c65 5f73  2.1.  - enable_s
│ │ │ -003ad0d0: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -003ad0e0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -003ad0f0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -003ad100: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -003ad110: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -003ad120: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -003ad130: 6765 5f61 7564 6974 5f69 6e73 7461 6c6c  ge_audit_install
│ │ │ -003ad140: 6564 0a0a 2d20 6e61 6d65 3a20 456e 7375  ed..- name: Ensu
│ │ │ -003ad150: 7265 2061 7564 6974 6420 6973 2069 6e73  re auditd is ins
│ │ │ -003ad160: 7461 6c6c 6564 0a20 2070 6163 6b61 6765  talled.  package
│ │ │ -003ad170: 3a0a 2020 2020 6e61 6d65 3a20 6175 6469  :.    name: audi
│ │ │ -003ad180: 7464 0a20 2020 2073 7461 7465 3a20 7072  td.    state: pr
│ │ │ -003ad190: 6573 656e 740a 2020 7768 656e 3a20 2722  esent.  when: '"
│ │ │ -003ad1a0: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ -003ad1b0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ -003ad1c0: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ -003ad1d0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -003ad1e0: 432d 3728 6129 0a20 202d 204e 4953 542d  C-7(a).  - NIST-
│ │ │ -003ad1f0: 3830 302d 3533 2d41 552d 3132 2832 290a  800-53-AU-12(2).
│ │ │ -003ad200: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -003ad210: 4155 2d31 340a 2020 2d20 4e49 5354 2d38  AU-14.  - NIST-8
│ │ │ -003ad220: 3030 2d35 332d 4155 2d32 2861 290a 2020  00-53-AU-2(a).  
│ │ │ -003ad230: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ -003ad240: 2d37 2831 290a 2020 2d20 4e49 5354 2d38  -7(1).  - NIST-8
│ │ │ -003ad250: 3030 2d35 332d 4155 2d37 2832 290a 2020  00-53-AU-7(2).  
│ │ │ -003ad260: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -003ad270: 2d36 2861 290a 2020 2d20 5043 492d 4453  -6(a).  - PCI-DS
│ │ │ -003ad280: 532d 5265 712d 3130 2e31 0a20 202d 2050  S-Req-10.1.  - P
│ │ │ -003ad290: 4349 2d44 5353 7634 2d31 302e 320a 2020  CI-DSSv4-10.2.  
│ │ │ -003ad2a0: 2d20 5043 492d 4453 5376 342d 3130 2e32  - PCI-DSSv4-10.2
│ │ │ -003ad2b0: 2e31 0a20 202d 2065 6e61 626c 655f 7374  .1.  - enable_st
│ │ │ -003ad2c0: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -003ad2d0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -003ad2e0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -003ad2f0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -003ad300: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -003ad310: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ -003ad320: 655f 6175 6469 745f 696e 7374 616c 6c65  e_audit_installe
│ │ │ -003ad330: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +003aca90: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +003acaa0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +003acab0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +003acac0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +003acad0: 6522 2069 643d 2269 646d 3234 3634 3722  e" id="idm24647"
│ │ │ +003acae0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +003acaf0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +003acb00: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +003acb10: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +003acb20: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +003acb30: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +003acb40: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +003acb50: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +003acb60: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +003acb70: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +003acb80: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +003acb90: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +003acba0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +003acbb0: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +003acbc0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +003acbd0: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +003acbe0: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ +003acbf0: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ +003acc00: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ +003acc10: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ +003acc20: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +003acc30: 302d 3533 2d41 432d 3728 6129 0a20 202d  0-53-AC-7(a).  -
│ │ │ +003acc40: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +003acc50: 3132 2832 290a 2020 2d20 4e49 5354 2d38  12(2).  - NIST-8
│ │ │ +003acc60: 3030 2d35 332d 4155 2d31 340a 2020 2d20  00-53-AU-14.  - 
│ │ │ +003acc70: 4e49 5354 2d38 3030 2d35 332d 4155 2d32  NIST-800-53-AU-2
│ │ │ +003acc80: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ +003acc90: 2d35 332d 4155 2d37 2831 290a 2020 2d20  -53-AU-7(1).  - 
│ │ │ +003acca0: 4e49 5354 2d38 3030 2d35 332d 4155 2d37  NIST-800-53-AU-7
│ │ │ +003accb0: 2832 290a 2020 2d20 4e49 5354 2d38 3030  (2).  - NIST-800
│ │ │ +003accc0: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +003accd0: 5043 492d 4453 532d 5265 712d 3130 2e31  PCI-DSS-Req-10.1
│ │ │ +003acce0: 0a20 202d 2050 4349 2d44 5353 7634 2d31  .  - PCI-DSSv4-1
│ │ │ +003accf0: 302e 320a 2020 2d20 5043 492d 4453 5376  0.2.  - PCI-DSSv
│ │ │ +003acd00: 342d 3130 2e32 2e31 0a20 202d 2065 6e61  4-10.2.1.  - ena
│ │ │ +003acd10: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +003acd20: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +003acd30: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +003acd40: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ +003acd50: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +003acd60: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +003acd70: 7061 636b 6167 655f 6175 6469 745f 696e  package_audit_in
│ │ │ +003acd80: 7374 616c 6c65 640a 0a2d 206e 616d 653a  stalled..- name:
│ │ │ +003acd90: 2045 6e73 7572 6520 6175 6469 7464 2069   Ensure auditd i
│ │ │ +003acda0: 7320 696e 7374 616c 6c65 640a 2020 7061  s installed.  pa
│ │ │ +003acdb0: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ +003acdc0: 2061 7564 6974 640a 2020 2020 7374 6174   auditd.    stat
│ │ │ +003acdd0: 653a 2070 7265 7365 6e74 0a20 2077 6865  e: present.  whe
│ │ │ +003acde0: 6e3a 2027 226c 696e 7578 2d62 6173 6522  n: '"linux-base"
│ │ │ +003acdf0: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ +003ace00: 732e 7061 636b 6167 6573 270a 2020 7461  s.packages'.  ta
│ │ │ +003ace10: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +003ace20: 2d35 332d 4143 2d37 2861 290a 2020 2d20  -53-AC-7(a).  - 
│ │ │ +003ace30: 4e49 5354 2d38 3030 2d35 332d 4155 2d31  NIST-800-53-AU-1
│ │ │ +003ace40: 3228 3229 0a20 202d 204e 4953 542d 3830  2(2).  - NIST-80
│ │ │ +003ace50: 302d 3533 2d41 552d 3134 0a20 202d 204e  0-53-AU-14.  - N
│ │ │ +003ace60: 4953 542d 3830 302d 3533 2d41 552d 3228  IST-800-53-AU-2(
│ │ │ +003ace70: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +003ace80: 3533 2d41 552d 3728 3129 0a20 202d 204e  53-AU-7(1).  - N
│ │ │ +003ace90: 4953 542d 3830 302d 3533 2d41 552d 3728  IST-800-53-AU-7(
│ │ │ +003acea0: 3229 0a20 202d 204e 4953 542d 3830 302d  2).  - NIST-800-
│ │ │ +003aceb0: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ +003acec0: 4349 2d44 5353 2d52 6571 2d31 302e 310a  CI-DSS-Req-10.1.
│ │ │ +003aced0: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ +003acee0: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ +003acef0: 2d31 302e 322e 310a 2020 2d20 656e 6162  -10.2.1.  - enab
│ │ │ +003acf00: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +003acf10: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +003acf20: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +003acf30: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +003acf40: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +003acf50: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +003acf60: 6163 6b61 6765 5f61 7564 6974 5f69 6e73  ackage_audit_ins
│ │ │ +003acf70: 7461 6c6c 6564 0a3c 2f63 6f64 653e 3c2f  talled.</code></
│ │ │ +003acf80: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +003acf90: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +003acfa0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +003acfb0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +003acfc0: 2d74 6172 6765 743d 2223 6964 6d32 3436  -target="#idm246
│ │ │ +003acfd0: 3438 2220 7461 6269 6e64 6578 3d22 3022  48" tabindex="0"
│ │ │ +003acfe0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +003acff0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +003ad000: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +003ad010: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +003ad020: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +003ad030: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ +003ad040: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +003ad050: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +003ad060: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +003ad070: 7073 6522 2069 643d 2269 646d 3234 3634  pse" id="idm2464
│ │ │ +003ad080: 3822 3e3c 7461 626c 6520 636c 6173 733d  8"><table class=
│ │ │ +003ad090: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +003ad0a0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +003ad0b0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +003ad0c0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +003ad0d0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +003ad0e0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +003ad0f0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +003ad100: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +003ad110: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +003ad120: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +003ad130: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +003ad140: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +003ad150: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ +003ad160: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +003ad170: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ +003ad180: 6465 2069 6e73 7461 6c6c 5f61 7564 6974  de install_audit
│ │ │ +003ad190: 640a 0a63 6c61 7373 2069 6e73 7461 6c6c  d..class install
│ │ │ +003ad1a0: 5f61 7564 6974 6420 7b0a 2020 7061 636b  _auditd {.  pack
│ │ │ +003ad1b0: 6167 6520 7b20 2761 7564 6974 6427 3a0a  age { 'auditd':.
│ │ │ +003ad1c0: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ +003ad1d0: 2027 696e 7374 616c 6c65 6427 2c0a 2020   'installed',.  
│ │ │ +003ad1e0: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ +003ad1f0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +003ad200: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +003ad210: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +003ad220: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +003ad230: 7267 6574 3d22 2369 646d 3234 3634 3922  rget="#idm24649"
│ │ │ +003ad240: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +003ad250: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +003ad260: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +003ad270: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +003ad280: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +003ad290: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +003ad2a0: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ +003ad2b0: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ +003ad2c0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +003ad2d0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +003ad2e0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +003ad2f0: 2269 646d 3234 3634 3922 3e3c 7072 653e  "idm24649"><pre>
│ │ │ +003ad300: 3c63 6f64 653e 0a5b 5b70 6163 6b61 6765  <code>.[[package
│ │ │ +003ad310: 735d 5d0a 6e61 6d65 203d 2022 6175 6469  s]].name = "audi
│ │ │ +003ad320: 7464 220a 7665 7273 696f 6e20 3d20 222a  td".version = "*
│ │ │ +003ad330: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │  003ad340: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │  003ad350: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │  003ad360: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │  003ad370: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │  003ad380: 6574 3d22 2369 646d 3234 3635 3022 2074  et="#idm24650" t
│ │ │  003ad390: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  003ad3a0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ @@ -241410,191 +241410,191 @@
│ │ │  003af010: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │  003af020: 3438 3438 2220 7461 6269 6e64 6578 3d22  4848" tabindex="
│ │ │  003af030: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │  003af040: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │  003af050: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │  003af060: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │  003af070: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -003af080: 6469 6174 696f 6e20 4f53 4275 696c 6420  diation OSBuild 
│ │ │ -003af090: 426c 7565 7072 696e 7420 736e 6970 7065  Blueprint snippe
│ │ │ -003af0a0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -003af0b0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -003af0c0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -003af0d0: 2220 6964 3d22 6964 6d32 3438 3438 223e  " id="idm24848">
│ │ │ -003af0e0: 3c70 7265 3e3c 636f 6465 3e0a 5b63 7573  <pre><code>.[cus
│ │ │ -003af0f0: 746f 6d69 7a61 7469 6f6e 732e 7365 7276  tomizations.serv
│ │ │ -003af100: 6963 6573 5d0a 656e 6162 6c65 6420 3d20  ices].enabled = 
│ │ │ -003af110: 5b22 6175 6469 7464 225d 0a3c 2f63 6f64  ["auditd"].</cod
│ │ │ -003af120: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -003af130: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -003af140: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -003af150: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -003af160: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -003af170: 6d32 3438 3439 2220 7461 6269 6e64 6578  m24849" tabindex
│ │ │ -003af180: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -003af190: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -003af1a0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -003af1b0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -003af1c0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -003af1d0: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -003af1e0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -003af1f0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -003af200: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -003af210: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -003af220: 3234 3834 3922 3e3c 7461 626c 6520 636c  24849"><table cl
│ │ │ -003af230: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -003af240: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -003af250: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -003af260: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -003af270: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -003af280: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -003af290: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -003af2a0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -003af2b0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -003af2c0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -003af2d0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -003af2e0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -003af2f0: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -003af300: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -003af310: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ -003af320: 6e63 6c75 6465 2065 6e61 626c 655f 6175  nclude enable_au
│ │ │ -003af330: 6469 7464 0a0a 636c 6173 7320 656e 6162  ditd..class enab
│ │ │ -003af340: 6c65 5f61 7564 6974 6420 7b0a 2020 7365  le_auditd {.  se
│ │ │ -003af350: 7276 6963 6520 7b27 6175 6469 7464 273a  rvice {'auditd':
│ │ │ -003af360: 0a20 2020 2065 6e61 626c 6520 3d26 6774  .    enable =&gt
│ │ │ -003af370: 3b20 7472 7565 2c0a 2020 2020 656e 7375  ; true,.    ensu
│ │ │ -003af380: 7265 203d 2667 743b 2027 7275 6e6e 696e  re =&gt; 'runnin
│ │ │ -003af390: 6727 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  g',.  }.}.</code
│ │ │ -003af3a0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -003af3b0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -003af3c0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -003af3d0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -003af3e0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -003af3f0: 3234 3835 3022 2074 6162 696e 6465 783d  24850" tabindex=
│ │ │ -003af400: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -003af410: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -003af420: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -003af430: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -003af440: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -003af450: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ -003af460: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -003af470: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -003af480: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -003af490: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -003af4a0: 3234 3835 3022 3e3c 7461 626c 6520 636c  24850"><table cl
│ │ │ -003af4b0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -003af4c0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -003af4d0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -003af4e0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -003af4f0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -003af500: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -003af510: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -003af520: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -003af530: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -003af540: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -003af550: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -003af560: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -003af570: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -003af580: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -003af590: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -003af5a0: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ -003af5b0: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ -003af5c0: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ -003af5d0: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ -003af5e0: 746f 0a20 2074 6167 733a 0a20 202d 2043  to.  tags:.  - C
│ │ │ -003af5f0: 4a49 532d 352e 342e 312e 310a 2020 2d20  JIS-5.4.1.1.  - 
│ │ │ -003af600: 4e49 5354 2d38 3030 2d31 3731 2d33 2e33  NIST-800-171-3.3
│ │ │ -003af610: 2e31 0a20 202d 204e 4953 542d 3830 302d  .1.  - NIST-800-
│ │ │ -003af620: 3137 312d 332e 332e 320a 2020 2d20 4e49  171-3.3.2.  - NI
│ │ │ -003af630: 5354 2d38 3030 2d31 3731 2d33 2e33 2e36  ST-800-171-3.3.6
│ │ │ -003af640: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -003af650: 2d41 432d 3228 6729 0a20 202d 204e 4953  -AC-2(g).  - NIS
│ │ │ -003af660: 542d 3830 302d 3533 2d41 432d 3628 3929  T-800-53-AC-6(9)
│ │ │ -003af670: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -003af680: 2d41 552d 3130 0a20 202d 204e 4953 542d  -AU-10.  - NIST-
│ │ │ -003af690: 3830 302d 3533 2d41 552d 3132 2863 290a  800-53-AU-12(c).
│ │ │ -003af6a0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -003af6b0: 4155 2d31 3428 3129 0a20 202d 204e 4953  AU-14(1).  - NIS
│ │ │ -003af6c0: 542d 3830 302d 3533 2d41 552d 3228 6429  T-800-53-AU-2(d)
│ │ │ -003af6d0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -003af6e0: 2d41 552d 330a 2020 2d20 4e49 5354 2d38  -AU-3.  - NIST-8
│ │ │ -003af6f0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ -003af700: 2d20 4e49 5354 2d38 3030 2d35 332d 5349  - NIST-800-53-SI
│ │ │ -003af710: 2d34 2832 3329 0a20 202d 2050 4349 2d44  -4(23).  - PCI-D
│ │ │ -003af720: 5353 2d52 6571 2d31 302e 310a 2020 2d20  SS-Req-10.1.  - 
│ │ │ -003af730: 5043 492d 4453 5376 342d 3130 2e32 0a20  PCI-DSSv4-10.2. 
│ │ │ -003af740: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ -003af750: 322e 310a 2020 2d20 656e 6162 6c65 5f73  2.1.  - enable_s
│ │ │ -003af760: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -003af770: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -003af780: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -003af790: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -003af7a0: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -003af7b0: 6e65 6564 6564 0a20 202d 2073 6572 7669  needed.  - servi
│ │ │ -003af7c0: 6365 5f61 7564 6974 645f 656e 6162 6c65  ce_auditd_enable
│ │ │ -003af7d0: 640a 0a2d 206e 616d 653a 2045 6e61 626c  d..- name: Enabl
│ │ │ -003af7e0: 6520 6175 6469 7464 2053 6572 7669 6365  e auditd Service
│ │ │ -003af7f0: 202d 2045 6e61 626c 6520 7365 7276 6963   - Enable servic
│ │ │ -003af800: 6520 6175 6469 7464 0a20 2062 6c6f 636b  e auditd.  block
│ │ │ -003af810: 3a0a 0a20 202d 206e 616d 653a 2047 6174  :..  - name: Gat
│ │ │ -003af820: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ -003af830: 6661 6374 730a 2020 2020 7061 636b 6167  facts.    packag
│ │ │ -003af840: 655f 6661 6374 733a 0a20 2020 2020 206d  e_facts:.      m
│ │ │ -003af850: 616e 6167 6572 3a20 6175 746f 0a0a 2020  anager: auto..  
│ │ │ -003af860: 2d20 6e61 6d65 3a20 456e 6162 6c65 2061  - name: Enable a
│ │ │ -003af870: 7564 6974 6420 5365 7276 6963 6520 2d20  uditd Service - 
│ │ │ -003af880: 456e 6162 6c65 2053 6572 7669 6365 2061  Enable Service a
│ │ │ -003af890: 7564 6974 640a 2020 2020 616e 7369 626c  uditd.    ansibl
│ │ │ -003af8a0: 652e 6275 696c 7469 6e2e 7379 7374 656d  e.builtin.system
│ │ │ -003af8b0: 643a 0a20 2020 2020 206e 616d 653a 2061  d:.      name: a
│ │ │ -003af8c0: 7564 6974 640a 2020 2020 2020 656e 6162  uditd.      enab
│ │ │ -003af8d0: 6c65 643a 2074 7275 650a 2020 2020 2020  led: true.      
│ │ │ -003af8e0: 7374 6174 653a 2073 7461 7274 6564 0a20  state: started. 
│ │ │ -003af8f0: 2020 2020 206d 6173 6b65 643a 2066 616c       masked: fal
│ │ │ -003af900: 7365 0a20 2020 2077 6865 6e3a 0a20 2020  se.    when:.   
│ │ │ -003af910: 202d 2027 2261 7564 6974 6422 2069 6e20   - '"auditd" in 
│ │ │ -003af920: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ -003af930: 636b 6167 6573 270a 2020 7768 656e 3a0a  ckages'.  when:.
│ │ │ -003af940: 2020 2d20 2722 6c69 6e75 782d 6261 7365    - '"linux-base
│ │ │ -003af950: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ -003af960: 7473 2e70 6163 6b61 6765 7327 0a20 202d  ts.packages'.  -
│ │ │ -003af970: 2027 2261 7564 6974 6422 2069 6e20 616e   '"auditd" in an
│ │ │ -003af980: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ -003af990: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ -003af9a0: 2d20 434a 4953 2d35 2e34 2e31 2e31 0a20  - CJIS-5.4.1.1. 
│ │ │ -003af9b0: 202d 204e 4953 542d 3830 302d 3137 312d   - NIST-800-171-
│ │ │ -003af9c0: 332e 332e 310a 2020 2d20 4e49 5354 2d38  3.3.1.  - NIST-8
│ │ │ -003af9d0: 3030 2d31 3731 2d33 2e33 2e32 0a20 202d  00-171-3.3.2.  -
│ │ │ -003af9e0: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ -003af9f0: 332e 360a 2020 2d20 4e49 5354 2d38 3030  3.6.  - NIST-800
│ │ │ -003afa00: 2d35 332d 4143 2d32 2867 290a 2020 2d20  -53-AC-2(g).  - 
│ │ │ -003afa10: 4e49 5354 2d38 3030 2d35 332d 4143 2d36  NIST-800-53-AC-6
│ │ │ -003afa20: 2839 290a 2020 2d20 4e49 5354 2d38 3030  (9).  - NIST-800
│ │ │ -003afa30: 2d35 332d 4155 2d31 300a 2020 2d20 4e49  -53-AU-10.  - NI
│ │ │ -003afa40: 5354 2d38 3030 2d35 332d 4155 2d31 3228  ST-800-53-AU-12(
│ │ │ -003afa50: 6329 0a20 202d 204e 4953 542d 3830 302d  c).  - NIST-800-
│ │ │ -003afa60: 3533 2d41 552d 3134 2831 290a 2020 2d20  53-AU-14(1).  - 
│ │ │ -003afa70: 4e49 5354 2d38 3030 2d35 332d 4155 2d32  NIST-800-53-AU-2
│ │ │ -003afa80: 2864 290a 2020 2d20 4e49 5354 2d38 3030  (d).  - NIST-800
│ │ │ -003afa90: 2d35 332d 4155 2d33 0a20 202d 204e 4953  -53-AU-3.  - NIS
│ │ │ -003afaa0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -003afab0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -003afac0: 2d53 492d 3428 3233 290a 2020 2d20 5043  -SI-4(23).  - PC
│ │ │ -003afad0: 492d 4453 532d 5265 712d 3130 2e31 0a20  I-DSS-Req-10.1. 
│ │ │ -003afae0: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ -003afaf0: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ -003afb00: 3130 2e32 2e31 0a20 202d 2065 6e61 626c  10.2.1.  - enabl
│ │ │ -003afb10: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -003afb20: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -003afb30: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -003afb40: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -003afb50: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -003afb60: 6f74 5f6e 6565 6465 640a 2020 2d20 7365  ot_needed.  - se
│ │ │ -003afb70: 7276 6963 655f 6175 6469 7464 5f65 6e61  rvice_auditd_ena
│ │ │ -003afb80: 626c 6564 0a3c 2f63 6f64 653e 3c2f 7072  bled.</code></pr
│ │ │ +003af080: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ +003af090: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +003af0a0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +003af0b0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +003af0c0: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ +003af0d0: 3438 3438 223e 3c74 6162 6c65 2063 6c61  4848"><table cla
│ │ │ +003af0e0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +003af0f0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +003af100: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +003af110: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +003af120: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +003af130: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +003af140: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +003af150: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +003af160: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +003af170: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +003af180: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +003af190: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +003af1a0: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ +003af1b0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +003af1c0: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ +003af1d0: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ +003af1e0: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ +003af1f0: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ +003af200: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ +003af210: 6f0a 2020 7461 6773 3a0a 2020 2d20 434a  o.  tags:.  - CJ
│ │ │ +003af220: 4953 2d35 2e34 2e31 2e31 0a20 202d 204e  IS-5.4.1.1.  - N
│ │ │ +003af230: 4953 542d 3830 302d 3137 312d 332e 332e  IST-800-171-3.3.
│ │ │ +003af240: 310a 2020 2d20 4e49 5354 2d38 3030 2d31  1.  - NIST-800-1
│ │ │ +003af250: 3731 2d33 2e33 2e32 0a20 202d 204e 4953  71-3.3.2.  - NIS
│ │ │ +003af260: 542d 3830 302d 3137 312d 332e 332e 360a  T-800-171-3.3.6.
│ │ │ +003af270: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +003af280: 4143 2d32 2867 290a 2020 2d20 4e49 5354  AC-2(g).  - NIST
│ │ │ +003af290: 2d38 3030 2d35 332d 4143 2d36 2839 290a  -800-53-AC-6(9).
│ │ │ +003af2a0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +003af2b0: 4155 2d31 300a 2020 2d20 4e49 5354 2d38  AU-10.  - NIST-8
│ │ │ +003af2c0: 3030 2d35 332d 4155 2d31 3228 6329 0a20  00-53-AU-12(c). 
│ │ │ +003af2d0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +003af2e0: 552d 3134 2831 290a 2020 2d20 4e49 5354  U-14(1).  - NIST
│ │ │ +003af2f0: 2d38 3030 2d35 332d 4155 2d32 2864 290a  -800-53-AU-2(d).
│ │ │ +003af300: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +003af310: 4155 2d33 0a20 202d 204e 4953 542d 3830  AU-3.  - NIST-80
│ │ │ +003af320: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +003af330: 204e 4953 542d 3830 302d 3533 2d53 492d   NIST-800-53-SI-
│ │ │ +003af340: 3428 3233 290a 2020 2d20 5043 492d 4453  4(23).  - PCI-DS
│ │ │ +003af350: 532d 5265 712d 3130 2e31 0a20 202d 2050  S-Req-10.1.  - P
│ │ │ +003af360: 4349 2d44 5353 7634 2d31 302e 320a 2020  CI-DSSv4-10.2.  
│ │ │ +003af370: 2d20 5043 492d 4453 5376 342d 3130 2e32  - PCI-DSSv4-10.2
│ │ │ +003af380: 2e31 0a20 202d 2065 6e61 626c 655f 7374  .1.  - enable_st
│ │ │ +003af390: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +003af3a0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +003af3b0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +003af3c0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +003af3d0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +003af3e0: 6565 6465 640a 2020 2d20 7365 7276 6963  eeded.  - servic
│ │ │ +003af3f0: 655f 6175 6469 7464 5f65 6e61 626c 6564  e_auditd_enabled
│ │ │ +003af400: 0a0a 2d20 6e61 6d65 3a20 456e 6162 6c65  ..- name: Enable
│ │ │ +003af410: 2061 7564 6974 6420 5365 7276 6963 6520   auditd Service 
│ │ │ +003af420: 2d20 456e 6162 6c65 2073 6572 7669 6365  - Enable service
│ │ │ +003af430: 2061 7564 6974 640a 2020 626c 6f63 6b3a   auditd.  block:
│ │ │ +003af440: 0a0a 2020 2d20 6e61 6d65 3a20 4761 7468  ..  - name: Gath
│ │ │ +003af450: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ +003af460: 6163 7473 0a20 2020 2070 6163 6b61 6765  acts.    package
│ │ │ +003af470: 5f66 6163 7473 3a0a 2020 2020 2020 6d61  _facts:.      ma
│ │ │ +003af480: 6e61 6765 723a 2061 7574 6f0a 0a20 202d  nager: auto..  -
│ │ │ +003af490: 206e 616d 653a 2045 6e61 626c 6520 6175   name: Enable au
│ │ │ +003af4a0: 6469 7464 2053 6572 7669 6365 202d 2045  ditd Service - E
│ │ │ +003af4b0: 6e61 626c 6520 5365 7276 6963 6520 6175  nable Service au
│ │ │ +003af4c0: 6469 7464 0a20 2020 2061 6e73 6962 6c65  ditd.    ansible
│ │ │ +003af4d0: 2e62 7569 6c74 696e 2e73 7973 7465 6d64  .builtin.systemd
│ │ │ +003af4e0: 3a0a 2020 2020 2020 6e61 6d65 3a20 6175  :.      name: au
│ │ │ +003af4f0: 6469 7464 0a20 2020 2020 2065 6e61 626c  ditd.      enabl
│ │ │ +003af500: 6564 3a20 7472 7565 0a20 2020 2020 2073  ed: true.      s
│ │ │ +003af510: 7461 7465 3a20 7374 6172 7465 640a 2020  tate: started.  
│ │ │ +003af520: 2020 2020 6d61 736b 6564 3a20 6661 6c73      masked: fals
│ │ │ +003af530: 650a 2020 2020 7768 656e 3a0a 2020 2020  e.    when:.    
│ │ │ +003af540: 2d20 2722 6175 6469 7464 2220 696e 2061  - '"auditd" in a
│ │ │ +003af550: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ +003af560: 6b61 6765 7327 0a20 2077 6865 6e3a 0a20  kages'.  when:. 
│ │ │ +003af570: 202d 2027 226c 696e 7578 2d62 6173 6522   - '"linux-base"
│ │ │ +003af580: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ +003af590: 732e 7061 636b 6167 6573 270a 2020 2d20  s.packages'.  - 
│ │ │ +003af5a0: 2722 6175 6469 7464 2220 696e 2061 6e73  '"auditd" in ans
│ │ │ +003af5b0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ +003af5c0: 6765 7327 0a20 2074 6167 733a 0a20 202d  ges'.  tags:.  -
│ │ │ +003af5d0: 2043 4a49 532d 352e 342e 312e 310a 2020   CJIS-5.4.1.1.  
│ │ │ +003af5e0: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33  - NIST-800-171-3
│ │ │ +003af5f0: 2e33 2e31 0a20 202d 204e 4953 542d 3830  .3.1.  - NIST-80
│ │ │ +003af600: 302d 3137 312d 332e 332e 320a 2020 2d20  0-171-3.3.2.  - 
│ │ │ +003af610: 4e49 5354 2d38 3030 2d31 3731 2d33 2e33  NIST-800-171-3.3
│ │ │ +003af620: 2e36 0a20 202d 204e 4953 542d 3830 302d  .6.  - NIST-800-
│ │ │ +003af630: 3533 2d41 432d 3228 6729 0a20 202d 204e  53-AC-2(g).  - N
│ │ │ +003af640: 4953 542d 3830 302d 3533 2d41 432d 3628  IST-800-53-AC-6(
│ │ │ +003af650: 3929 0a20 202d 204e 4953 542d 3830 302d  9).  - NIST-800-
│ │ │ +003af660: 3533 2d41 552d 3130 0a20 202d 204e 4953  53-AU-10.  - NIS
│ │ │ +003af670: 542d 3830 302d 3533 2d41 552d 3132 2863  T-800-53-AU-12(c
│ │ │ +003af680: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +003af690: 332d 4155 2d31 3428 3129 0a20 202d 204e  3-AU-14(1).  - N
│ │ │ +003af6a0: 4953 542d 3830 302d 3533 2d41 552d 3228  IST-800-53-AU-2(
│ │ │ +003af6b0: 6429 0a20 202d 204e 4953 542d 3830 302d  d).  - NIST-800-
│ │ │ +003af6c0: 3533 2d41 552d 330a 2020 2d20 4e49 5354  53-AU-3.  - NIST
│ │ │ +003af6d0: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +003af6e0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +003af6f0: 5349 2d34 2832 3329 0a20 202d 2050 4349  SI-4(23).  - PCI
│ │ │ +003af700: 2d44 5353 2d52 6571 2d31 302e 310a 2020  -DSS-Req-10.1.  
│ │ │ +003af710: 2d20 5043 492d 4453 5376 342d 3130 2e32  - PCI-DSSv4-10.2
│ │ │ +003af720: 0a20 202d 2050 4349 2d44 5353 7634 2d31  .  - PCI-DSSv4-1
│ │ │ +003af730: 302e 322e 310a 2020 2d20 656e 6162 6c65  0.2.1.  - enable
│ │ │ +003af740: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +003af750: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +003af760: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +003af770: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ +003af780: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ +003af790: 745f 6e65 6564 6564 0a20 202d 2073 6572  t_needed.  - ser
│ │ │ +003af7a0: 7669 6365 5f61 7564 6974 645f 656e 6162  vice_auditd_enab
│ │ │ +003af7b0: 6c65 640a 3c2f 636f 6465 3e3c 2f70 7265  led.</code></pre
│ │ │ +003af7c0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +003af7d0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +003af7e0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +003af7f0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +003af800: 7267 6574 3d22 2369 646d 3234 3834 3922  rget="#idm24849"
│ │ │ +003af810: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +003af820: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +003af830: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +003af840: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +003af850: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +003af860: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +003af870: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +003af880: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +003af890: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +003af8a0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +003af8b0: 2220 6964 3d22 6964 6d32 3438 3439 223e  " id="idm24849">
│ │ │ +003af8c0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +003af8d0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +003af8e0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +003af8f0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +003af900: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +003af910: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +003af920: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +003af930: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +003af940: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +003af950: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +003af960: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +003af970: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +003af980: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +003af990: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +003af9a0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +003af9b0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +003af9c0: 656e 6162 6c65 5f61 7564 6974 640a 0a63  enable_auditd..c
│ │ │ +003af9d0: 6c61 7373 2065 6e61 626c 655f 6175 6469  lass enable_audi
│ │ │ +003af9e0: 7464 207b 0a20 2073 6572 7669 6365 207b  td {.  service {
│ │ │ +003af9f0: 2761 7564 6974 6427 3a0a 2020 2020 656e  'auditd':.    en
│ │ │ +003afa00: 6162 6c65 203d 2667 743b 2074 7275 652c  able =&gt; true,
│ │ │ +003afa10: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +003afa20: 3b20 2772 756e 6e69 6e67 272c 0a20 207d  ; 'running',.  }
│ │ │ +003afa30: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ +003afa40: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +003afa50: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +003afa60: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +003afa70: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +003afa80: 6765 743d 2223 6964 6d32 3438 3530 2220  get="#idm24850" 
│ │ │ +003afa90: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +003afaa0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +003afab0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +003afac0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +003afad0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +003afae0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +003afaf0: 6e20 4f53 4275 696c 6420 426c 7565 7072  n OSBuild Bluepr
│ │ │ +003afb00: 696e 7420 736e 6970 7065 7420 e287 b23c  int snippet ...<
│ │ │ +003afb10: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +003afb20: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +003afb30: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +003afb40: 6964 6d32 3438 3530 223e 3c70 7265 3e3c  idm24850"><pre><
│ │ │ +003afb50: 636f 6465 3e0a 5b63 7573 746f 6d69 7a61  code>.[customiza
│ │ │ +003afb60: 7469 6f6e 732e 7365 7276 6963 6573 5d0a  tions.services].
│ │ │ +003afb70: 656e 6162 6c65 6420 3d20 5b22 6175 6469  enabled = ["audi
│ │ │ +003afb80: 7464 225d 0a3c 2f63 6f64 653e 3c2f 7072  td"].</code></pr
│ │ │  003afb90: 653e 3c2f 6469 763e 3c2f 6469 763e 3c2f  e></div></div></
│ │ │  003afba0: 7464 3e3c 2f74 723e 3c2f 7462 6f64 793e  td></tr></tbody>
│ │ │  003afbb0: 3c2f 7461 626c 653e 3c2f 7464 3e3c 2f74  </table></td></t
│ │ │  003afbc0: 723e 3c2f 7462 6f64 793e 3c2f 7461 626c  r></tbody></tabl
│ │ │  003afbd0: 653e 3c2f 6469 763e 3c64 6976 2069 643d  e></div><div id=
│ │ │  003afbe0: 2272 6561 722d 6d61 7474 6572 223e 3c64  "rear-matter"><d
│ │ │  003afbf0: 6976 2063 6c61 7373 3d22 726f 7720 746f  iv class="row to
│ │ │ ├── html2text {}
│ │ │ │ @@ -114,31 +114,14 @@
│ │ │ │                             A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4, A.14.2.7, A.15.2.1, A.8.2.3
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-7, PR.DS-1, PR.DS-6, PR.DS-8, PR.IP-1, PR.IP-3
│ │ │ │              _p_c_i_d_s_s         Req-11.5
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000445-GPOS-00199
│ │ │ │              _a_n_s_s_i          R76, R79
│ │ │ │              _p_c_i_d_s_s_4        11.5.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "aide"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_aide
│ │ │ │ -
│ │ │ │ -class install_aide {
│ │ │ │ -  package { 'aide':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -167,14 +150,31 @@
│ │ │ │    - PCI-DSSv4-11.5.2
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_aide_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_aide
│ │ │ │ +
│ │ │ │ +class install_aide {
│ │ │ │ +  package { 'aide':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "aide"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -1313,31 +1313,14 @@
│ │ │ │              _d_i_s_a    CCI-002235
│ │ │ │              _i_s_m     1382, 1384, 1386
│ │ │ │              _n_i_s_t    CM-6(a)
│ │ │ │  References: _o_s_p_p    FMT_MOF_EXT.1
│ │ │ │              _o_s_-_s_r_g  SRG-OS-000324-GPOS-00125
│ │ │ │              _a_n_s_s_i   R33
│ │ │ │              _p_c_i_d_s_s_4 2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "sudo"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_sudo
│ │ │ │ -
│ │ │ │ -class install_sudo {
│ │ │ │ -  package { 'sudo':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1364,14 +1347,31 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_sudo_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_sudo
│ │ │ │ +
│ │ │ │ +class install_sudo {
│ │ │ │ +  package { 'sudo':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "sudo"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -3948,31 +3948,14 @@
│ │ │ │  Rationale:  password in resisting attempts at guessing and brute-force attacks. "pwquality" enforces
│ │ │ │              complex password construction configuration and has the ability to limit brute-force
│ │ │ │              attacks on the system.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_pam_pwquality_installed
│ │ │ │  References: _d_i_s_a   CCI-000366
│ │ │ │              _o_s_-_s_r_g SRG-OS-000480-GPOS-00225
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "libpam-pwquality"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_libpam-pwquality
│ │ │ │ -
│ │ │ │ -class install_libpam-pwquality {
│ │ │ │ -  package { 'libpam-pwquality':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -3993,14 +3976,31 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_pam_pwquality_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_libpam-pwquality
│ │ │ │ +
│ │ │ │ +class install_libpam-pwquality {
│ │ │ │ +  package { 'libpam-pwquality':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "libpam-pwquality"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}\n' 'libpam-runtime' 2>/dev/null | grep -
│ │ │ │ @@ -5393,31 +5393,14 @@
│ │ │ │              Control system will be available.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_apparmor_installed
│ │ │ │              _d_i_s_a   CCI-001764, CCI-001774, CCI-002165, CCI-002235
│ │ │ │  References: _o_s_-_s_r_g SRG-OS-000368-GPOS-00154, SRG-OS-000312-GPOS-00122, SRG-OS-000312-GPOS-00123, SRG-
│ │ │ │                     OS-000312-GPOS-00124, SRG-OS-000324-GPOS-00125, SRG-OS-000370-GPOS-00155
│ │ │ │              _a_n_s_s_i  R45
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "apparmor"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_apparmor
│ │ │ │ -
│ │ │ │ -class install_apparmor {
│ │ │ │ -  package { 'apparmor':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Ensure apparmor is installed
│ │ │ │    package:
│ │ │ │ @@ -5427,14 +5410,31 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_apparmor_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_apparmor
│ │ │ │ +
│ │ │ │ +class install_apparmor {
│ │ │ │ +  package { 'apparmor':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "apparmor"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then
│ │ │ │ @@ -5453,31 +5453,14 @@
│ │ │ │              _d_i_s_a   CCI-001764, CCI-001774, CCI-002165, CCI-002233, CCI-002235
│ │ │ │              _n_i_s_t   AC-3(4), AC-6(8), AC-6(10), CM-7(5)(b), CM-7(2), SC-7(21), CM-6(a)
│ │ │ │                     SRG-OS-000312-GPOS-00122, SRG-OS-000312-GPOS-00123, SRG-OS-000312-GPOS-00124, SRG-
│ │ │ │  References: _o_s_-_s_r_g OS-000324-GPOS-00125, SRG-OS-000326-GPOS-00126, SRG-OS-000370-GPOS-00155, SRG-OS-
│ │ │ │                     000480-GPOS-00230, SRG-OS-000480-GPOS-00227, SRG-OS-000480-GPOS-00231, SRG-OS-
│ │ │ │                     000480-GPOS-00232
│ │ │ │              _a_n_s_s_i  R45
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "libpam-apparmor"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_libpam-apparmor
│ │ │ │ -
│ │ │ │ -class install_libpam-apparmor {
│ │ │ │ -  package { 'libpam-apparmor':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Ensure libpam-apparmor is installed
│ │ │ │    package:
│ │ │ │ @@ -5494,14 +5477,31 @@
│ │ │ │    - NIST-800-53-SC-7(21)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_pam_apparmor_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_libpam-apparmor
│ │ │ │ +
│ │ │ │ +class install_libpam-apparmor {
│ │ │ │ +  package { 'libpam-apparmor':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "libpam-apparmor"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if [ ! -f /.dockerenv ] && [ ! -f /run/.containerenv ]; then
│ │ │ │ @@ -5684,31 +5684,14 @@
│ │ │ │              _d_i_s_a   CCI-001764, CCI-001774, CCI-002165, CCI-002233, CCI-002235
│ │ │ │              _n_i_s_t   AC-3(4), AC-6(8), AC-6(10), CM-7(5)(b), CM-7(2), SC-7(21), CM-6(a)
│ │ │ │                     SRG-OS-000312-GPOS-00122, SRG-OS-000312-GPOS-00123, SRG-OS-000312-GPOS-00124, SRG-
│ │ │ │  References: _o_s_-_s_r_g OS-000324-GPOS-00125, SRG-OS-000326-GPOS-00126, SRG-OS-000370-GPOS-00155, SRG-OS-
│ │ │ │                     000480-GPOS-00230, SRG-OS-000480-GPOS-00227, SRG-OS-000480-GPOS-00231, SRG-OS-
│ │ │ │                     000480-GPOS-00232
│ │ │ │              _a_n_s_s_i  R45
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["apparmor"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_apparmor
│ │ │ │ -
│ │ │ │ -class enable_apparmor {
│ │ │ │ -  service {'apparmor':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  - name: Start apparmor.service
│ │ │ │    systemd:
│ │ │ │      name: apparmor.service
│ │ │ │      state: started
│ │ │ │      enabled: true
│ │ │ │    when: ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"]
│ │ │ │ @@ -5718,14 +5701,31 @@
│ │ │ │    - NIST-800-53-AC-6(8)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(2)
│ │ │ │    - NIST-800-53-CM-7(5)(b)
│ │ │ │    - NIST-800-53-SC-7(21)
│ │ │ │    - apparmor_configured
│ │ │ │    - medium_severity
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_apparmor
│ │ │ │ +
│ │ │ │ +class enable_apparmor {
│ │ │ │ +  service {'apparmor':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["apparmor"]
│ │ │ │  ****** RRuullee? ?  EEnnssuurree AAppppAArrmmoorr iiss eennaabblleedd iinn tthhee bboooottllooaaddeerr ccoonnffiigguurraattiioonn ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Configure AppArmor to be enabled at boot time and verify that it has not been overwritten by the
│ │ │ │  bootloader boot parameters. Note: This recommendation is designed around the grub bootloader, if LILO
│ │ │ │  or another bootloader is in use in your environment, enact equivalent settings.
│ │ │ │  Rationale:  AppArmor must be enabled at boot time in your bootloader configuration to ensure that the
│ │ │ │              controls it provides are not overridden.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -11000,31 +11000,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │  References: _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.7
│ │ │ │              _a_n_s_s_i          R71
│ │ │ │              _p_c_i_d_s_s_4        10.5.1, 10.5
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "logrotate"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_logrotate
│ │ │ │ -
│ │ │ │ -class install_logrotate {
│ │ │ │ -  package { 'logrotate':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -11053,14 +11036,31 @@
│ │ │ │    - PCI-DSSv4-10.5.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_logrotate_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_logrotate
│ │ │ │ +
│ │ │ │ +class install_logrotate {
│ │ │ │ +  package { 'logrotate':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "logrotate"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -11394,31 +11394,14 @@
│ │ │ │  Rationale:  The rsyslog-gnutls package provides Transport Layer Security (TLS) support for the
│ │ │ │              rsyslog daemon, which enables secure remote logging.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_rsyslog-gnutls_installed
│ │ │ │              _d_i_s_a   CCI-000366, CCI-000803
│ │ │ │  References: _o_s_-_s_r_g SRG-OS-000480-GPOS-00227, SRG-OS-000120-GPOS-00061
│ │ │ │              _a_n_s_s_i  R71
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog-gnutls"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog-gnutls
│ │ │ │ -
│ │ │ │ -class install_rsyslog-gnutls {
│ │ │ │ -  package { 'rsyslog-gnutls':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -11439,14 +11422,31 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsyslog-gnutls_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog-gnutls
│ │ │ │ +
│ │ │ │ +class install_rsyslog-gnutls {
│ │ │ │ +  package { 'rsyslog-gnutls':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog-gnutls"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -11470,31 +11470,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2, 4.4.2.4
│ │ │ │  References: _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000479-GPOS-00224, SRG-OS-000051-GPOS-00024, SRG-OS-000480-GPOS-
│ │ │ │                             00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -11517,14 +11500,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsyslog_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -11552,31 +11552,14 @@
│ │ │ │  References: _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.2.6.7, 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2, 4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1, SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1, A.14.2.7,
│ │ │ │                             A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -11612,14 +11595,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]
│ │ │ │  Group   Network Configuration and Firewalls   Group contains 8 groups and 53 rules
│ │ │ │  _[_r_e_f_]   Most systems must be connected to a network of some sort, and this brings with it the
│ │ │ │  substantial risk of network attack. This section discusses the security impact of decisions about
│ │ │ │  networking which must be made when configuring a system.
│ │ │ │  
│ │ │ │  This section also discusses firewalls, network access controls, and other network security
│ │ │ │  frameworks, which allow system-level rules to be written that can limit an attackers' ability to
│ │ │ │ @@ -28104,26 +28104,14 @@
│ │ │ │  around configuration errors, unauthorized intrusions, and other potential errors. The
│ │ │ │  setroubleshoot-plugins package can be removed with the following command:
│ │ │ │  $ apt-get remove setroubleshoot-plugins
│ │ │ │  Rationale:  The SETroubleshoot service is an unnecessary daemon to have running on a server.
│ │ │ │  Severity:   low
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_setroubleshoot-plugins_removed
│ │ │ │  References: _a_n_s_s_i R49
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_setroubleshoot-plugins
│ │ │ │ -
│ │ │ │ -class remove_setroubleshoot-plugins {
│ │ │ │ -  package { 'setroubleshoot-plugins':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -28144,14 +28132,26 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_setroubleshoot-plugins_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_setroubleshoot-plugins
│ │ │ │ +
│ │ │ │ +class remove_setroubleshoot-plugins {
│ │ │ │ +  package { 'setroubleshoot-plugins':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -28173,26 +28173,14 @@
│ │ │ │  information around configuration errors, unauthorized intrusions, and other potential errors. The
│ │ │ │  setroubleshoot-server package can be removed with the following command:
│ │ │ │  $ apt-get remove setroubleshoot-server
│ │ │ │  Rationale:  The SETroubleshoot service is an unnecessary daemon to have running on a server.
│ │ │ │  Severity:   low
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_setroubleshoot-server_removed
│ │ │ │  References: _a_n_s_s_i R49
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_setroubleshoot-server
│ │ │ │ -
│ │ │ │ -class remove_setroubleshoot-server {
│ │ │ │ -  package { 'setroubleshoot-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -28213,14 +28201,26 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_setroubleshoot-server_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_setroubleshoot-server
│ │ │ │ +
│ │ │ │ +class remove_setroubleshoot-server {
│ │ │ │ +  package { 'setroubleshoot-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -28243,26 +28243,14 @@
│ │ │ │  setroubleshoot package can be removed with the following command:
│ │ │ │  $ apt-get remove setroubleshoot
│ │ │ │  Rationale:  The SETroubleshoot service is an unnecessary daemon to have running on a server,
│ │ │ │              especially if X Windows is removed or disabled.
│ │ │ │  Severity:   low
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_setroubleshoot_removed
│ │ │ │  References: _a_n_s_s_i R49
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_setroubleshoot
│ │ │ │ -
│ │ │ │ -class remove_setroubleshoot {
│ │ │ │ -  package { 'setroubleshoot':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -28283,14 +28271,26 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_setroubleshoot_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_setroubleshoot
│ │ │ │ +
│ │ │ │ +class remove_setroubleshoot {
│ │ │ │ +  package { 'setroubleshoot':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -28723,26 +28723,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 1.5, SR 1.6, SR 1.7, SR 1.8, SR 1.9, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR
│ │ │ │                             2.5, SR 2.6, SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_dhcp
│ │ │ │ -
│ │ │ │ -class remove_dhcp {
│ │ │ │ -  package { 'dhcp':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure dhcp is removed
│ │ │ │    package:
│ │ │ │ @@ -28756,14 +28744,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_dhcp_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_dhcp
│ │ │ │ +
│ │ │ │ +class remove_dhcp {
│ │ │ │ +  package { 'dhcp':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove dhcp
│ │ │ │ @@ -28776,26 +28776,14 @@
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll kkeeaa PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  If the system does not need to act as a DHCP server, the kea package can be uninstalled.
│ │ │ │  Rationale:  Removing the DHCP server ensures that it cannot be easily or accidentally reactivated and
│ │ │ │              disrupt network operation.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_kea_removed
│ │ │ │  References: _a_n_s_s_i R62
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_kea
│ │ │ │ -
│ │ │ │ -class remove_kea {
│ │ │ │ -  package { 'kea':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure kea is removed
│ │ │ │    package:
│ │ │ │ @@ -28804,14 +28792,26 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_kea_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_kea
│ │ │ │ +
│ │ │ │ +class remove_kea {
│ │ │ │ +  package { 'kea':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove kea
│ │ │ │ @@ -28999,26 +28999,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 1.5, SR 1.6, SR 1.7, SR 1.8, SR 1.9, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR
│ │ │ │                             2.5, SR 2.6, SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227, SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_sendmail
│ │ │ │ -
│ │ │ │ -class remove_sendmail {
│ │ │ │ -  package { 'sendmail':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -29045,14 +29033,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_sendmail_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_sendmail
│ │ │ │ +
│ │ │ │ +class remove_sendmail {
│ │ │ │ +  package { 'sendmail':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -29124,31 +29124,14 @@
│ │ │ │              _d_i_s_a    CCI-004923
│ │ │ │              _i_s_m     0988, 1405
│ │ │ │              _o_s_p_p    FMT_SMF_EXT.1
│ │ │ │  References: _p_c_i_d_s_s  Req-10.4
│ │ │ │              _o_s_-_s_r_g  SRG-OS-000355-GPOS-00143
│ │ │ │              _a_n_s_s_i   R71
│ │ │ │              _p_c_i_d_s_s_4 10.6.1, 10.6
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "chrony"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_chrony
│ │ │ │ -
│ │ │ │ -class install_chrony {
│ │ │ │ -  package { 'chrony':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -29175,14 +29158,31 @@
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_chrony_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_chrony
│ │ │ │ +
│ │ │ │ +class install_chrony {
│ │ │ │ +  package { 'chrony':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "chrony"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -29586,26 +29586,14 @@
│ │ │ │                             5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1, A.13.2.1, A.14.1.3,
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_xinetd
│ │ │ │ -
│ │ │ │ -class remove_xinetd {
│ │ │ │ -  package { 'xinetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -29636,14 +29624,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_xinetd_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_xinetd
│ │ │ │ +
│ │ │ │ +class remove_xinetd {
│ │ │ │ +  package { 'xinetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -29675,26 +29675,14 @@
│ │ │ │              recommended that the service be removed.
│ │ │ │  Severity:   unknown
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_ypbind_removed
│ │ │ │              _h_i_p_a_a   164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:         164.312(e)(2)(ii)
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ypbind-mt
│ │ │ │ -
│ │ │ │ -class remove_ypbind-mt {
│ │ │ │ -  package { 'ypbind-mt':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ypbind-mt is removed
│ │ │ │    package:
│ │ │ │ @@ -29705,14 +29693,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ypbind_removed
│ │ │ │    - unknown_severity
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ypbind-mt
│ │ │ │ +
│ │ │ │ +class remove_ypbind-mt {
│ │ │ │ +  package { 'ypbind-mt':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove ypbind-mt
│ │ │ │ @@ -29749,26 +29749,14 @@
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a), IA-5(1)(c)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _p_c_i_d_s_s         Req-2.2.2
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ypserv
│ │ │ │ -
│ │ │ │ -class remove_ypserv {
│ │ │ │ -  package { 'ypserv':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ypserv is removed
│ │ │ │    package:
│ │ │ │ @@ -29784,14 +29772,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ypserv_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ypserv
│ │ │ │ +
│ │ │ │ +class remove_ypserv {
│ │ │ │ +  package { 'ypserv':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove ypserv
│ │ │ │ @@ -29832,26 +29832,14 @@
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1, A.13.2.1, A.14.1.3,
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a), IA-5(1)(c)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_rsh-server
│ │ │ │ -
│ │ │ │ -class remove_rsh-server {
│ │ │ │ -  package { 'rsh-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure rsh-server is removed
│ │ │ │    package:
│ │ │ │ @@ -29866,14 +29854,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsh-server_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_rsh-server
│ │ │ │ +
│ │ │ │ +class remove_rsh-server {
│ │ │ │ +  package { 'rsh-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove rsh-server
│ │ │ │ @@ -29894,26 +29894,14 @@
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_rsh_removed
│ │ │ │              _c_u_i           3.1.13
│ │ │ │              _h_i_p_a_a         164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:               164.312(e)(2)(ii)
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3 A.8.2.3, A.13.1.1, A.13.2.1, A.13.2.3, A.14.1.2, A.14.1.3
│ │ │ │              _a_n_s_s_i         R62
│ │ │ │              _p_c_i_d_s_s_4       2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_rsh
│ │ │ │ -
│ │ │ │ -class remove_rsh {
│ │ │ │ -  package { 'rsh':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure rsh is removed
│ │ │ │    package:
│ │ │ │ @@ -29925,14 +29913,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsh_removed
│ │ │ │    - unknown_severity
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_rsh
│ │ │ │ +
│ │ │ │ +class remove_rsh {
│ │ │ │ +  package { 'rsh':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove rsh
│ │ │ │ @@ -29953,26 +29953,14 @@
│ │ │ │              intentional) activation of talk services.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_talk-server_removed
│ │ │ │              _h_i_p_a_a   164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:         164.312(e)(2)(ii)
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_talk-server
│ │ │ │ -
│ │ │ │ -class remove_talk-server {
│ │ │ │ -  package { 'talk-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure talk-server is removed
│ │ │ │    package:
│ │ │ │ @@ -29983,14 +29971,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_talk-server_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_talk-server
│ │ │ │ +
│ │ │ │ +class remove_talk-server {
│ │ │ │ +  package { 'talk-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove talk-server
│ │ │ │ @@ -30011,26 +30011,14 @@
│ │ │ │              intentional) activation of talk client program.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_talk_removed
│ │ │ │              _h_i_p_a_a   164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:         164.312(e)(2)(ii)
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_talk
│ │ │ │ -
│ │ │ │ -class remove_talk {
│ │ │ │ -  package { 'talk':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure talk is removed
│ │ │ │    package:
│ │ │ │ @@ -30041,14 +30029,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_talk_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_talk
│ │ │ │ +
│ │ │ │ +class remove_talk {
│ │ │ │ +  package { 'talk':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove talk
│ │ │ │ @@ -30095,26 +30095,14 @@
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _p_c_i_d_s_s         Req-2.2.2
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnet-server
│ │ │ │ -
│ │ │ │ -class remove_telnet-server {
│ │ │ │ -  package { 'telnet-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnet-server is removed
│ │ │ │    package:
│ │ │ │ @@ -30129,14 +30117,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnet-server_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnet-server
│ │ │ │ +
│ │ │ │ +class remove_telnet-server {
│ │ │ │ +  package { 'telnet-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnet-server
│ │ │ │ @@ -30155,26 +30155,14 @@
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnet_removed
│ │ │ │              _c_u_i           3.1.13
│ │ │ │              _h_i_p_a_a         164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:               164.312(e)(2)(ii)
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3 A.8.2.3, A.13.1.1, A.13.2.1, A.13.2.3, A.14.1.2, A.14.1.3
│ │ │ │              _a_n_s_s_i         R62
│ │ │ │              _p_c_i_d_s_s_4       2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnet
│ │ │ │ -
│ │ │ │ -class remove_telnet {
│ │ │ │ -  package { 'telnet':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnet is removed
│ │ │ │    package:
│ │ │ │ @@ -30186,14 +30174,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnet_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnet
│ │ │ │ +
│ │ │ │ +class remove_telnet {
│ │ │ │ +  package { 'telnet':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnet
│ │ │ │ @@ -30236,26 +30236,14 @@
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1, A.13.2.1, A.14.1.3,
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_tftp-server
│ │ │ │ -
│ │ │ │ -class remove_tftp-server {
│ │ │ │ -  package { 'tftp-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure tftp-server is removed
│ │ │ │    package:
│ │ │ │ @@ -30269,14 +30257,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_tftp-server_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_tftp-server
│ │ │ │ +
│ │ │ │ +class remove_tftp-server {
│ │ │ │ +  package { 'tftp-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove tftp-server
│ │ │ │ @@ -30295,26 +30295,14 @@
│ │ │ │              a boot server). In that case, use extreme caution when configuring the services.
│ │ │ │  Severity:   low
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_tftp_removed
│ │ │ │              _d_i_s_a    CCI-000197
│ │ │ │  References: _o_s_-_s_r_g  SRG-OS-000074-GPOS-00042
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_tftp
│ │ │ │ -
│ │ │ │ -class remove_tftp {
│ │ │ │ -  package { 'tftp':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure tftp is removed
│ │ │ │    package:
│ │ │ │ @@ -30325,14 +30313,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_tftp_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_tftp
│ │ │ │ +
│ │ │ │ +class remove_tftp {
│ │ │ │ +  package { 'tftp':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove tftp
│ │ │ │ @@ -31089,23 +31089,14 @@
│ │ │ │                             3 R2.2, CIP-007-3 R2.3, CIP-007-3 R5.1, CIP-007-3 R5.1.1, CIP-007-3 R5.1.2
│ │ │ │              _n_i_s_t           AC-17(a), CM-6(a), AC-6(1)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-4, PR.DS-5
│ │ │ │              _p_c_i_d_s_s         Req-2.2.4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _a_n_s_s_i          R50
│ │ │ │              _p_c_i_d_s_s_4        2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -include ssh_private_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_private_key_perms {
│ │ │ │ -  exec { 'sshd_priv_key':
│ │ │ │ -    command => "chmod 0640 /etc/ssh/*_key",
│ │ │ │ -    path    => '/bin:/usr/bin'
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   configure
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -31169,14 +31160,23 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - configure_strategy
│ │ │ │    - file_permissions_sshd_private_key
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +include ssh_private_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_private_key_perms {
│ │ │ │ +  exec { 'sshd_priv_key':
│ │ │ │ +    command => "chmod 0640 /etc/ssh/*_key",
│ │ │ │ +    path    => '/bin:/usr/bin'
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  for keyfile in /etc/ssh/*_key; do
│ │ │ │      test -f "$keyfile" || continue
│ │ │ │ @@ -31216,23 +31216,14 @@
│ │ │ │                             3 R2.2, CIP-007-3 R2.3, CIP-007-3 R5.1, CIP-007-3 R5.1.1, CIP-007-3 R5.1.2
│ │ │ │              _n_i_s_t           AC-17(a), CM-6(a), AC-6(1)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-4, PR.DS-5
│ │ │ │              _p_c_i_d_s_s         Req-2.2.4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _a_n_s_s_i          R50
│ │ │ │              _p_c_i_d_s_s_4        2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -include ssh_public_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_public_key_perms {
│ │ │ │ -  exec { 'sshd_pub_key':
│ │ │ │ -    command => "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ -    path    => '/bin:/usr/bin'
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   configure
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -31296,14 +31287,23 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - configure_strategy
│ │ │ │    - file_permissions_sshd_pub_key
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +include ssh_public_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_public_key_perms {
│ │ │ │ +  exec { 'sshd_pub_key':
│ │ │ │ +    command => "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ +    path    => '/bin:/usr/bin'
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   configure
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -65623,31 +65623,14 @@
│ │ │ │              _o_s_-_s_r_g   SRG-OS-000122-GPOS-00063, SRG-OS-000254-GPOS-00095, SRG-OS-000255-GPOS-00096,
│ │ │ │                       SRG-OS-000337-GPOS-00129, SRG-OS-000348-GPOS-00136, SRG-OS-000349-GPOS-00137,
│ │ │ │                       SRG-OS-000350-GPOS-00138, SRG-OS-000351-GPOS-00139, SRG-OS-000352-GPOS-00140,
│ │ │ │                       SRG-OS-000353-GPOS-00141, SRG-OS-000354-GPOS-00142, SRG-OS-000358-GPOS-00145,
│ │ │ │                       SRG-OS-000365-GPOS-00152, SRG-OS-000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │              _a_n_s_s_i    R33, R73
│ │ │ │              _p_c_i_d_s_s_4  10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "auditd"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_auditd
│ │ │ │ -
│ │ │ │ -class install_auditd {
│ │ │ │ -  package { 'auditd':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -65688,14 +65671,31 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_audit_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_auditd
│ │ │ │ +
│ │ │ │ +class install_auditd {
│ │ │ │ +  package { 'auditd':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "auditd"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -65759,31 +65759,14 @@
│ │ │ │                             GPOS-00139, SRG-OS-000352-GPOS-00140, SRG-OS-000353-GPOS-00141, SRG-OS-
│ │ │ │                             000354-GPOS-00142, SRG-OS-000358-GPOS-00145, SRG-OS-000365-GPOS-00152,
│ │ │ │                             SRG-OS-000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │              _a_p_p_-_s_r_g_-_c_t_r    SRG-APP-000095-CTR-000170, SRG-APP-000409-CTR-000990, SRG-APP-000508-CTR-
│ │ │ │                             001300, SRG-APP-000510-CTR-001310
│ │ │ │              _a_n_s_s_i          R33, R73
│ │ │ │              _p_c_i_d_s_s_4        10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["auditd"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_auditd
│ │ │ │ -
│ │ │ │ -class enable_auditd {
│ │ │ │ -  service {'auditd':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -65849,11 +65832,28 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_auditd_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_auditd
│ │ │ │ +
│ │ │ │ +class enable_auditd {
│ │ │ │ +  service {'auditd':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["auditd"]
│ │ │ │  Red Hat and Red Hat Enterprise Linux are either registered trademarks or
│ │ │ │  trademarks of Red Hat, Inc. in the United States and other countries. All other
│ │ │ │  names are registered trademarks or trademarks of their respective companies.
│ │ │ │  Generated using _O_p_e_n_S_C_A_P 1.4.1
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian12-guide-anssi_bp28_intermediary.html
│ │ │ @@ -15028,134 +15028,134 @@
│ │ │  0003ab30: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  0003ab40: 2223 6964 6d32 3638 3322 2074 6162 696e  "#idm2683" tabin
│ │ │  0003ab50: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  0003ab60: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  0003ab70: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  0003ab80: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  0003ab90: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -0003aba0: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ -0003abb0: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ -0003abc0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -0003abd0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -0003abe0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -0003abf0: 6c61 7073 6522 2069 643d 2269 646d 3236  lapse" id="idm26
│ │ │ -0003ac00: 3833 223e 3c70 7265 3e3c 636f 6465 3e0a  83"><pre><code>.
│ │ │ -0003ac10: 5b5b 7061 636b 6167 6573 5d5d 0a6e 616d  [[packages]].nam
│ │ │ -0003ac20: 6520 3d20 2261 6964 6522 0a76 6572 7369  e = "aide".versi
│ │ │ -0003ac30: 6f6e 203d 2022 2a22 0a3c 2f63 6f64 653e  on = "*".</code>
│ │ │ -0003ac40: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -0003ac50: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -0003ac60: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -0003ac70: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -0003ac80: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ -0003ac90: 3638 3422 2074 6162 696e 6465 783d 2230  684" tabindex="0
│ │ │ -0003aca0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -0003acb0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -0003acc0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -0003acd0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -0003ace0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -0003acf0: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ -0003ad00: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -0003ad10: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -0003ad20: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -0003ad30: 6170 7365 2220 6964 3d22 6964 6d32 3638  apse" id="idm268
│ │ │ -0003ad40: 3422 3e3c 7461 626c 6520 636c 6173 733d  4"><table class=
│ │ │ -0003ad50: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -0003ad60: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -0003ad70: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -0003ad80: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -0003ad90: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -0003ada0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0003adb0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -0003adc0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0003add0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -0003ade0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -0003adf0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -0003ae00: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -0003ae10: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ -0003ae20: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -0003ae30: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ -0003ae40: 6465 2069 6e73 7461 6c6c 5f61 6964 650a  de install_aide.
│ │ │ -0003ae50: 0a63 6c61 7373 2069 6e73 7461 6c6c 5f61  .class install_a
│ │ │ -0003ae60: 6964 6520 7b0a 2020 7061 636b 6167 6520  ide {.  package 
│ │ │ -0003ae70: 7b20 2761 6964 6527 3a0a 2020 2020 656e  { 'aide':.    en
│ │ │ -0003ae80: 7375 7265 203d 2667 743b 2027 696e 7374  sure =&gt; 'inst
│ │ │ -0003ae90: 616c 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f  alled',.  }.}.</
│ │ │ -0003aea0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -0003aeb0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -0003aec0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -0003aed0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -0003aee0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -0003aef0: 2369 646d 3236 3835 2220 7461 6269 6e64  #idm2685" tabind
│ │ │ -0003af00: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -0003af10: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -0003af20: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -0003af30: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -0003af40: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -0003af50: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ -0003af60: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ -0003af70: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -0003af80: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -0003af90: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -0003afa0: 6964 6d32 3638 3522 3e3c 7461 626c 6520  idm2685"><table 
│ │ │ -0003afb0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -0003afc0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -0003afd0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -0003afe0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -0003aff0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -0003b000: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0003b010: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -0003b020: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -0003b030: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0003b040: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -0003b050: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -0003b060: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -0003b070: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -0003b080: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0003b090: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0003b0a0: 3e2d 206e 616d 653a 2047 6174 6865 7220  >- name: Gather 
│ │ │ -0003b0b0: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ -0003b0c0: 730a 2020 7061 636b 6167 655f 6661 6374  s.  package_fact
│ │ │ -0003b0d0: 733a 0a20 2020 206d 616e 6167 6572 3a20  s:.    manager: 
│ │ │ -0003b0e0: 6175 746f 0a20 2074 6167 733a 0a20 202d  auto.  tags:.  -
│ │ │ -0003b0f0: 2043 4a49 532d 352e 3130 2e31 2e33 0a20   CJIS-5.10.1.3. 
│ │ │ -0003b100: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -0003b110: 4d2d 3628 6129 0a20 202d 2050 4349 2d44  M-6(a).  - PCI-D
│ │ │ -0003b120: 5353 2d52 6571 2d31 312e 350a 2020 2d20  SS-Req-11.5.  - 
│ │ │ -0003b130: 5043 492d 4453 5376 342d 3131 2e35 2e32  PCI-DSSv4-11.5.2
│ │ │ -0003b140: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ -0003b150: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -0003b160: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -0003b170: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ -0003b180: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ -0003b190: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -0003b1a0: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ -0003b1b0: 6169 6465 5f69 6e73 7461 6c6c 6564 0a0a  aide_installed..
│ │ │ -0003b1c0: 2d20 6e61 6d65 3a20 456e 7375 7265 2061  - name: Ensure a
│ │ │ -0003b1d0: 6964 6520 6973 2069 6e73 7461 6c6c 6564  ide is installed
│ │ │ -0003b1e0: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ -0003b1f0: 6e61 6d65 3a20 6169 6465 0a20 2020 2073  name: aide.    s
│ │ │ -0003b200: 7461 7465 3a20 7072 6573 656e 740a 2020  tate: present.  
│ │ │ -0003b210: 7768 656e 3a20 2722 6c69 6e75 782d 6261  when: '"linux-ba
│ │ │ -0003b220: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ -0003b230: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -0003b240: 2074 6167 733a 0a20 202d 2043 4a49 532d   tags:.  - CJIS-
│ │ │ -0003b250: 352e 3130 2e31 2e33 0a20 202d 204e 4953  5.10.1.3.  - NIS
│ │ │ -0003b260: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -0003b270: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -0003b280: 2d31 312e 350a 2020 2d20 5043 492d 4453  -11.5.  - PCI-DS
│ │ │ -0003b290: 5376 342d 3131 2e35 2e32 0a20 202d 2065  Sv4-11.5.2.  - e
│ │ │ -0003b2a0: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -0003b2b0: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -0003b2c0: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -0003b2d0: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -0003b2e0: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -0003b2f0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -0003b300: 2d20 7061 636b 6167 655f 6169 6465 5f69  - package_aide_i
│ │ │ -0003b310: 6e73 7461 6c6c 6564 0a3c 2f63 6f64 653e  nstalled.</code>
│ │ │ +0003aba0: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +0003abb0: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +0003abc0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +0003abd0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +0003abe0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +0003abf0: 2269 646d 3236 3833 223e 3c74 6162 6c65  "idm2683"><table
│ │ │ +0003ac00: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +0003ac10: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +0003ac20: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +0003ac30: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +0003ac40: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +0003ac50: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0003ac60: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +0003ac70: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +0003ac80: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0003ac90: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +0003aca0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +0003acb0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +0003acc0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +0003acd0: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +0003ace0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +0003acf0: 653e 2d20 6e61 6d65 3a20 4761 7468 6572  e>- name: Gather
│ │ │ +0003ad00: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ +0003ad10: 7473 0a20 2070 6163 6b61 6765 5f66 6163  ts.  package_fac
│ │ │ +0003ad20: 7473 3a0a 2020 2020 6d61 6e61 6765 723a  ts:.    manager:
│ │ │ +0003ad30: 2061 7574 6f0a 2020 7461 6773 3a0a 2020   auto.  tags:.  
│ │ │ +0003ad40: 2d20 434a 4953 2d35 2e31 302e 312e 330a  - CJIS-5.10.1.3.
│ │ │ +0003ad50: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0003ad60: 434d 2d36 2861 290a 2020 2d20 5043 492d  CM-6(a).  - PCI-
│ │ │ +0003ad70: 4453 532d 5265 712d 3131 2e35 0a20 202d  DSS-Req-11.5.  -
│ │ │ +0003ad80: 2050 4349 2d44 5353 7634 2d31 312e 352e   PCI-DSSv4-11.5.
│ │ │ +0003ad90: 320a 2020 2d20 656e 6162 6c65 5f73 7472  2.  - enable_str
│ │ │ +0003ada0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +0003adb0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +0003adc0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +0003add0: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +0003ade0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +0003adf0: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +0003ae00: 5f61 6964 655f 696e 7374 616c 6c65 640a  _aide_installed.
│ │ │ +0003ae10: 0a2d 206e 616d 653a 2045 6e73 7572 6520  .- name: Ensure 
│ │ │ +0003ae20: 6169 6465 2069 7320 696e 7374 616c 6c65  aide is installe
│ │ │ +0003ae30: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ +0003ae40: 206e 616d 653a 2061 6964 650a 2020 2020   name: aide.    
│ │ │ +0003ae50: 7374 6174 653a 2070 7265 7365 6e74 0a20  state: present. 
│ │ │ +0003ae60: 2077 6865 6e3a 2027 226c 696e 7578 2d62   when: '"linux-b
│ │ │ +0003ae70: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ +0003ae80: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +0003ae90: 2020 7461 6773 3a0a 2020 2d20 434a 4953    tags:.  - CJIS
│ │ │ +0003aea0: 2d35 2e31 302e 312e 330a 2020 2d20 4e49  -5.10.1.3.  - NI
│ │ │ +0003aeb0: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +0003aec0: 290a 2020 2d20 5043 492d 4453 532d 5265  ).  - PCI-DSS-Re
│ │ │ +0003aed0: 712d 3131 2e35 0a20 202d 2050 4349 2d44  q-11.5.  - PCI-D
│ │ │ +0003aee0: 5353 7634 2d31 312e 352e 320a 2020 2d20  SSv4-11.5.2.  - 
│ │ │ +0003aef0: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +0003af00: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +0003af10: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +0003af20: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +0003af30: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +0003af40: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +0003af50: 202d 2070 6163 6b61 6765 5f61 6964 655f   - package_aide_
│ │ │ +0003af60: 696e 7374 616c 6c65 640a 3c2f 636f 6465  installed.</code
│ │ │ +0003af70: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +0003af80: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +0003af90: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +0003afa0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +0003afb0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +0003afc0: 3236 3834 2220 7461 6269 6e64 6578 3d22  2684" tabindex="
│ │ │ +0003afd0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +0003afe0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +0003aff0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +0003b000: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +0003b010: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +0003b020: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +0003b030: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +0003b040: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +0003b050: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +0003b060: 6c61 7073 6522 2069 643d 2269 646d 3236  lapse" id="idm26
│ │ │ +0003b070: 3834 223e 3c74 6162 6c65 2063 6c61 7373  84"><table class
│ │ │ +0003b080: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0003b090: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0003b0a0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0003b0b0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0003b0c0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +0003b0d0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0003b0e0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +0003b0f0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +0003b100: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0003b110: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +0003b120: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +0003b130: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +0003b140: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +0003b150: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +0003b160: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ +0003b170: 7564 6520 696e 7374 616c 6c5f 6169 6465  ude install_aide
│ │ │ +0003b180: 0a0a 636c 6173 7320 696e 7374 616c 6c5f  ..class install_
│ │ │ +0003b190: 6169 6465 207b 0a20 2070 6163 6b61 6765  aide {.  package
│ │ │ +0003b1a0: 207b 2027 6169 6465 273a 0a20 2020 2065   { 'aide':.    e
│ │ │ +0003b1b0: 6e73 7572 6520 3d26 6774 3b20 2769 6e73  nsure =&gt; 'ins
│ │ │ +0003b1c0: 7461 6c6c 6564 272c 0a20 207d 0a7d 0a3c  talled',.  }.}.<
│ │ │ +0003b1d0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +0003b1e0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +0003b1f0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +0003b200: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +0003b210: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +0003b220: 2223 6964 6d32 3638 3522 2074 6162 696e  "#idm2685" tabin
│ │ │ +0003b230: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +0003b240: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +0003b250: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +0003b260: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +0003b270: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +0003b280: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ +0003b290: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ +0003b2a0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +0003b2b0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +0003b2c0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +0003b2d0: 6c61 7073 6522 2069 643d 2269 646d 3236  lapse" id="idm26
│ │ │ +0003b2e0: 3835 223e 3c70 7265 3e3c 636f 6465 3e0a  85"><pre><code>.
│ │ │ +0003b2f0: 5b5b 7061 636b 6167 6573 5d5d 0a6e 616d  [[packages]].nam
│ │ │ +0003b300: 6520 3d20 2261 6964 6522 0a76 6572 7369  e = "aide".versi
│ │ │ +0003b310: 6f6e 203d 2022 2a22 0a3c 2f63 6f64 653e  on = "*".</code>
│ │ │  0003b320: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │  0003b330: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │  0003b340: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │  0003b350: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │  0003b360: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │  0003b370: 3638 3622 2074 6162 696e 6465 783d 2230  686" tabindex="0
│ │ │  0003b380: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ @@ -17523,131 +17523,131 @@
│ │ │  00044720: 612d 7461 7267 6574 3d22 2369 646d 3337  a-target="#idm37
│ │ │  00044730: 3439 2220 7461 6269 6e64 6578 3d22 3022  49" tabindex="0"
│ │ │  00044740: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  00044750: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  00044760: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  00044770: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  00044780: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00044790: 6174 696f 6e20 4f53 4275 696c 6420 426c  ation OSBuild Bl
│ │ │ -000447a0: 7565 7072 696e 7420 736e 6970 7065 7420  ueprint snippet 
│ │ │ -000447b0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -000447c0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -000447d0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -000447e0: 6964 3d22 6964 6d33 3734 3922 3e3c 7072  id="idm3749"><pr
│ │ │ -000447f0: 653e 3c63 6f64 653e 0a5b 5b70 6163 6b61  e><code>.[[packa
│ │ │ -00044800: 6765 735d 5d0a 6e61 6d65 203d 2022 7375  ges]].name = "su
│ │ │ -00044810: 646f 220a 7665 7273 696f 6e20 3d20 222a  do".version = "*
│ │ │ -00044820: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │ -00044830: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -00044840: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -00044850: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -00044860: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -00044870: 6574 3d22 2369 646d 3337 3530 2220 7461  et="#idm3750" ta
│ │ │ -00044880: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -00044890: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -000448a0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -000448b0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -000448c0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -000448d0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -000448e0: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ -000448f0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00044900: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00044910: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00044920: 643d 2269 646d 3337 3530 223e 3c74 6162  d="idm3750"><tab
│ │ │ -00044930: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00044940: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00044950: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00044960: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00044970: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00044980: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00044990: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -000449a0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -000449b0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -000449c0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -000449d0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -000449e0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -000449f0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00044a00: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -00044a10: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00044a20: 6f64 653e 696e 636c 7564 6520 696e 7374  ode>include inst
│ │ │ -00044a30: 616c 6c5f 7375 646f 0a0a 636c 6173 7320  all_sudo..class 
│ │ │ -00044a40: 696e 7374 616c 6c5f 7375 646f 207b 0a20  install_sudo {. 
│ │ │ -00044a50: 2070 6163 6b61 6765 207b 2027 7375 646f   package { 'sudo
│ │ │ -00044a60: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ -00044a70: 6774 3b20 2769 6e73 7461 6c6c 6564 272c  gt; 'installed',
│ │ │ -00044a80: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │ -00044a90: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -00044aa0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -00044ab0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -00044ac0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -00044ad0: 2d74 6172 6765 743d 2223 6964 6d33 3735  -target="#idm375
│ │ │ -00044ae0: 3122 2074 6162 696e 6465 783d 2230 2220  1" tabindex="0" 
│ │ │ -00044af0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00044b00: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00044b10: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00044b20: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00044b30: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00044b40: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -00044b50: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00044b60: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00044b70: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00044b80: 7073 6522 2069 643d 2269 646d 3337 3531  pse" id="idm3751
│ │ │ -00044b90: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00044ba0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00044bb0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00044bc0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00044bd0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00044be0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00044bf0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00044c00: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00044c10: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00044c20: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00044c30: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00044c40: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00044c50: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00044c60: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00044c70: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00044c80: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -00044c90: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ -00044ca0: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ -00044cb0: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ -00044cc0: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ -00044cd0: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -00044ce0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ -00044cf0: 2d20 5043 492d 4453 5376 342d 322e 320a  - PCI-DSSv4-2.2.
│ │ │ -00044d00: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ -00044d10: 322e 360a 2020 2d20 656e 6162 6c65 5f73  2.6.  - enable_s
│ │ │ -00044d20: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -00044d30: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -00044d40: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -00044d50: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -00044d60: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -00044d70: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -00044d80: 6765 5f73 7564 6f5f 696e 7374 616c 6c65  ge_sudo_installe
│ │ │ -00044d90: 640a 0a2d 206e 616d 653a 2045 6e73 7572  d..- name: Ensur
│ │ │ -00044da0: 6520 7375 646f 2069 7320 696e 7374 616c  e sudo is instal
│ │ │ -00044db0: 6c65 640a 2020 7061 636b 6167 653a 0a20  led.  package:. 
│ │ │ -00044dc0: 2020 206e 616d 653a 2073 7564 6f0a 2020     name: sudo.  
│ │ │ -00044dd0: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ -00044de0: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ -00044df0: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ -00044e00: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -00044e10: 270a 2020 7461 6773 3a0a 2020 2d20 4e49  '.  tags:.  - NI
│ │ │ -00044e20: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -00044e30: 290a 2020 2d20 5043 492d 4453 5376 342d  ).  - PCI-DSSv4-
│ │ │ -00044e40: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ -00044e50: 342d 322e 322e 360a 2020 2d20 656e 6162  4-2.2.6.  - enab
│ │ │ -00044e60: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00044e70: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -00044e80: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -00044e90: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ -00044ea0: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ -00044eb0: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -00044ec0: 6163 6b61 6765 5f73 7564 6f5f 696e 7374  ackage_sudo_inst
│ │ │ -00044ed0: 616c 6c65 640a 3c2f 636f 6465 3e3c 2f70  alled.</code></p
│ │ │ +00044790: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +000447a0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +000447b0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +000447c0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +000447d0: 6170 7365 2220 6964 3d22 6964 6d33 3734  apse" id="idm374
│ │ │ +000447e0: 3922 3e3c 7461 626c 6520 636c 6173 733d  9"><table class=
│ │ │ +000447f0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +00044800: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +00044810: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00044820: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +00044830: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +00044840: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00044850: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +00044860: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00044870: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00044880: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00044890: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +000448a0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +000448b0: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ +000448c0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +000448d0: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ +000448e0: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ +000448f0: 636b 6167 6520 6661 6374 730a 2020 7061  ckage facts.  pa
│ │ │ +00044900: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ +00044910: 206d 616e 6167 6572 3a20 6175 746f 0a20   manager: auto. 
│ │ │ +00044920: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ +00044930: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ +00044940: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +00044950: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ +00044960: 2e32 2e36 0a20 202d 2065 6e61 626c 655f  .2.6.  - enable_
│ │ │ +00044970: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ +00044980: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +00044990: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +000449a0: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ +000449b0: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +000449c0: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +000449d0: 6167 655f 7375 646f 5f69 6e73 7461 6c6c  age_sudo_install
│ │ │ +000449e0: 6564 0a0a 2d20 6e61 6d65 3a20 456e 7375  ed..- name: Ensu
│ │ │ +000449f0: 7265 2073 7564 6f20 6973 2069 6e73 7461  re sudo is insta
│ │ │ +00044a00: 6c6c 6564 0a20 2070 6163 6b61 6765 3a0a  lled.  package:.
│ │ │ +00044a10: 2020 2020 6e61 6d65 3a20 7375 646f 0a20      name: sudo. 
│ │ │ +00044a20: 2020 2073 7461 7465 3a20 7072 6573 656e     state: presen
│ │ │ +00044a30: 740a 2020 7768 656e 3a20 2722 6c69 6e75  t.  when: '"linu
│ │ │ +00044a40: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ +00044a50: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ +00044a60: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ +00044a70: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +00044a80: 6129 0a20 202d 2050 4349 2d44 5353 7634  a).  - PCI-DSSv4
│ │ │ +00044a90: 2d32 2e32 0a20 202d 2050 4349 2d44 5353  -2.2.  - PCI-DSS
│ │ │ +00044aa0: 7634 2d32 2e32 2e36 0a20 202d 2065 6e61  v4-2.2.6.  - ena
│ │ │ +00044ab0: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +00044ac0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +00044ad0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +00044ae0: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ +00044af0: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +00044b00: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +00044b10: 7061 636b 6167 655f 7375 646f 5f69 6e73  package_sudo_ins
│ │ │ +00044b20: 7461 6c6c 6564 0a3c 2f63 6f64 653e 3c2f  talled.</code></
│ │ │ +00044b30: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +00044b40: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +00044b50: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00044b60: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00044b70: 2d74 6172 6765 743d 2223 6964 6d33 3735  -target="#idm375
│ │ │ +00044b80: 3022 2074 6162 696e 6465 783d 2230 2220  0" tabindex="0" 
│ │ │ +00044b90: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +00044ba0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +00044bb0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +00044bc0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +00044bd0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +00044be0: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ +00044bf0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00044c00: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00044c10: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00044c20: 7365 2220 6964 3d22 6964 6d33 3735 3022  se" id="idm3750"
│ │ │ +00044c30: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00044c40: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00044c50: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00044c60: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00044c70: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00044c80: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00044c90: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00044ca0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00044cb0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00044cc0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00044cd0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00044ce0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00044cf0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00044d00: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +00044d10: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00044d20: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +00044d30: 2069 6e73 7461 6c6c 5f73 7564 6f0a 0a63   install_sudo..c
│ │ │ +00044d40: 6c61 7373 2069 6e73 7461 6c6c 5f73 7564  lass install_sud
│ │ │ +00044d50: 6f20 7b0a 2020 7061 636b 6167 6520 7b20  o {.  package { 
│ │ │ +00044d60: 2773 7564 6f27 3a0a 2020 2020 656e 7375  'sudo':.    ensu
│ │ │ +00044d70: 7265 203d 2667 743b 2027 696e 7374 616c  re =&gt; 'instal
│ │ │ +00044d80: 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  led',.  }.}.</co
│ │ │ +00044d90: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +00044da0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +00044db0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +00044dc0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +00044dd0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +00044de0: 646d 3337 3531 2220 7461 6269 6e64 6578  dm3751" tabindex
│ │ │ +00044df0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +00044e00: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +00044e10: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00044e20: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +00044e30: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00044e40: 6d65 6469 6174 696f 6e20 4f53 4275 696c  mediation OSBuil
│ │ │ +00044e50: 6420 426c 7565 7072 696e 7420 736e 6970  d Blueprint snip
│ │ │ +00044e60: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00044e70: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00044e80: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00044e90: 7365 2220 6964 3d22 6964 6d33 3735 3122  se" id="idm3751"
│ │ │ +00044ea0: 3e3c 7072 653e 3c63 6f64 653e 0a5b 5b70  ><pre><code>.[[p
│ │ │ +00044eb0: 6163 6b61 6765 735d 5d0a 6e61 6d65 203d  ackages]].name =
│ │ │ +00044ec0: 2022 7375 646f 220a 7665 7273 696f 6e20   "sudo".version 
│ │ │ +00044ed0: 3d20 222a 220a 3c2f 636f 6465 3e3c 2f70  = "*".</code></p
│ │ │  00044ee0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │  00044ef0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │  00044f00: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │  00044f10: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │  00044f20: 7461 7267 6574 3d22 2369 646d 3337 3532  target="#idm3752
│ │ │  00044f30: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │  00044f40: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ @@ -29602,129 +29602,129 @@
│ │ │  00073a10: 7461 7267 6574 3d22 2369 646d 3433 3730  target="#idm4370
│ │ │  00073a20: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │  00073a30: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │  00073a40: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │  00073a50: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │  00073a60: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │  00073a70: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00073a80: 696f 6e20 4f53 4275 696c 6420 426c 7565  ion OSBuild Blue
│ │ │ -00073a90: 7072 696e 7420 736e 6970 7065 7420 e287  print snippet ..
│ │ │ -00073aa0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00073ab0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00073ac0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00073ad0: 3d22 6964 6d34 3337 3022 3e3c 7072 653e  ="idm4370"><pre>
│ │ │ -00073ae0: 3c63 6f64 653e 0a5b 5b70 6163 6b61 6765  <code>.[[package
│ │ │ -00073af0: 735d 5d0a 6e61 6d65 203d 2022 6c69 6270  s]].name = "libp
│ │ │ -00073b00: 616d 2d70 7771 7561 6c69 7479 220a 7665  am-pwquality".ve
│ │ │ -00073b10: 7273 696f 6e20 3d20 222a 220a 3c2f 636f  rsion = "*".</co
│ │ │ -00073b20: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -00073b30: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -00073b40: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -00073b50: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -00073b60: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00073b70: 646d 3433 3731 2220 7461 6269 6e64 6578  dm4371" tabindex
│ │ │ -00073b80: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00073b90: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00073ba0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00073bb0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00073bc0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00073bd0: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -00073be0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00073bf0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00073c00: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00073c10: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00073c20: 3433 3731 223e 3c74 6162 6c65 2063 6c61  4371"><table cla
│ │ │ -00073c30: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00073c40: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00073c50: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00073c60: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00073c70: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00073c80: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00073c90: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00073ca0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00073cb0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00073cc0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00073cd0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00073ce0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00073cf0: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -00073d00: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00073d10: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -00073d20: 636c 7564 6520 696e 7374 616c 6c5f 6c69  clude install_li
│ │ │ -00073d30: 6270 616d 2d70 7771 7561 6c69 7479 0a0a  bpam-pwquality..
│ │ │ -00073d40: 636c 6173 7320 696e 7374 616c 6c5f 6c69  class install_li
│ │ │ -00073d50: 6270 616d 2d70 7771 7561 6c69 7479 207b  bpam-pwquality {
│ │ │ -00073d60: 0a20 2070 6163 6b61 6765 207b 2027 6c69  .  package { 'li
│ │ │ -00073d70: 6270 616d 2d70 7771 7561 6c69 7479 273a  bpam-pwquality':
│ │ │ -00073d80: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ -00073d90: 3b20 2769 6e73 7461 6c6c 6564 272c 0a20  ; 'installed',. 
│ │ │ -00073da0: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -00073db0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -00073dc0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -00073dd0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -00073de0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -00073df0: 6172 6765 743d 2223 6964 6d34 3337 3222  arget="#idm4372"
│ │ │ -00073e00: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -00073e10: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -00073e20: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -00073e30: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -00073e40: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -00073e50: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00073e60: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ -00073e70: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -00073e80: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00073e90: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -00073ea0: 6522 2069 643d 2269 646d 3433 3732 223e  e" id="idm4372">
│ │ │ -00073eb0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00073ec0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00073ed0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00073ee0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00073ef0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00073f00: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00073f10: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00073f20: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -00073f30: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00073f40: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00073f50: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00073f60: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00073f70: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00073f80: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ -00073f90: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00073fa0: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ -00073fb0: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ -00073fc0: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ -00073fd0: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ -00073fe0: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ -00073ff0: 6773 3a0a 2020 2d20 656e 6162 6c65 5f73  gs:.  - enable_s
│ │ │ -00074000: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -00074010: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -00074020: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -00074030: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -00074040: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -00074050: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -00074060: 6765 5f70 616d 5f70 7771 7561 6c69 7479  ge_pam_pwquality
│ │ │ -00074070: 5f69 6e73 7461 6c6c 6564 0a0a 2d20 6e61  _installed..- na
│ │ │ -00074080: 6d65 3a20 456e 7375 7265 206c 6962 7061  me: Ensure libpa
│ │ │ -00074090: 6d2d 7077 7175 616c 6974 7920 6973 2069  m-pwquality is i
│ │ │ -000740a0: 6e73 7461 6c6c 6564 0a20 2070 6163 6b61  nstalled.  packa
│ │ │ -000740b0: 6765 3a0a 2020 2020 6e61 6d65 3a20 6c69  ge:.    name: li
│ │ │ -000740c0: 6270 616d 2d70 7771 7561 6c69 7479 0a20  bpam-pwquality. 
│ │ │ -000740d0: 2020 2073 7461 7465 3a20 7072 6573 656e     state: presen
│ │ │ -000740e0: 740a 2020 7768 656e 3a20 2722 6c69 6270  t.  when: '"libp
│ │ │ -000740f0: 616d 2d72 756e 7469 6d65 2220 696e 2061  am-runtime" in a
│ │ │ -00074100: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ -00074110: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ -00074120: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ -00074130: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -00074140: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -00074150: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ -00074160: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ -00074170: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -00074180: 640a 2020 2d20 7061 636b 6167 655f 7061  d.  - package_pa
│ │ │ -00074190: 6d5f 7077 7175 616c 6974 795f 696e 7374  m_pwquality_inst
│ │ │ -000741a0: 616c 6c65 640a 3c2f 636f 6465 3e3c 2f70  alled.</code></p
│ │ │ +00073a80: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ +00073a90: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00073aa0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00073ab0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00073ac0: 7365 2220 6964 3d22 6964 6d34 3337 3022  se" id="idm4370"
│ │ │ +00073ad0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00073ae0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00073af0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00073b00: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00073b10: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00073b20: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00073b30: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00073b40: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00073b50: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00073b60: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00073b70: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00073b80: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00073b90: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00073ba0: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +00073bb0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00073bc0: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +00073bd0: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ +00073be0: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ +00073bf0: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ +00073c00: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ +00073c10: 6167 733a 0a20 202d 2065 6e61 626c 655f  ags:.  - enable_
│ │ │ +00073c20: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ +00073c30: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +00073c40: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +00073c50: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ +00073c60: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +00073c70: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +00073c80: 6167 655f 7061 6d5f 7077 7175 616c 6974  age_pam_pwqualit
│ │ │ +00073c90: 795f 696e 7374 616c 6c65 640a 0a2d 206e  y_installed..- n
│ │ │ +00073ca0: 616d 653a 2045 6e73 7572 6520 6c69 6270  ame: Ensure libp
│ │ │ +00073cb0: 616d 2d70 7771 7561 6c69 7479 2069 7320  am-pwquality is 
│ │ │ +00073cc0: 696e 7374 616c 6c65 640a 2020 7061 636b  installed.  pack
│ │ │ +00073cd0: 6167 653a 0a20 2020 206e 616d 653a 206c  age:.    name: l
│ │ │ +00073ce0: 6962 7061 6d2d 7077 7175 616c 6974 790a  ibpam-pwquality.
│ │ │ +00073cf0: 2020 2020 7374 6174 653a 2070 7265 7365      state: prese
│ │ │ +00073d00: 6e74 0a20 2077 6865 6e3a 2027 226c 6962  nt.  when: '"lib
│ │ │ +00073d10: 7061 6d2d 7275 6e74 696d 6522 2069 6e20  pam-runtime" in 
│ │ │ +00073d20: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ +00073d30: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ +00073d40: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ +00073d50: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ +00073d60: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +00073d70: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ +00073d80: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ +00073d90: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +00073da0: 6564 0a20 202d 2070 6163 6b61 6765 5f70  ed.  - package_p
│ │ │ +00073db0: 616d 5f70 7771 7561 6c69 7479 5f69 6e73  am_pwquality_ins
│ │ │ +00073dc0: 7461 6c6c 6564 0a3c 2f63 6f64 653e 3c2f  talled.</code></
│ │ │ +00073dd0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +00073de0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +00073df0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00073e00: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00073e10: 2d74 6172 6765 743d 2223 6964 6d34 3337  -target="#idm437
│ │ │ +00073e20: 3122 2074 6162 696e 6465 783d 2230 2220  1" tabindex="0" 
│ │ │ +00073e30: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +00073e40: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +00073e50: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +00073e60: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +00073e70: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +00073e80: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ +00073e90: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00073ea0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00073eb0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00073ec0: 7365 2220 6964 3d22 6964 6d34 3337 3122  se" id="idm4371"
│ │ │ +00073ed0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00073ee0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00073ef0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00073f00: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00073f10: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00073f20: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00073f30: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00073f40: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00073f50: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00073f60: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00073f70: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00073f80: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00073f90: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00073fa0: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +00073fb0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00073fc0: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +00073fd0: 2069 6e73 7461 6c6c 5f6c 6962 7061 6d2d   install_libpam-
│ │ │ +00073fe0: 7077 7175 616c 6974 790a 0a63 6c61 7373  pwquality..class
│ │ │ +00073ff0: 2069 6e73 7461 6c6c 5f6c 6962 7061 6d2d   install_libpam-
│ │ │ +00074000: 7077 7175 616c 6974 7920 7b0a 2020 7061  pwquality {.  pa
│ │ │ +00074010: 636b 6167 6520 7b20 276c 6962 7061 6d2d  ckage { 'libpam-
│ │ │ +00074020: 7077 7175 616c 6974 7927 3a0a 2020 2020  pwquality':.    
│ │ │ +00074030: 656e 7375 7265 203d 2667 743b 2027 696e  ensure =&gt; 'in
│ │ │ +00074040: 7374 616c 6c65 6427 2c0a 2020 7d0a 7d0a  stalled',.  }.}.
│ │ │ +00074050: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +00074060: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +00074070: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +00074080: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00074090: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +000740a0: 3d22 2369 646d 3433 3732 2220 7461 6269  ="#idm4372" tabi
│ │ │ +000740b0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +000740c0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +000740d0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +000740e0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +000740f0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00074100: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ +00074110: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ +00074120: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00074130: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00074140: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00074150: 6c6c 6170 7365 2220 6964 3d22 6964 6d34  llapse" id="idm4
│ │ │ +00074160: 3337 3222 3e3c 7072 653e 3c63 6f64 653e  372"><pre><code>
│ │ │ +00074170: 0a5b 5b70 6163 6b61 6765 735d 5d0a 6e61  .[[packages]].na
│ │ │ +00074180: 6d65 203d 2022 6c69 6270 616d 2d70 7771  me = "libpam-pwq
│ │ │ +00074190: 7561 6c69 7479 220a 7665 7273 696f 6e20  uality".version 
│ │ │ +000741a0: 3d20 222a 220a 3c2f 636f 6465 3e3c 2f70  = "*".</code></p
│ │ │  000741b0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │  000741c0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │  000741d0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │  000741e0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │  000741f0: 7461 7267 6574 3d22 2369 646d 3433 3733  target="#idm4373
│ │ │  00074200: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │  00074210: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ @@ -100410,93 +100410,93 @@
│ │ │  00188390: 6765 743d 2223 6964 6d32 3030 3435 2220  get="#idm20045" 
│ │ │  001883a0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  001883b0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  001883c0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  001883d0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  001883e0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  001883f0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00188400: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -00188410: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00188420: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00188430: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00188440: 2069 643d 2269 646d 3230 3034 3522 3e3c   id="idm20045"><
│ │ │ -00188450: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00188460: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -00188470: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -00188480: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00188490: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -001884a0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -001884b0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -001884c0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -001884d0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -001884e0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -001884f0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -00188500: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00188510: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -00188520: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -00188530: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00188540: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -00188550: 7265 6d6f 7665 5f64 6863 700a 0a63 6c61  remove_dhcp..cla
│ │ │ -00188560: 7373 2072 656d 6f76 655f 6468 6370 207b  ss remove_dhcp {
│ │ │ -00188570: 0a20 2070 6163 6b61 6765 207b 2027 6468  .  package { 'dh
│ │ │ -00188580: 6370 273a 0a20 2020 2065 6e73 7572 6520  cp':.    ensure 
│ │ │ -00188590: 3d26 6774 3b20 2770 7572 6765 6427 2c0a  =&gt; 'purged',.
│ │ │ -001885a0: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -001885b0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -001885c0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -001885d0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -001885e0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -001885f0: 7461 7267 6574 3d22 2369 646d 3230 3034  target="#idm2004
│ │ │ -00188600: 3622 2074 6162 696e 6465 783d 2230 2220  6" tabindex="0" 
│ │ │ -00188610: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00188620: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00188630: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00188640: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00188650: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00188660: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -00188670: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00188680: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00188690: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -001886a0: 7073 6522 2069 643d 2269 646d 3230 3034  pse" id="idm2004
│ │ │ -001886b0: 3622 3e3c 7461 626c 6520 636c 6173 733d  6"><table class=
│ │ │ -001886c0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -001886d0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -001886e0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -001886f0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -00188700: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -00188710: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00188720: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -00188730: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00188740: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00188750: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00188760: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00188770: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00188780: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -00188790: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -001887a0: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ -001887b0: 6d65 3a20 456e 7375 7265 2064 6863 7020  me: Ensure dhcp 
│ │ │ -001887c0: 6973 2072 656d 6f76 6564 0a20 2070 6163  is removed.  pac
│ │ │ -001887d0: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -001887e0: 6468 6370 0a20 2020 2073 7461 7465 3a20  dhcp.    state: 
│ │ │ -001887f0: 6162 7365 6e74 0a20 2074 6167 733a 0a20  absent.  tags:. 
│ │ │ -00188800: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -00188810: 4d2d 3628 6129 0a20 202d 204e 4953 542d  M-6(a).  - NIST-
│ │ │ -00188820: 3830 302d 3533 2d43 4d2d 3728 6129 0a20  800-53-CM-7(a). 
│ │ │ -00188830: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -00188840: 4d2d 3728 6229 0a20 202d 2050 4349 2d44  M-7(b).  - PCI-D
│ │ │ -00188850: 5353 7634 2d32 2e32 0a20 202d 2050 4349  SSv4-2.2.  - PCI
│ │ │ -00188860: 2d44 5353 7634 2d32 2e32 2e34 0a20 202d  -DSSv4-2.2.4.  -
│ │ │ -00188870: 2064 6973 6162 6c65 5f73 7472 6174 6567   disable_strateg
│ │ │ -00188880: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -00188890: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -001888a0: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -001888b0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -001888c0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -001888d0: 0a20 202d 2070 6163 6b61 6765 5f64 6863  .  - package_dhc
│ │ │ -001888e0: 705f 7265 6d6f 7665 640a 3c2f 636f 6465  p_removed.</code
│ │ │ +00188400: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +00188410: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00188420: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00188430: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00188440: 2220 6964 3d22 6964 6d32 3030 3435 223e  " id="idm20045">
│ │ │ +00188450: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00188460: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00188470: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00188480: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00188490: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +001884a0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +001884b0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +001884c0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +001884d0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001884e0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +001884f0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00188500: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00188510: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00188520: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +00188530: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00188540: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +00188550: 2045 6e73 7572 6520 6468 6370 2069 7320   Ensure dhcp is 
│ │ │ +00188560: 7265 6d6f 7665 640a 2020 7061 636b 6167  removed.  packag
│ │ │ +00188570: 653a 0a20 2020 206e 616d 653a 2064 6863  e:.    name: dhc
│ │ │ +00188580: 700a 2020 2020 7374 6174 653a 2061 6273  p.    state: abs
│ │ │ +00188590: 656e 740a 2020 7461 6773 3a0a 2020 2d20  ent.  tags:.  - 
│ │ │ +001885a0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ +001885b0: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ +001885c0: 2d35 332d 434d 2d37 2861 290a 2020 2d20  -53-CM-7(a).  - 
│ │ │ +001885d0: 4e49 5354 2d38 3030 2d35 332d 434d 2d37  NIST-800-53-CM-7
│ │ │ +001885e0: 2862 290a 2020 2d20 5043 492d 4453 5376  (b).  - PCI-DSSv
│ │ │ +001885f0: 342d 322e 320a 2020 2d20 5043 492d 4453  4-2.2.  - PCI-DS
│ │ │ +00188600: 5376 342d 322e 322e 340a 2020 2d20 6469  Sv4-2.2.4.  - di
│ │ │ +00188610: 7361 626c 655f 7374 7261 7465 6779 0a20  sable_strategy. 
│ │ │ +00188620: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +00188630: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +00188640: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ +00188650: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ +00188660: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +00188670: 2d20 7061 636b 6167 655f 6468 6370 5f72  - package_dhcp_r
│ │ │ +00188680: 656d 6f76 6564 0a3c 2f63 6f64 653e 3c2f  emoved.</code></
│ │ │ +00188690: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +001886a0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +001886b0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +001886c0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +001886d0: 2d74 6172 6765 743d 2223 6964 6d32 3030  -target="#idm200
│ │ │ +001886e0: 3436 2220 7461 6269 6e64 6578 3d22 3022  46" tabindex="0"
│ │ │ +001886f0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +00188700: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +00188710: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +00188720: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +00188730: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +00188740: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ +00188750: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00188760: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00188770: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00188780: 7073 6522 2069 643d 2269 646d 3230 3034  pse" id="idm2004
│ │ │ +00188790: 3622 3e3c 7461 626c 6520 636c 6173 733d  6"><table class=
│ │ │ +001887a0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +001887b0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +001887c0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +001887d0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +001887e0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +001887f0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00188800: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +00188810: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00188820: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00188830: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00188840: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00188850: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00188860: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +00188870: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00188880: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ +00188890: 7564 6520 7265 6d6f 7665 5f64 6863 700a  ude remove_dhcp.
│ │ │ +001888a0: 0a63 6c61 7373 2072 656d 6f76 655f 6468  .class remove_dh
│ │ │ +001888b0: 6370 207b 0a20 2070 6163 6b61 6765 207b  cp {.  package {
│ │ │ +001888c0: 2027 6468 6370 273a 0a20 2020 2065 6e73   'dhcp':.    ens
│ │ │ +001888d0: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ +001888e0: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │  001888f0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │  00188900: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │  00188910: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │  00188920: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │  00188930: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  00188940: 3230 3034 3722 2074 6162 696e 6465 783d  20047" tabindex=
│ │ │  00188950: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ @@ -100663,86 +100663,86 @@
│ │ │  00189360: 6574 3d22 2369 646d 3230 3035 3722 2074  et="#idm20057" t
│ │ │  00189370: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  00189380: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  00189390: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  001893a0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  001893b0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  001893c0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -001893d0: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -001893e0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -001893f0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00189400: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00189410: 6964 3d22 6964 6d32 3030 3537 223e 3c74  id="idm20057"><t
│ │ │ -00189420: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -00189430: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -00189440: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -00189450: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -00189460: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -00189470: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -00189480: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00189490: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -001894a0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -001894b0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -001894c0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -001894d0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -001894e0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -001894f0: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -00189500: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -00189510: 3e3c 636f 6465 3e69 6e63 6c75 6465 2072  ><code>include r
│ │ │ -00189520: 656d 6f76 655f 6b65 610a 0a63 6c61 7373  emove_kea..class
│ │ │ -00189530: 2072 656d 6f76 655f 6b65 6120 7b0a 2020   remove_kea {.  
│ │ │ -00189540: 7061 636b 6167 6520 7b20 276b 6561 273a  package { 'kea':
│ │ │ -00189550: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ -00189560: 3b20 2770 7572 6765 6427 2c0a 2020 7d0a  ; 'purged',.  }.
│ │ │ -00189570: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │ -00189580: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -00189590: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -001895a0: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -001895b0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -001895c0: 6574 3d22 2369 646d 3230 3035 3822 2074  et="#idm20058" t
│ │ │ -001895d0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -001895e0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -001895f0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -00189600: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -00189610: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -00189620: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00189630: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ -00189640: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00189650: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00189660: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00189670: 2069 643d 2269 646d 3230 3035 3822 3e3c   id="idm20058"><
│ │ │ -00189680: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00189690: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -001896a0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -001896b0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -001896c0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -001896d0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -001896e0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -001896f0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -00189700: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00189710: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -00189720: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -00189730: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00189740: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -00189750: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -00189760: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00189770: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ -00189780: 456e 7375 7265 206b 6561 2069 7320 7265  Ensure kea is re
│ │ │ -00189790: 6d6f 7665 640a 2020 7061 636b 6167 653a  moved.  package:
│ │ │ -001897a0: 0a20 2020 206e 616d 653a 206b 6561 0a20  .    name: kea. 
│ │ │ -001897b0: 2020 2073 7461 7465 3a20 6162 7365 6e74     state: absent
│ │ │ -001897c0: 0a20 2074 6167 733a 0a20 202d 2064 6973  .  tags:.  - dis
│ │ │ -001897d0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -001897e0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -001897f0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -00189800: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -00189810: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -00189820: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -00189830: 2070 6163 6b61 6765 5f6b 6561 5f72 656d   package_kea_rem
│ │ │ -00189840: 6f76 6564 0a3c 2f63 6f64 653e 3c2f 7072  oved.</code></pr
│ │ │ +001893d0: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +001893e0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +001893f0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00189400: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00189410: 2069 643d 2269 646d 3230 3035 3722 3e3c   id="idm20057"><
│ │ │ +00189420: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00189430: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00189440: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00189450: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00189460: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00189470: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00189480: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00189490: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +001894a0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +001894b0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +001894c0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +001894d0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001894e0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +001894f0: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +00189500: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00189510: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +00189520: 456e 7375 7265 206b 6561 2069 7320 7265  Ensure kea is re
│ │ │ +00189530: 6d6f 7665 640a 2020 7061 636b 6167 653a  moved.  package:
│ │ │ +00189540: 0a20 2020 206e 616d 653a 206b 6561 0a20  .    name: kea. 
│ │ │ +00189550: 2020 2073 7461 7465 3a20 6162 7365 6e74     state: absent
│ │ │ +00189560: 0a20 2074 6167 733a 0a20 202d 2064 6973  .  tags:.  - dis
│ │ │ +00189570: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +00189580: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +00189590: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +001895a0: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +001895b0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +001895c0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +001895d0: 2070 6163 6b61 6765 5f6b 6561 5f72 656d   package_kea_rem
│ │ │ +001895e0: 6f76 6564 0a3c 2f63 6f64 653e 3c2f 7072  oved.</code></pr
│ │ │ +001895f0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00189600: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00189610: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00189620: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00189630: 6172 6765 743d 2223 6964 6d32 3030 3538  arget="#idm20058
│ │ │ +00189640: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00189650: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00189660: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00189670: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00189680: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00189690: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +001896a0: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +001896b0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +001896c0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +001896d0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +001896e0: 6522 2069 643d 2269 646d 3230 3035 3822  e" id="idm20058"
│ │ │ +001896f0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00189700: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00189710: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00189720: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00189730: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00189740: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00189750: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00189760: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00189770: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00189780: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00189790: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +001897a0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +001897b0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +001897c0: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +001897d0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +001897e0: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +001897f0: 6520 7265 6d6f 7665 5f6b 6561 0a0a 636c  e remove_kea..cl
│ │ │ +00189800: 6173 7320 7265 6d6f 7665 5f6b 6561 207b  ass remove_kea {
│ │ │ +00189810: 0a20 2070 6163 6b61 6765 207b 2027 6b65  .  package { 'ke
│ │ │ +00189820: 6127 3a0a 2020 2020 656e 7375 7265 203d  a':.    ensure =
│ │ │ +00189830: 2667 743b 2027 7075 7267 6564 272c 0a20  &gt; 'purged',. 
│ │ │ +00189840: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │  00189850: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │  00189860: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │  00189870: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │  00189880: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │  00189890: 6172 6765 743d 2223 6964 6d32 3030 3539  arget="#idm20059
│ │ │  001898a0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │  001898b0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ @@ -101880,113 +101880,113 @@
│ │ │  0018df70: 2d74 6172 6765 743d 2223 6964 6d32 3032  -target="#idm202
│ │ │  0018df80: 3136 2220 7461 6269 6e64 6578 3d22 3022  16" tabindex="0"
│ │ │  0018df90: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  0018dfa0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  0018dfb0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  0018dfc0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  0018dfd0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -0018dfe0: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -0018dff0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -0018e000: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -0018e010: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -0018e020: 7073 6522 2069 643d 2269 646d 3230 3231  pse" id="idm2021
│ │ │ -0018e030: 3622 3e3c 7461 626c 6520 636c 6173 733d  6"><table class=
│ │ │ -0018e040: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -0018e050: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -0018e060: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -0018e070: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -0018e080: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -0018e090: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0018e0a0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -0018e0b0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0018e0c0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -0018e0d0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -0018e0e0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -0018e0f0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -0018e100: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -0018e110: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -0018e120: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ -0018e130: 7564 6520 7265 6d6f 7665 5f73 656e 646d  ude remove_sendm
│ │ │ -0018e140: 6169 6c0a 0a63 6c61 7373 2072 656d 6f76  ail..class remov
│ │ │ -0018e150: 655f 7365 6e64 6d61 696c 207b 0a20 2070  e_sendmail {.  p
│ │ │ -0018e160: 6163 6b61 6765 207b 2027 7365 6e64 6d61  ackage { 'sendma
│ │ │ -0018e170: 696c 273a 0a20 2020 2065 6e73 7572 6520  il':.    ensure 
│ │ │ -0018e180: 3d26 6774 3b20 2770 7572 6765 6427 2c0a  =&gt; 'purged',.
│ │ │ -0018e190: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -0018e1a0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -0018e1b0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -0018e1c0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -0018e1d0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -0018e1e0: 7461 7267 6574 3d22 2369 646d 3230 3231  target="#idm2021
│ │ │ -0018e1f0: 3722 2074 6162 696e 6465 783d 2230 2220  7" tabindex="0" 
│ │ │ -0018e200: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -0018e210: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -0018e220: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -0018e230: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -0018e240: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -0018e250: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -0018e260: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -0018e270: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -0018e280: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -0018e290: 7073 6522 2069 643d 2269 646d 3230 3231  pse" id="idm2021
│ │ │ -0018e2a0: 3722 3e3c 7461 626c 6520 636c 6173 733d  7"><table class=
│ │ │ -0018e2b0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -0018e2c0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -0018e2d0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -0018e2e0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -0018e2f0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -0018e300: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0018e310: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -0018e320: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0018e330: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -0018e340: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -0018e350: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -0018e360: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -0018e370: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -0018e380: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -0018e390: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ -0018e3a0: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ -0018e3b0: 6163 6b61 6765 2066 6163 7473 0a20 2070  ackage facts.  p
│ │ │ -0018e3c0: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ -0018e3d0: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ -0018e3e0: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ -0018e3f0: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -0018e400: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0018e410: 434d 2d37 2861 290a 2020 2d20 4e49 5354  CM-7(a).  - NIST
│ │ │ -0018e420: 2d38 3030 2d35 332d 434d 2d37 2862 290a  -800-53-CM-7(b).
│ │ │ -0018e430: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -0018e440: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -0018e450: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -0018e460: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ -0018e470: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ -0018e480: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -0018e490: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ -0018e4a0: 7365 6e64 6d61 696c 5f72 656d 6f76 6564  sendmail_removed
│ │ │ -0018e4b0: 0a0a 2d20 6e61 6d65 3a20 456e 7375 7265  ..- name: Ensure
│ │ │ -0018e4c0: 2073 656e 646d 6169 6c20 6973 2072 656d   sendmail is rem
│ │ │ -0018e4d0: 6f76 6564 0a20 2070 6163 6b61 6765 3a0a  oved.  package:.
│ │ │ -0018e4e0: 2020 2020 6e61 6d65 3a20 7365 6e64 6d61      name: sendma
│ │ │ -0018e4f0: 696c 0a20 2020 2073 7461 7465 3a20 6162  il.    state: ab
│ │ │ -0018e500: 7365 6e74 0a20 2077 6865 6e3a 2027 226c  sent.  when: '"l
│ │ │ -0018e510: 696e 7578 2d62 6173 6522 2069 6e20 616e  inux-base" in an
│ │ │ -0018e520: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ -0018e530: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ -0018e540: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -0018e550: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ -0018e560: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ -0018e570: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -0018e580: 2d37 2862 290a 2020 2d20 6469 7361 626c  -7(b).  - disabl
│ │ │ -0018e590: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -0018e5a0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -0018e5b0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -0018e5c0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -0018e5d0: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -0018e5e0: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -0018e5f0: 636b 6167 655f 7365 6e64 6d61 696c 5f72  ckage_sendmail_r
│ │ │ -0018e600: 656d 6f76 6564 0a3c 2f63 6f64 653e 3c2f  emoved.</code></
│ │ │ +0018dfe0: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +0018dff0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +0018e000: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0018e010: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0018e020: 6170 7365 2220 6964 3d22 6964 6d32 3032  apse" id="idm202
│ │ │ +0018e030: 3136 223e 3c74 6162 6c65 2063 6c61 7373  16"><table class
│ │ │ +0018e040: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0018e050: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0018e060: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0018e070: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0018e080: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +0018e090: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0018e0a0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +0018e0b0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +0018e0c0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0018e0d0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +0018e0e0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +0018e0f0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +0018e100: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +0018e110: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0018e120: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +0018e130: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ +0018e140: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ +0018e150: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ +0018e160: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ +0018e170: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +0018e180: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +0018e190: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0018e1a0: 2d43 4d2d 3728 6129 0a20 202d 204e 4953  -CM-7(a).  - NIS
│ │ │ +0018e1b0: 542d 3830 302d 3533 2d43 4d2d 3728 6229  T-800-53-CM-7(b)
│ │ │ +0018e1c0: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ +0018e1d0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +0018e1e0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +0018e1f0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +0018e200: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +0018e210: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +0018e220: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +0018e230: 5f73 656e 646d 6169 6c5f 7265 6d6f 7665  _sendmail_remove
│ │ │ +0018e240: 640a 0a2d 206e 616d 653a 2045 6e73 7572  d..- name: Ensur
│ │ │ +0018e250: 6520 7365 6e64 6d61 696c 2069 7320 7265  e sendmail is re
│ │ │ +0018e260: 6d6f 7665 640a 2020 7061 636b 6167 653a  moved.  package:
│ │ │ +0018e270: 0a20 2020 206e 616d 653a 2073 656e 646d  .    name: sendm
│ │ │ +0018e280: 6169 6c0a 2020 2020 7374 6174 653a 2061  ail.    state: a
│ │ │ +0018e290: 6273 656e 740a 2020 7768 656e 3a20 2722  bsent.  when: '"
│ │ │ +0018e2a0: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ +0018e2b0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ +0018e2c0: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ +0018e2d0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +0018e2e0: 4d2d 3628 6129 0a20 202d 204e 4953 542d  M-6(a).  - NIST-
│ │ │ +0018e2f0: 3830 302d 3533 2d43 4d2d 3728 6129 0a20  800-53-CM-7(a). 
│ │ │ +0018e300: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +0018e310: 4d2d 3728 6229 0a20 202d 2064 6973 6162  M-7(b).  - disab
│ │ │ +0018e320: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +0018e330: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +0018e340: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +0018e350: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +0018e360: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +0018e370: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +0018e380: 6163 6b61 6765 5f73 656e 646d 6169 6c5f  ackage_sendmail_
│ │ │ +0018e390: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ +0018e3a0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +0018e3b0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +0018e3c0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +0018e3d0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +0018e3e0: 612d 7461 7267 6574 3d22 2369 646d 3230  a-target="#idm20
│ │ │ +0018e3f0: 3231 3722 2074 6162 696e 6465 783d 2230  217" tabindex="0
│ │ │ +0018e400: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +0018e410: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +0018e420: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +0018e430: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +0018e440: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +0018e450: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +0018e460: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +0018e470: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0018e480: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0018e490: 6170 7365 2220 6964 3d22 6964 6d32 3032  apse" id="idm202
│ │ │ +0018e4a0: 3137 223e 3c74 6162 6c65 2063 6c61 7373  17"><table class
│ │ │ +0018e4b0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0018e4c0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0018e4d0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0018e4e0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0018e4f0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +0018e500: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0018e510: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +0018e520: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +0018e530: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0018e540: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +0018e550: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +0018e560: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +0018e570: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +0018e580: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0018e590: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +0018e5a0: 6c75 6465 2072 656d 6f76 655f 7365 6e64  lude remove_send
│ │ │ +0018e5b0: 6d61 696c 0a0a 636c 6173 7320 7265 6d6f  mail..class remo
│ │ │ +0018e5c0: 7665 5f73 656e 646d 6169 6c20 7b0a 2020  ve_sendmail {.  
│ │ │ +0018e5d0: 7061 636b 6167 6520 7b20 2773 656e 646d  package { 'sendm
│ │ │ +0018e5e0: 6169 6c27 3a0a 2020 2020 656e 7375 7265  ail':.    ensure
│ │ │ +0018e5f0: 203d 2667 743b 2027 7075 7267 6564 272c   =&gt; 'purged',
│ │ │ +0018e600: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │  0018e610: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │  0018e620: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │  0018e630: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │  0018e640: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │  0018e650: 2d74 6172 6765 743d 2223 6964 6d32 3032  -target="#idm202
│ │ │  0018e660: 3138 2220 7461 6269 6e64 6578 3d22 3022  18" tabindex="0"
│ │ │  0018e670: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ @@ -103527,116 +103527,116 @@
│ │ │  00194660: 7461 7267 6574 3d22 2369 646d 3230 3837  target="#idm2087
│ │ │  00194670: 3622 2074 6162 696e 6465 783d 2230 2220  6" tabindex="0" 
│ │ │  00194680: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │  00194690: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │  001946a0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │  001946b0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │  001946c0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -001946d0: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -001946e0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -001946f0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00194700: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00194710: 7365 2220 6964 3d22 6964 6d32 3038 3736  se" id="idm20876
│ │ │ -00194720: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00194730: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00194740: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00194750: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00194760: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00194770: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00194780: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00194790: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -001947a0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -001947b0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -001947c0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -001947d0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -001947e0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -001947f0: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -00194800: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00194810: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ -00194820: 6465 2072 656d 6f76 655f 7869 6e65 7464  de remove_xinetd
│ │ │ -00194830: 0a0a 636c 6173 7320 7265 6d6f 7665 5f78  ..class remove_x
│ │ │ -00194840: 696e 6574 6420 7b0a 2020 7061 636b 6167  inetd {.  packag
│ │ │ -00194850: 6520 7b20 2778 696e 6574 6427 3a0a 2020  e { 'xinetd':.  
│ │ │ -00194860: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -00194870: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │ -00194880: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -00194890: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -001948a0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -001948b0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -001948c0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -001948d0: 2223 6964 6d32 3038 3737 2220 7461 6269  "#idm20877" tabi
│ │ │ -001948e0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -001948f0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -00194900: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -00194910: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -00194920: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00194930: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -00194940: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -00194950: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00194960: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00194970: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00194980: 3d22 6964 6d32 3038 3737 223e 3c74 6162  ="idm20877"><tab
│ │ │ -00194990: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -001949a0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -001949b0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -001949c0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -001949d0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -001949e0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -001949f0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00194a00: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -00194a10: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00194a20: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -00194a30: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -00194a40: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -00194a50: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00194a60: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -00194a70: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -00194a80: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ -00194a90: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ -00194aa0: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ -00194ab0: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ -00194ac0: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ -00194ad0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00194ae0: 2d43 4d2d 3628 6129 0a20 202d 204e 4953  -CM-6(a).  - NIS
│ │ │ -00194af0: 542d 3830 302d 3533 2d43 4d2d 3728 6129  T-800-53-CM-7(a)
│ │ │ -00194b00: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00194b10: 2d43 4d2d 3728 6229 0a20 202d 2050 4349  -CM-7(b).  - PCI
│ │ │ -00194b20: 2d44 5353 7634 2d32 2e32 0a20 202d 2050  -DSSv4-2.2.  - P
│ │ │ -00194b30: 4349 2d44 5353 7634 2d32 2e32 2e34 0a20  CI-DSSv4-2.2.4. 
│ │ │ -00194b40: 202d 2064 6973 6162 6c65 5f73 7472 6174   - disable_strat
│ │ │ -00194b50: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ -00194b60: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -00194b70: 6973 7275 7074 696f 6e0a 2020 2d20 6c6f  isruption.  - lo
│ │ │ -00194b80: 775f 7365 7665 7269 7479 0a20 202d 206e  w_severity.  - n
│ │ │ -00194b90: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -00194ba0: 2020 2d20 7061 636b 6167 655f 7869 6e65    - package_xine
│ │ │ -00194bb0: 7464 5f72 656d 6f76 6564 0a0a 2d20 6e61  td_removed..- na
│ │ │ -00194bc0: 6d65 3a20 456e 7375 7265 2078 696e 6574  me: Ensure xinet
│ │ │ -00194bd0: 6420 6973 2072 656d 6f76 6564 0a20 2070  d is removed.  p
│ │ │ -00194be0: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -00194bf0: 3a20 7869 6e65 7464 0a20 2020 2073 7461  : xinetd.    sta
│ │ │ -00194c00: 7465 3a20 6162 7365 6e74 0a20 2077 6865  te: absent.  whe
│ │ │ -00194c10: 6e3a 2027 226c 696e 7578 2d62 6173 6522  n: '"linux-base"
│ │ │ -00194c20: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ -00194c30: 732e 7061 636b 6167 6573 270a 2020 7461  s.packages'.  ta
│ │ │ -00194c40: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ -00194c50: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ -00194c60: 4e49 5354 2d38 3030 2d35 332d 434d 2d37  NIST-800-53-CM-7
│ │ │ -00194c70: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ -00194c80: 2d35 332d 434d 2d37 2862 290a 2020 2d20  -53-CM-7(b).  - 
│ │ │ -00194c90: 5043 492d 4453 5376 342d 322e 320a 2020  PCI-DSSv4-2.2.  
│ │ │ -00194ca0: 2d20 5043 492d 4453 5376 342d 322e 322e  - PCI-DSSv4-2.2.
│ │ │ -00194cb0: 340a 2020 2d20 6469 7361 626c 655f 7374  4.  - disable_st
│ │ │ -00194cc0: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -00194cd0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -00194ce0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -00194cf0: 206c 6f77 5f73 6576 6572 6974 790a 2020   low_severity.  
│ │ │ -00194d00: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -00194d10: 6564 0a20 202d 2070 6163 6b61 6765 5f78  ed.  - package_x
│ │ │ -00194d20: 696e 6574 645f 7265 6d6f 7665 640a 3c2f  inetd_removed.</
│ │ │ +001946d0: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ +001946e0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +001946f0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00194700: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00194710: 7073 6522 2069 643d 2269 646d 3230 3837  pse" id="idm2087
│ │ │ +00194720: 3622 3e3c 7461 626c 6520 636c 6173 733d  6"><table class=
│ │ │ +00194730: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +00194740: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +00194750: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00194760: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +00194770: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +00194780: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00194790: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +001947a0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +001947b0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +001947c0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +001947d0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +001947e0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +001947f0: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +00194800: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00194810: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +00194820: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ +00194830: 6163 6b61 6765 2066 6163 7473 0a20 2070  ackage facts.  p
│ │ │ +00194840: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ +00194850: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ +00194860: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +00194870: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +00194880: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00194890: 434d 2d37 2861 290a 2020 2d20 4e49 5354  CM-7(a).  - NIST
│ │ │ +001948a0: 2d38 3030 2d35 332d 434d 2d37 2862 290a  -800-53-CM-7(b).
│ │ │ +001948b0: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ +001948c0: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ +001948d0: 322e 322e 340a 2020 2d20 6469 7361 626c  2.2.4.  - disabl
│ │ │ +001948e0: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +001948f0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +00194900: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +00194910: 0a20 202d 206c 6f77 5f73 6576 6572 6974  .  - low_severit
│ │ │ +00194920: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +00194930: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ +00194940: 6765 5f78 696e 6574 645f 7265 6d6f 7665  ge_xinetd_remove
│ │ │ +00194950: 640a 0a2d 206e 616d 653a 2045 6e73 7572  d..- name: Ensur
│ │ │ +00194960: 6520 7869 6e65 7464 2069 7320 7265 6d6f  e xinetd is remo
│ │ │ +00194970: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ +00194980: 2020 206e 616d 653a 2078 696e 6574 640a     name: xinetd.
│ │ │ +00194990: 2020 2020 7374 6174 653a 2061 6273 656e      state: absen
│ │ │ +001949a0: 740a 2020 7768 656e 3a20 2722 6c69 6e75  t.  when: '"linu
│ │ │ +001949b0: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ +001949c0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ +001949d0: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ +001949e0: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +001949f0: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +00194a00: 3533 2d43 4d2d 3728 6129 0a20 202d 204e  53-CM-7(a).  - N
│ │ │ +00194a10: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ +00194a20: 6229 0a20 202d 2050 4349 2d44 5353 7634  b).  - PCI-DSSv4
│ │ │ +00194a30: 2d32 2e32 0a20 202d 2050 4349 2d44 5353  -2.2.  - PCI-DSS
│ │ │ +00194a40: 7634 2d32 2e32 2e34 0a20 202d 2064 6973  v4-2.2.4.  - dis
│ │ │ +00194a50: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +00194a60: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +00194a70: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +00194a80: 696f 6e0a 2020 2d20 6c6f 775f 7365 7665  ion.  - low_seve
│ │ │ +00194a90: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ +00194aa0: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ +00194ab0: 636b 6167 655f 7869 6e65 7464 5f72 656d  ckage_xinetd_rem
│ │ │ +00194ac0: 6f76 6564 0a3c 2f63 6f64 653e 3c2f 7072  oved.</code></pr
│ │ │ +00194ad0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00194ae0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00194af0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00194b00: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00194b10: 6172 6765 743d 2223 6964 6d32 3038 3737  arget="#idm20877
│ │ │ +00194b20: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00194b30: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00194b40: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00194b50: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00194b60: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00194b70: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +00194b80: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +00194b90: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00194ba0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00194bb0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00194bc0: 6522 2069 643d 2269 646d 3230 3837 3722  e" id="idm20877"
│ │ │ +00194bd0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00194be0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00194bf0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00194c00: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00194c10: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00194c20: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00194c30: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00194c40: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00194c50: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00194c60: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00194c70: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00194c80: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00194c90: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00194ca0: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +00194cb0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00194cc0: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +00194cd0: 6520 7265 6d6f 7665 5f78 696e 6574 640a  e remove_xinetd.
│ │ │ +00194ce0: 0a63 6c61 7373 2072 656d 6f76 655f 7869  .class remove_xi
│ │ │ +00194cf0: 6e65 7464 207b 0a20 2070 6163 6b61 6765  netd {.  package
│ │ │ +00194d00: 207b 2027 7869 6e65 7464 273a 0a20 2020   { 'xinetd':.   
│ │ │ +00194d10: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ +00194d20: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │  00194d30: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │  00194d40: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │  00194d50: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │  00194d60: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │  00194d70: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  00194d80: 2369 646d 3230 3837 3822 2074 6162 696e  #idm20878" tabin
│ │ │  00194d90: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ @@ -103934,90 +103934,90 @@
│ │ │  00195fd0: 7461 7267 6574 3d22 2369 646d 3230 3930  target="#idm2090
│ │ │  00195fe0: 3022 2074 6162 696e 6465 783d 2230 2220  0" tabindex="0" 
│ │ │  00195ff0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │  00196000: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │  00196010: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │  00196020: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │  00196030: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00196040: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -00196050: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00196060: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00196070: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00196080: 7365 2220 6964 3d22 6964 6d32 3039 3030  se" id="idm20900
│ │ │ -00196090: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -001960a0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -001960b0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -001960c0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -001960d0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -001960e0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -001960f0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00196100: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00196110: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00196120: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00196130: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00196140: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00196150: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00196160: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -00196170: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00196180: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ -00196190: 6465 2072 656d 6f76 655f 7970 6269 6e64  de remove_ypbind
│ │ │ -001961a0: 2d6d 740a 0a63 6c61 7373 2072 656d 6f76  -mt..class remov
│ │ │ -001961b0: 655f 7970 6269 6e64 2d6d 7420 7b0a 2020  e_ypbind-mt {.  
│ │ │ -001961c0: 7061 636b 6167 6520 7b20 2779 7062 696e  package { 'ypbin
│ │ │ -001961d0: 642d 6d74 273a 0a20 2020 2065 6e73 7572  d-mt':.    ensur
│ │ │ -001961e0: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ -001961f0: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │ -00196200: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -00196210: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -00196220: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -00196230: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -00196240: 612d 7461 7267 6574 3d22 2369 646d 3230  a-target="#idm20
│ │ │ -00196250: 3930 3122 2074 6162 696e 6465 783d 2230  901" tabindex="0
│ │ │ -00196260: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00196270: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00196280: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00196290: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -001962a0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -001962b0: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ -001962c0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -001962d0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -001962e0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -001962f0: 6c61 7073 6522 2069 643d 2269 646d 3230  lapse" id="idm20
│ │ │ -00196300: 3930 3122 3e3c 7461 626c 6520 636c 6173  901"><table clas
│ │ │ -00196310: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -00196320: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -00196330: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -00196340: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00196350: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00196360: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00196370: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00196380: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00196390: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -001963a0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -001963b0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -001963c0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -001963d0: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ -001963e0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -001963f0: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ -00196400: 6e61 6d65 3a20 456e 7375 7265 2079 7062  name: Ensure ypb
│ │ │ -00196410: 696e 642d 6d74 2069 7320 7265 6d6f 7665  ind-mt is remove
│ │ │ -00196420: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ -00196430: 206e 616d 653a 2079 7062 696e 642d 6d74   name: ypbind-mt
│ │ │ -00196440: 0a20 2020 2073 7461 7465 3a20 6162 7365  .    state: abse
│ │ │ -00196450: 6e74 0a20 2074 6167 733a 0a20 202d 2050  nt.  tags:.  - P
│ │ │ -00196460: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ -00196470: 2050 4349 2d44 5353 7634 2d32 2e32 2e34   PCI-DSSv4-2.2.4
│ │ │ -00196480: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ -00196490: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -001964a0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -001964b0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -001964c0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -001964d0: 0a20 202d 2070 6163 6b61 6765 5f79 7062  .  - package_ypb
│ │ │ -001964e0: 696e 645f 7265 6d6f 7665 640a 2020 2d20  ind_removed.  - 
│ │ │ -001964f0: 756e 6b6e 6f77 6e5f 7365 7665 7269 7479  unknown_severity
│ │ │ +00196040: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ +00196050: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00196060: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00196070: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00196080: 7073 6522 2069 643d 2269 646d 3230 3930  pse" id="idm2090
│ │ │ +00196090: 3022 3e3c 7461 626c 6520 636c 6173 733d  0"><table class=
│ │ │ +001960a0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +001960b0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +001960c0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +001960d0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +001960e0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +001960f0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00196100: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +00196110: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00196120: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00196130: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00196140: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00196150: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00196160: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +00196170: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00196180: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +00196190: 6d65 3a20 456e 7375 7265 2079 7062 696e  me: Ensure ypbin
│ │ │ +001961a0: 642d 6d74 2069 7320 7265 6d6f 7665 640a  d-mt is removed.
│ │ │ +001961b0: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ +001961c0: 616d 653a 2079 7062 696e 642d 6d74 0a20  ame: ypbind-mt. 
│ │ │ +001961d0: 2020 2073 7461 7465 3a20 6162 7365 6e74     state: absent
│ │ │ +001961e0: 0a20 2074 6167 733a 0a20 202d 2050 4349  .  tags:.  - PCI
│ │ │ +001961f0: 2d44 5353 7634 2d32 2e32 0a20 202d 2050  -DSSv4-2.2.  - P
│ │ │ +00196200: 4349 2d44 5353 7634 2d32 2e32 2e34 0a20  CI-DSSv4-2.2.4. 
│ │ │ +00196210: 202d 2064 6973 6162 6c65 5f73 7472 6174   - disable_strat
│ │ │ +00196220: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ +00196230: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +00196240: 6973 7275 7074 696f 6e0a 2020 2d20 6e6f  isruption.  - no
│ │ │ +00196250: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +00196260: 202d 2070 6163 6b61 6765 5f79 7062 696e   - package_ypbin
│ │ │ +00196270: 645f 7265 6d6f 7665 640a 2020 2d20 756e  d_removed.  - un
│ │ │ +00196280: 6b6e 6f77 6e5f 7365 7665 7269 7479 0a3c  known_severity.<
│ │ │ +00196290: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +001962a0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +001962b0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +001962c0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +001962d0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +001962e0: 2223 6964 6d32 3039 3031 2220 7461 6269  "#idm20901" tabi
│ │ │ +001962f0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00196300: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00196310: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00196320: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00196330: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00196340: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +00196350: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +00196360: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00196370: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00196380: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00196390: 2269 646d 3230 3930 3122 3e3c 7461 626c  "idm20901"><tabl
│ │ │ +001963a0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +001963b0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +001963c0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +001963d0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +001963e0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +001963f0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00196400: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +00196410: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +00196420: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00196430: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +00196440: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +00196450: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +00196460: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00196470: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +00196480: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00196490: 6f64 653e 696e 636c 7564 6520 7265 6d6f  ode>include remo
│ │ │ +001964a0: 7665 5f79 7062 696e 642d 6d74 0a0a 636c  ve_ypbind-mt..cl
│ │ │ +001964b0: 6173 7320 7265 6d6f 7665 5f79 7062 696e  ass remove_ypbin
│ │ │ +001964c0: 642d 6d74 207b 0a20 2070 6163 6b61 6765  d-mt {.  package
│ │ │ +001964d0: 207b 2027 7970 6269 6e64 2d6d 7427 3a0a   { 'ypbind-mt':.
│ │ │ +001964e0: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ +001964f0: 2027 7075 7267 6564 272c 0a20 207d 0a7d   'purged',.  }.}
│ │ │  00196500: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │  00196510: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │  00196520: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │  00196530: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │  00196540: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │  00196550: 743d 2223 6964 6d32 3039 3032 2220 7461  t="#idm20902" ta
│ │ │  00196560: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ @@ -104345,97 +104345,97 @@
│ │ │  00197980: 6574 3d22 2369 646d 3231 3031 3722 2074  et="#idm21017" t
│ │ │  00197990: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  001979a0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  001979b0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  001979c0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  001979d0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  001979e0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -001979f0: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -00197a00: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00197a10: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00197a20: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00197a30: 6964 3d22 6964 6d32 3130 3137 223e 3c74  id="idm21017"><t
│ │ │ -00197a40: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -00197a50: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -00197a60: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -00197a70: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -00197a80: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -00197a90: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -00197aa0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00197ab0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -00197ac0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00197ad0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -00197ae0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00197af0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00197b00: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -00197b10: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -00197b20: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -00197b30: 3e3c 636f 6465 3e69 6e63 6c75 6465 2072  ><code>include r
│ │ │ -00197b40: 656d 6f76 655f 7970 7365 7276 0a0a 636c  emove_ypserv..cl
│ │ │ -00197b50: 6173 7320 7265 6d6f 7665 5f79 7073 6572  ass remove_ypser
│ │ │ -00197b60: 7620 7b0a 2020 7061 636b 6167 6520 7b20  v {.  package { 
│ │ │ -00197b70: 2779 7073 6572 7627 3a0a 2020 2020 656e  'ypserv':.    en
│ │ │ -00197b80: 7375 7265 203d 2667 743b 2027 7075 7267  sure =&gt; 'purg
│ │ │ -00197b90: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ -00197ba0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -00197bb0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -00197bc0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -00197bd0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -00197be0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -00197bf0: 6d32 3130 3138 2220 7461 6269 6e64 6578  m21018" tabindex
│ │ │ -00197c00: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00197c10: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00197c20: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00197c30: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00197c40: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00197c50: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -00197c60: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -00197c70: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00197c80: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00197c90: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00197ca0: 6d32 3130 3138 223e 3c74 6162 6c65 2063  m21018"><table c
│ │ │ -00197cb0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00197cc0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00197cd0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00197ce0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00197cf0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00197d00: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00197d10: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00197d20: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00197d30: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00197d40: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00197d50: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00197d60: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00197d70: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -00197d80: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00197d90: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00197da0: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ -00197db0: 7970 7365 7276 2069 7320 7265 6d6f 7665  ypserv is remove
│ │ │ -00197dc0: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ -00197dd0: 206e 616d 653a 2079 7073 6572 760a 2020   name: ypserv.  
│ │ │ -00197de0: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ -00197df0: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ -00197e00: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -00197e10: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00197e20: 434d 2d37 2861 290a 2020 2d20 4e49 5354  CM-7(a).  - NIST
│ │ │ -00197e30: 2d38 3030 2d35 332d 434d 2d37 2862 290a  -800-53-CM-7(b).
│ │ │ -00197e40: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00197e50: 4941 2d35 2831 2928 6329 0a20 202d 2050  IA-5(1)(c).  - P
│ │ │ -00197e60: 4349 2d44 5353 2d52 6571 2d32 2e32 2e32  CI-DSS-Req-2.2.2
│ │ │ -00197e70: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -00197e80: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -00197e90: 2d32 2e32 2e34 0a20 202d 2064 6973 6162  -2.2.4.  - disab
│ │ │ -00197ea0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00197eb0: 6869 6768 5f73 6576 6572 6974 790a 2020  high_severity.  
│ │ │ -00197ec0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -00197ed0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -00197ee0: 696f 6e0a 2020 2d20 6e6f 5f72 6562 6f6f  ion.  - no_reboo
│ │ │ -00197ef0: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -00197f00: 6b61 6765 5f79 7073 6572 765f 7265 6d6f  kage_ypserv_remo
│ │ │ -00197f10: 7665 640a 3c2f 636f 6465 3e3c 2f70 7265  ved.</code></pre
│ │ │ +001979f0: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +00197a00: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00197a10: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00197a20: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00197a30: 2069 643d 2269 646d 3231 3031 3722 3e3c   id="idm21017"><
│ │ │ +00197a40: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00197a50: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00197a60: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00197a70: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00197a80: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00197a90: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00197aa0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00197ab0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00197ac0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00197ad0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00197ae0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00197af0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00197b00: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00197b10: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +00197b20: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00197b30: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +00197b40: 456e 7375 7265 2079 7073 6572 7620 6973  Ensure ypserv is
│ │ │ +00197b50: 2072 656d 6f76 6564 0a20 2070 6163 6b61   removed.  packa
│ │ │ +00197b60: 6765 3a0a 2020 2020 6e61 6d65 3a20 7970  ge:.    name: yp
│ │ │ +00197b70: 7365 7276 0a20 2020 2073 7461 7465 3a20  serv.    state: 
│ │ │ +00197b80: 6162 7365 6e74 0a20 2074 6167 733a 0a20  absent.  tags:. 
│ │ │ +00197b90: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +00197ba0: 4d2d 3628 6129 0a20 202d 204e 4953 542d  M-6(a).  - NIST-
│ │ │ +00197bb0: 3830 302d 3533 2d43 4d2d 3728 6129 0a20  800-53-CM-7(a). 
│ │ │ +00197bc0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +00197bd0: 4d2d 3728 6229 0a20 202d 204e 4953 542d  M-7(b).  - NIST-
│ │ │ +00197be0: 3830 302d 3533 2d49 412d 3528 3129 2863  800-53-IA-5(1)(c
│ │ │ +00197bf0: 290a 2020 2d20 5043 492d 4453 532d 5265  ).  - PCI-DSS-Re
│ │ │ +00197c00: 712d 322e 322e 320a 2020 2d20 5043 492d  q-2.2.2.  - PCI-
│ │ │ +00197c10: 4453 5376 342d 322e 320a 2020 2d20 5043  DSSv4-2.2.  - PC
│ │ │ +00197c20: 492d 4453 5376 342d 322e 322e 340a 2020  I-DSSv4-2.2.4.  
│ │ │ +00197c30: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ +00197c40: 6779 0a20 202d 2068 6967 685f 7365 7665  gy.  - high_seve
│ │ │ +00197c50: 7269 7479 0a20 202d 206c 6f77 5f63 6f6d  rity.  - low_com
│ │ │ +00197c60: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +00197c70: 6469 7372 7570 7469 6f6e 0a20 202d 206e  disruption.  - n
│ │ │ +00197c80: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +00197c90: 2020 2d20 7061 636b 6167 655f 7970 7365    - package_ypse
│ │ │ +00197ca0: 7276 5f72 656d 6f76 6564 0a3c 2f63 6f64  rv_removed.</cod
│ │ │ +00197cb0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00197cc0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00197cd0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00197ce0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00197cf0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00197d00: 6d32 3130 3138 2220 7461 6269 6e64 6578  m21018" tabindex
│ │ │ +00197d10: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +00197d20: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +00197d30: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00197d40: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +00197d50: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00197d60: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ +00197d70: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +00197d80: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +00197d90: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00197da0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00197db0: 3231 3031 3822 3e3c 7461 626c 6520 636c  21018"><table cl
│ │ │ +00197dc0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +00197dd0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +00197de0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +00197df0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +00197e00: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +00197e10: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00197e20: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +00197e30: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +00197e40: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00197e50: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +00197e60: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +00197e70: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +00197e80: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +00197e90: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00197ea0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00197eb0: 696e 636c 7564 6520 7265 6d6f 7665 5f79  include remove_y
│ │ │ +00197ec0: 7073 6572 760a 0a63 6c61 7373 2072 656d  pserv..class rem
│ │ │ +00197ed0: 6f76 655f 7970 7365 7276 207b 0a20 2070  ove_ypserv {.  p
│ │ │ +00197ee0: 6163 6b61 6765 207b 2027 7970 7365 7276  ackage { 'ypserv
│ │ │ +00197ef0: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ +00197f00: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ +00197f10: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │  00197f20: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │  00197f30: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │  00197f40: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │  00197f50: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │  00197f60: 7267 6574 3d22 2369 646d 3231 3031 3922  rget="#idm21019"
│ │ │  00197f70: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  00197f80: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ @@ -104825,98 +104825,98 @@
│ │ │  00199780: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  00199790: 2369 646d 3231 3133 3722 2074 6162 696e  #idm21137" tabin
│ │ │  001997a0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  001997b0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  001997c0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  001997d0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  001997e0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -001997f0: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ -00199800: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ -00199810: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00199820: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00199830: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00199840: 6964 6d32 3131 3337 223e 3c74 6162 6c65  idm21137"><table
│ │ │ -00199850: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -00199860: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -00199870: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -00199880: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -00199890: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -001998a0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -001998b0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -001998c0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -001998d0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -001998e0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -001998f0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -00199900: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -00199910: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ -00199920: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ -00199930: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00199940: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ -00199950: 655f 7273 682d 7365 7276 6572 0a0a 636c  e_rsh-server..cl
│ │ │ -00199960: 6173 7320 7265 6d6f 7665 5f72 7368 2d73  ass remove_rsh-s
│ │ │ -00199970: 6572 7665 7220 7b0a 2020 7061 636b 6167  erver {.  packag
│ │ │ -00199980: 6520 7b20 2772 7368 2d73 6572 7665 7227  e { 'rsh-server'
│ │ │ -00199990: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ -001999a0: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ -001999b0: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -001999c0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -001999d0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -001999e0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -001999f0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -00199a00: 6765 743d 2223 6964 6d32 3131 3338 2220  get="#idm21138" 
│ │ │ -00199a10: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -00199a20: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -00199a30: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -00199a40: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -00199a50: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -00199a60: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00199a70: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -00199a80: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -00199a90: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00199aa0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00199ab0: 2220 6964 3d22 6964 6d32 3131 3338 223e  " id="idm21138">
│ │ │ -00199ac0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00199ad0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00199ae0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00199af0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00199b00: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00199b10: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00199b20: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00199b30: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -00199b40: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00199b50: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00199b60: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00199b70: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00199b80: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00199b90: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -00199ba0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00199bb0: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -00199bc0: 2045 6e73 7572 6520 7273 682d 7365 7276   Ensure rsh-serv
│ │ │ -00199bd0: 6572 2069 7320 7265 6d6f 7665 640a 2020  er is removed.  
│ │ │ -00199be0: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ -00199bf0: 653a 2072 7368 2d73 6572 7665 720a 2020  e: rsh-server.  
│ │ │ -00199c00: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ -00199c10: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ -00199c20: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -00199c30: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00199c40: 434d 2d37 2861 290a 2020 2d20 4e49 5354  CM-7(a).  - NIST
│ │ │ -00199c50: 2d38 3030 2d35 332d 434d 2d37 2862 290a  -800-53-CM-7(b).
│ │ │ -00199c60: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00199c70: 4941 2d35 2831 2928 6329 0a20 202d 2050  IA-5(1)(c).  - P
│ │ │ -00199c80: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ -00199c90: 2050 4349 2d44 5353 7634 2d32 2e32 2e34   PCI-DSSv4-2.2.4
│ │ │ -00199ca0: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ -00199cb0: 6174 6567 790a 2020 2d20 6869 6768 5f73  ategy.  - high_s
│ │ │ -00199cc0: 6576 6572 6974 790a 2020 2d20 6c6f 775f  everity.  - low_
│ │ │ -00199cd0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -00199ce0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -00199cf0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -00199d00: 6564 0a20 202d 2070 6163 6b61 6765 5f72  ed.  - package_r
│ │ │ -00199d10: 7368 2d73 6572 7665 725f 7265 6d6f 7665  sh-server_remove
│ │ │ -00199d20: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +001997f0: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +00199800: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +00199810: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00199820: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00199830: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00199840: 2269 646d 3231 3133 3722 3e3c 7461 626c  "idm21137"><tabl
│ │ │ +00199850: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +00199860: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +00199870: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +00199880: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +00199890: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +001998a0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +001998b0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +001998c0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +001998d0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +001998e0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +001998f0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +00199900: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +00199910: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00199920: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +00199930: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00199940: 6f64 653e 2d20 6e61 6d65 3a20 456e 7375  ode>- name: Ensu
│ │ │ +00199950: 7265 2072 7368 2d73 6572 7665 7220 6973  re rsh-server is
│ │ │ +00199960: 2072 656d 6f76 6564 0a20 2070 6163 6b61   removed.  packa
│ │ │ +00199970: 6765 3a0a 2020 2020 6e61 6d65 3a20 7273  ge:.    name: rs
│ │ │ +00199980: 682d 7365 7276 6572 0a20 2020 2073 7461  h-server.    sta
│ │ │ +00199990: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ +001999a0: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +001999b0: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ +001999c0: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ +001999d0: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +001999e0: 3533 2d43 4d2d 3728 6229 0a20 202d 204e  53-CM-7(b).  - N
│ │ │ +001999f0: 4953 542d 3830 302d 3533 2d49 412d 3528  IST-800-53-IA-5(
│ │ │ +00199a00: 3129 2863 290a 2020 2d20 5043 492d 4453  1)(c).  - PCI-DS
│ │ │ +00199a10: 5376 342d 322e 320a 2020 2d20 5043 492d  Sv4-2.2.  - PCI-
│ │ │ +00199a20: 4453 5376 342d 322e 322e 340a 2020 2d20  DSSv4-2.2.4.  - 
│ │ │ +00199a30: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ +00199a40: 0a20 202d 2068 6967 685f 7365 7665 7269  .  - high_severi
│ │ │ +00199a50: 7479 0a20 202d 206c 6f77 5f63 6f6d 706c  ty.  - low_compl
│ │ │ +00199a60: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +00199a70: 7372 7570 7469 6f6e 0a20 202d 206e 6f5f  sruption.  - no_
│ │ │ +00199a80: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +00199a90: 2d20 7061 636b 6167 655f 7273 682d 7365  - package_rsh-se
│ │ │ +00199aa0: 7276 6572 5f72 656d 6f76 6564 0a3c 2f63  rver_removed.</c
│ │ │ +00199ab0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +00199ac0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +00199ad0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +00199ae0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +00199af0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +00199b00: 6964 6d32 3131 3338 2220 7461 6269 6e64  idm21138" tabind
│ │ │ +00199b10: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +00199b20: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +00199b30: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +00199b40: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +00199b50: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +00199b60: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ +00199b70: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ +00199b80: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00199b90: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00199ba0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00199bb0: 646d 3231 3133 3822 3e3c 7461 626c 6520  dm21138"><table 
│ │ │ +00199bc0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +00199bd0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +00199be0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +00199bf0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +00199c00: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +00199c10: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00199c20: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +00199c30: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +00199c40: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00199c50: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +00199c60: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +00199c70: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +00199c80: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +00199c90: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +00199ca0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00199cb0: 653e 696e 636c 7564 6520 7265 6d6f 7665  e>include remove
│ │ │ +00199cc0: 5f72 7368 2d73 6572 7665 720a 0a63 6c61  _rsh-server..cla
│ │ │ +00199cd0: 7373 2072 656d 6f76 655f 7273 682d 7365  ss remove_rsh-se
│ │ │ +00199ce0: 7276 6572 207b 0a20 2070 6163 6b61 6765  rver {.  package
│ │ │ +00199cf0: 207b 2027 7273 682d 7365 7276 6572 273a   { 'rsh-server':
│ │ │ +00199d00: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +00199d10: 3b20 2770 7572 6765 6427 2c0a 2020 7d0a  ; 'purged',.  }.
│ │ │ +00199d20: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │  00199d30: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │  00199d40: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │  00199d50: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │  00199d60: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │  00199d70: 6574 3d22 2369 646d 3231 3133 3922 2074  et="#idm21139" t
│ │ │  00199d80: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  00199d90: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ @@ -105144,90 +105144,90 @@
│ │ │  0019ab70: 7461 7267 6574 3d22 2369 646d 3231 3136  target="#idm2116
│ │ │  0019ab80: 3922 2074 6162 696e 6465 783d 2230 2220  9" tabindex="0" 
│ │ │  0019ab90: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │  0019aba0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │  0019abb0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │  0019abc0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │  0019abd0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -0019abe0: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -0019abf0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -0019ac00: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -0019ac10: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -0019ac20: 7365 2220 6964 3d22 6964 6d32 3131 3639  se" id="idm21169
│ │ │ -0019ac30: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -0019ac40: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -0019ac50: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -0019ac60: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -0019ac70: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -0019ac80: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -0019ac90: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0019aca0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -0019acb0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0019acc0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -0019acd0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -0019ace0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -0019acf0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -0019ad00: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -0019ad10: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -0019ad20: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ -0019ad30: 6465 2072 656d 6f76 655f 7273 680a 0a63  de remove_rsh..c
│ │ │ -0019ad40: 6c61 7373 2072 656d 6f76 655f 7273 6820  lass remove_rsh 
│ │ │ -0019ad50: 7b0a 2020 7061 636b 6167 6520 7b20 2772  {.  package { 'r
│ │ │ -0019ad60: 7368 273a 0a20 2020 2065 6e73 7572 6520  sh':.    ensure 
│ │ │ -0019ad70: 3d26 6774 3b20 2770 7572 6765 6427 2c0a  =&gt; 'purged',.
│ │ │ -0019ad80: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -0019ad90: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -0019ada0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -0019adb0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -0019adc0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -0019add0: 7461 7267 6574 3d22 2369 646d 3231 3137  target="#idm2117
│ │ │ -0019ade0: 3022 2074 6162 696e 6465 783d 2230 2220  0" tabindex="0" 
│ │ │ -0019adf0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -0019ae00: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -0019ae10: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -0019ae20: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -0019ae30: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -0019ae40: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -0019ae50: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -0019ae60: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -0019ae70: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -0019ae80: 7073 6522 2069 643d 2269 646d 3231 3137  pse" id="idm2117
│ │ │ -0019ae90: 3022 3e3c 7461 626c 6520 636c 6173 733d  0"><table class=
│ │ │ -0019aea0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -0019aeb0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -0019aec0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -0019aed0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -0019aee0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -0019aef0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0019af00: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -0019af10: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0019af20: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -0019af30: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -0019af40: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -0019af50: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -0019af60: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -0019af70: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -0019af80: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ -0019af90: 6d65 3a20 456e 7375 7265 2072 7368 2069  me: Ensure rsh i
│ │ │ -0019afa0: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ -0019afb0: 6167 653a 0a20 2020 206e 616d 653a 2072  age:.    name: r
│ │ │ -0019afc0: 7368 0a20 2020 2073 7461 7465 3a20 6162  sh.    state: ab
│ │ │ -0019afd0: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ -0019afe0: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ -0019aff0: 312e 3133 0a20 202d 2050 4349 2d44 5353  1.13.  - PCI-DSS
│ │ │ -0019b000: 7634 2d32 2e32 0a20 202d 2050 4349 2d44  v4-2.2.  - PCI-D
│ │ │ -0019b010: 5353 7634 2d32 2e32 2e34 0a20 202d 2064  SSv4-2.2.4.  - d
│ │ │ -0019b020: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ -0019b030: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -0019b040: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -0019b050: 7074 696f 6e0a 2020 2d20 6e6f 5f72 6562  ption.  - no_reb
│ │ │ -0019b060: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -0019b070: 6163 6b61 6765 5f72 7368 5f72 656d 6f76  ackage_rsh_remov
│ │ │ -0019b080: 6564 0a20 202d 2075 6e6b 6e6f 776e 5f73  ed.  - unknown_s
│ │ │ -0019b090: 6576 6572 6974 790a 3c2f 636f 6465 3e3c  everity.</code><
│ │ │ +0019abe0: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ +0019abf0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +0019ac00: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +0019ac10: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +0019ac20: 7073 6522 2069 643d 2269 646d 3231 3136  pse" id="idm2116
│ │ │ +0019ac30: 3922 3e3c 7461 626c 6520 636c 6173 733d  9"><table class=
│ │ │ +0019ac40: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +0019ac50: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +0019ac60: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +0019ac70: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +0019ac80: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +0019ac90: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0019aca0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +0019acb0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0019acc0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +0019acd0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +0019ace0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +0019acf0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +0019ad00: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +0019ad10: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +0019ad20: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +0019ad30: 6d65 3a20 456e 7375 7265 2072 7368 2069  me: Ensure rsh i
│ │ │ +0019ad40: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ +0019ad50: 6167 653a 0a20 2020 206e 616d 653a 2072  age:.    name: r
│ │ │ +0019ad60: 7368 0a20 2020 2073 7461 7465 3a20 6162  sh.    state: ab
│ │ │ +0019ad70: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ +0019ad80: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ +0019ad90: 312e 3133 0a20 202d 2050 4349 2d44 5353  1.13.  - PCI-DSS
│ │ │ +0019ada0: 7634 2d32 2e32 0a20 202d 2050 4349 2d44  v4-2.2.  - PCI-D
│ │ │ +0019adb0: 5353 7634 2d32 2e32 2e34 0a20 202d 2064  SSv4-2.2.4.  - d
│ │ │ +0019adc0: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ +0019add0: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +0019ade0: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +0019adf0: 7074 696f 6e0a 2020 2d20 6e6f 5f72 6562  ption.  - no_reb
│ │ │ +0019ae00: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +0019ae10: 6163 6b61 6765 5f72 7368 5f72 656d 6f76  ackage_rsh_remov
│ │ │ +0019ae20: 6564 0a20 202d 2075 6e6b 6e6f 776e 5f73  ed.  - unknown_s
│ │ │ +0019ae30: 6576 6572 6974 790a 3c2f 636f 6465 3e3c  everity.</code><
│ │ │ +0019ae40: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +0019ae50: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +0019ae60: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +0019ae70: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +0019ae80: 612d 7461 7267 6574 3d22 2369 646d 3231  a-target="#idm21
│ │ │ +0019ae90: 3137 3022 2074 6162 696e 6465 783d 2230  170" tabindex="0
│ │ │ +0019aea0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +0019aeb0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +0019aec0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +0019aed0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +0019aee0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +0019aef0: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +0019af00: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +0019af10: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0019af20: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0019af30: 6170 7365 2220 6964 3d22 6964 6d32 3131  apse" id="idm211
│ │ │ +0019af40: 3730 223e 3c74 6162 6c65 2063 6c61 7373  70"><table class
│ │ │ +0019af50: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0019af60: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0019af70: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0019af80: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0019af90: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +0019afa0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0019afb0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +0019afc0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +0019afd0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0019afe0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +0019aff0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +0019b000: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +0019b010: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +0019b020: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0019b030: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +0019b040: 6c75 6465 2072 656d 6f76 655f 7273 680a  lude remove_rsh.
│ │ │ +0019b050: 0a63 6c61 7373 2072 656d 6f76 655f 7273  .class remove_rs
│ │ │ +0019b060: 6820 7b0a 2020 7061 636b 6167 6520 7b20  h {.  package { 
│ │ │ +0019b070: 2772 7368 273a 0a20 2020 2065 6e73 7572  'rsh':.    ensur
│ │ │ +0019b080: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ +0019b090: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │  0019b0a0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │  0019b0b0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │  0019b0c0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │  0019b0d0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │  0019b0e0: 612d 7461 7267 6574 3d22 2369 646d 3231  a-target="#idm21
│ │ │  0019b0f0: 3137 3122 2074 6162 696e 6465 783d 2230  171" tabindex="0
│ │ │  0019b100: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ @@ -105483,91 +105483,91 @@
│ │ │  0019c0a0: 743d 2223 6964 6d32 3133 3036 2220 7461  t="#idm21306" ta
│ │ │  0019c0b0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  0019c0c0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │  0019c0d0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │  0019c0e0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │  0019c0f0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │  0019c100: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -0019c110: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ -0019c120: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -0019c130: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -0019c140: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -0019c150: 643d 2269 646d 3231 3330 3622 3e3c 7461  d="idm21306"><ta
│ │ │ -0019c160: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -0019c170: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -0019c180: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -0019c190: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -0019c1a0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -0019c1b0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -0019c1c0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0019c1d0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -0019c1e0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0019c1f0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -0019c200: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -0019c210: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0019c220: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -0019c230: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -0019c240: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -0019c250: 3c63 6f64 653e 696e 636c 7564 6520 7265  <code>include re
│ │ │ -0019c260: 6d6f 7665 5f74 616c 6b2d 7365 7276 6572  move_talk-server
│ │ │ -0019c270: 0a0a 636c 6173 7320 7265 6d6f 7665 5f74  ..class remove_t
│ │ │ -0019c280: 616c 6b2d 7365 7276 6572 207b 0a20 2070  alk-server {.  p
│ │ │ -0019c290: 6163 6b61 6765 207b 2027 7461 6c6b 2d73  ackage { 'talk-s
│ │ │ -0019c2a0: 6572 7665 7227 3a0a 2020 2020 656e 7375  erver':.    ensu
│ │ │ -0019c2b0: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ -0019c2c0: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -0019c2d0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -0019c2e0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -0019c2f0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -0019c300: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -0019c310: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ -0019c320: 3133 3037 2220 7461 6269 6e64 6578 3d22  1307" tabindex="
│ │ │ -0019c330: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -0019c340: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -0019c350: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -0019c360: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -0019c370: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -0019c380: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -0019c390: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -0019c3a0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -0019c3b0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -0019c3c0: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -0019c3d0: 3133 3037 223e 3c74 6162 6c65 2063 6c61  1307"><table cla
│ │ │ -0019c3e0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -0019c3f0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -0019c400: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -0019c410: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -0019c420: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -0019c430: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0019c440: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -0019c450: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -0019c460: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0019c470: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -0019c480: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -0019c490: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -0019c4a0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -0019c4b0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -0019c4c0: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -0019c4d0: 206e 616d 653a 2045 6e73 7572 6520 7461   name: Ensure ta
│ │ │ -0019c4e0: 6c6b 2d73 6572 7665 7220 6973 2072 656d  lk-server is rem
│ │ │ -0019c4f0: 6f76 6564 0a20 2070 6163 6b61 6765 3a0a  oved.  package:.
│ │ │ -0019c500: 2020 2020 6e61 6d65 3a20 7461 6c6b 2d73      name: talk-s
│ │ │ -0019c510: 6572 7665 720a 2020 2020 7374 6174 653a  erver.    state:
│ │ │ -0019c520: 2061 6273 656e 740a 2020 7461 6773 3a0a   absent.  tags:.
│ │ │ -0019c530: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ -0019c540: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ -0019c550: 322e 322e 340a 2020 2d20 6469 7361 626c  2.2.4.  - disabl
│ │ │ -0019c560: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -0019c570: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -0019c580: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -0019c590: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -0019c5a0: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -0019c5b0: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -0019c5c0: 636b 6167 655f 7461 6c6b 2d73 6572 7665  ckage_talk-serve
│ │ │ -0019c5d0: 725f 7265 6d6f 7665 640a 3c2f 636f 6465  r_removed.</code
│ │ │ +0019c110: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ +0019c120: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +0019c130: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +0019c140: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +0019c150: 6964 3d22 6964 6d32 3133 3036 223e 3c74  id="idm21306"><t
│ │ │ +0019c160: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +0019c170: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +0019c180: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +0019c190: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +0019c1a0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +0019c1b0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +0019c1c0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0019c1d0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +0019c1e0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0019c1f0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +0019c200: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +0019c210: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0019c220: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +0019c230: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +0019c240: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +0019c250: 3e3c 636f 6465 3e2d 206e 616d 653a 2045  ><code>- name: E
│ │ │ +0019c260: 6e73 7572 6520 7461 6c6b 2d73 6572 7665  nsure talk-serve
│ │ │ +0019c270: 7220 6973 2072 656d 6f76 6564 0a20 2070  r is removed.  p
│ │ │ +0019c280: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ +0019c290: 3a20 7461 6c6b 2d73 6572 7665 720a 2020  : talk-server.  
│ │ │ +0019c2a0: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ +0019c2b0: 2020 7461 6773 3a0a 2020 2d20 5043 492d    tags:.  - PCI-
│ │ │ +0019c2c0: 4453 5376 342d 322e 320a 2020 2d20 5043  DSSv4-2.2.  - PC
│ │ │ +0019c2d0: 492d 4453 5376 342d 322e 322e 340a 2020  I-DSSv4-2.2.4.  
│ │ │ +0019c2e0: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ +0019c2f0: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ +0019c300: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +0019c310: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ +0019c320: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ +0019c330: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +0019c340: 640a 2020 2d20 7061 636b 6167 655f 7461  d.  - package_ta
│ │ │ +0019c350: 6c6b 2d73 6572 7665 725f 7265 6d6f 7665  lk-server_remove
│ │ │ +0019c360: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +0019c370: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +0019c380: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +0019c390: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +0019c3a0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +0019c3b0: 6574 3d22 2369 646d 3231 3330 3722 2074  et="#idm21307" t
│ │ │ +0019c3c0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +0019c3d0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +0019c3e0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +0019c3f0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +0019c400: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +0019c410: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +0019c420: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ +0019c430: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +0019c440: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +0019c450: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +0019c460: 6964 3d22 6964 6d32 3133 3037 223e 3c74  id="idm21307"><t
│ │ │ +0019c470: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +0019c480: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +0019c490: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +0019c4a0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +0019c4b0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +0019c4c0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +0019c4d0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0019c4e0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +0019c4f0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0019c500: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +0019c510: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +0019c520: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0019c530: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +0019c540: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +0019c550: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +0019c560: 3e3c 636f 6465 3e69 6e63 6c75 6465 2072  ><code>include r
│ │ │ +0019c570: 656d 6f76 655f 7461 6c6b 2d73 6572 7665  emove_talk-serve
│ │ │ +0019c580: 720a 0a63 6c61 7373 2072 656d 6f76 655f  r..class remove_
│ │ │ +0019c590: 7461 6c6b 2d73 6572 7665 7220 7b0a 2020  talk-server {.  
│ │ │ +0019c5a0: 7061 636b 6167 6520 7b20 2774 616c 6b2d  package { 'talk-
│ │ │ +0019c5b0: 7365 7276 6572 273a 0a20 2020 2065 6e73  server':.    ens
│ │ │ +0019c5c0: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ +0019c5d0: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │  0019c5e0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │  0019c5f0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │  0019c600: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │  0019c610: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │  0019c620: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  0019c630: 3231 3330 3822 2074 6162 696e 6465 783d  21308" tabindex=
│ │ │  0019c640: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ @@ -105782,89 +105782,89 @@
│ │ │  0019d350: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │  0019d360: 3133 3330 2220 7461 6269 6e64 6578 3d22  1330" tabindex="
│ │ │  0019d370: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │  0019d380: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │  0019d390: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │  0019d3a0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │  0019d3b0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -0019d3c0: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ -0019d3d0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -0019d3e0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -0019d3f0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -0019d400: 6c61 7073 6522 2069 643d 2269 646d 3231  lapse" id="idm21
│ │ │ -0019d410: 3333 3022 3e3c 7461 626c 6520 636c 6173  330"><table clas
│ │ │ -0019d420: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -0019d430: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -0019d440: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -0019d450: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -0019d460: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -0019d470: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -0019d480: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -0019d490: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -0019d4a0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0019d4b0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -0019d4c0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -0019d4d0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -0019d4e0: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ -0019d4f0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -0019d500: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -0019d510: 636c 7564 6520 7265 6d6f 7665 5f74 616c  clude remove_tal
│ │ │ -0019d520: 6b0a 0a63 6c61 7373 2072 656d 6f76 655f  k..class remove_
│ │ │ -0019d530: 7461 6c6b 207b 0a20 2070 6163 6b61 6765  talk {.  package
│ │ │ -0019d540: 207b 2027 7461 6c6b 273a 0a20 2020 2065   { 'talk':.    e
│ │ │ -0019d550: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ -0019d560: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │ -0019d570: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -0019d580: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -0019d590: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -0019d5a0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -0019d5b0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -0019d5c0: 646d 3231 3333 3122 2074 6162 696e 6465  dm21331" tabinde
│ │ │ -0019d5d0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -0019d5e0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -0019d5f0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -0019d600: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -0019d610: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0019d620: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -0019d630: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -0019d640: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0019d650: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0019d660: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0019d670: 646d 3231 3333 3122 3e3c 7461 626c 6520  dm21331"><table 
│ │ │ -0019d680: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -0019d690: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -0019d6a0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -0019d6b0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -0019d6c0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -0019d6d0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0019d6e0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -0019d6f0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -0019d700: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0019d710: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -0019d720: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -0019d730: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -0019d740: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -0019d750: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -0019d760: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -0019d770: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ -0019d780: 2074 616c 6b20 6973 2072 656d 6f76 6564   talk is removed
│ │ │ -0019d790: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ -0019d7a0: 6e61 6d65 3a20 7461 6c6b 0a20 2020 2073  name: talk.    s
│ │ │ -0019d7b0: 7461 7465 3a20 6162 7365 6e74 0a20 2074  tate: absent.  t
│ │ │ -0019d7c0: 6167 733a 0a20 202d 2050 4349 2d44 5353  ags:.  - PCI-DSS
│ │ │ -0019d7d0: 7634 2d32 2e32 0a20 202d 2050 4349 2d44  v4-2.2.  - PCI-D
│ │ │ -0019d7e0: 5353 7634 2d32 2e32 2e34 0a20 202d 2064  SSv4-2.2.4.  - d
│ │ │ -0019d7f0: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ -0019d800: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -0019d810: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -0019d820: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ -0019d830: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ -0019d840: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -0019d850: 202d 2070 6163 6b61 6765 5f74 616c 6b5f   - package_talk_
│ │ │ -0019d860: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ +0019d3c0: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ +0019d3d0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +0019d3e0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +0019d3f0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +0019d400: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ +0019d410: 3133 3330 223e 3c74 6162 6c65 2063 6c61  1330"><table cla
│ │ │ +0019d420: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +0019d430: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +0019d440: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +0019d450: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +0019d460: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +0019d470: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0019d480: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +0019d490: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +0019d4a0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0019d4b0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +0019d4c0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +0019d4d0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +0019d4e0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ +0019d4f0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +0019d500: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ +0019d510: 206e 616d 653a 2045 6e73 7572 6520 7461   name: Ensure ta
│ │ │ +0019d520: 6c6b 2069 7320 7265 6d6f 7665 640a 2020  lk is removed.  
│ │ │ +0019d530: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ +0019d540: 653a 2074 616c 6b0a 2020 2020 7374 6174  e: talk.    stat
│ │ │ +0019d550: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ +0019d560: 3a0a 2020 2d20 5043 492d 4453 5376 342d  :.  - PCI-DSSv4-
│ │ │ +0019d570: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ +0019d580: 342d 322e 322e 340a 2020 2d20 6469 7361  4-2.2.4.  - disa
│ │ │ +0019d590: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +0019d5a0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +0019d5b0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +0019d5c0: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ +0019d5d0: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +0019d5e0: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +0019d5f0: 7061 636b 6167 655f 7461 6c6b 5f72 656d  package_talk_rem
│ │ │ +0019d600: 6f76 6564 0a3c 2f63 6f64 653e 3c2f 7072  oved.</code></pr
│ │ │ +0019d610: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +0019d620: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +0019d630: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +0019d640: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +0019d650: 6172 6765 743d 2223 6964 6d32 3133 3331  arget="#idm21331
│ │ │ +0019d660: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +0019d670: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +0019d680: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +0019d690: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +0019d6a0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +0019d6b0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +0019d6c0: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +0019d6d0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +0019d6e0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +0019d6f0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +0019d700: 6522 2069 643d 2269 646d 3231 3333 3122  e" id="idm21331"
│ │ │ +0019d710: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +0019d720: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +0019d730: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +0019d740: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +0019d750: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +0019d760: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +0019d770: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0019d780: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +0019d790: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0019d7a0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +0019d7b0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +0019d7c0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +0019d7d0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +0019d7e0: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +0019d7f0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +0019d800: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +0019d810: 6520 7265 6d6f 7665 5f74 616c 6b0a 0a63  e remove_talk..c
│ │ │ +0019d820: 6c61 7373 2072 656d 6f76 655f 7461 6c6b  lass remove_talk
│ │ │ +0019d830: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +0019d840: 7461 6c6b 273a 0a20 2020 2065 6e73 7572  talk':.    ensur
│ │ │ +0019d850: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ +0019d860: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │  0019d870: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │  0019d880: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │  0019d890: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │  0019d8a0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │  0019d8b0: 612d 7461 7267 6574 3d22 2369 646d 3231  a-target="#idm21
│ │ │  0019d8c0: 3333 3222 2074 6162 696e 6465 783d 2230  332" tabindex="0
│ │ │  0019d8d0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ @@ -106283,98 +106283,98 @@
│ │ │  0019f2a0: 7461 7267 6574 3d22 2369 646d 3231 3435  target="#idm2145
│ │ │  0019f2b0: 3122 2074 6162 696e 6465 783d 2230 2220  1" tabindex="0" 
│ │ │  0019f2c0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │  0019f2d0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │  0019f2e0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │  0019f2f0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │  0019f300: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -0019f310: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -0019f320: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -0019f330: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -0019f340: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -0019f350: 7365 2220 6964 3d22 6964 6d32 3134 3531  se" id="idm21451
│ │ │ -0019f360: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -0019f370: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -0019f380: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -0019f390: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -0019f3a0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -0019f3b0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -0019f3c0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0019f3d0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -0019f3e0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -0019f3f0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -0019f400: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -0019f410: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -0019f420: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -0019f430: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -0019f440: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -0019f450: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ -0019f460: 6465 2072 656d 6f76 655f 7465 6c6e 6574  de remove_telnet
│ │ │ -0019f470: 2d73 6572 7665 720a 0a63 6c61 7373 2072  -server..class r
│ │ │ -0019f480: 656d 6f76 655f 7465 6c6e 6574 2d73 6572  emove_telnet-ser
│ │ │ -0019f490: 7665 7220 7b0a 2020 7061 636b 6167 6520  ver {.  package 
│ │ │ -0019f4a0: 7b20 2774 656c 6e65 742d 7365 7276 6572  { 'telnet-server
│ │ │ -0019f4b0: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ -0019f4c0: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ -0019f4d0: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -0019f4e0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -0019f4f0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -0019f500: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -0019f510: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -0019f520: 7267 6574 3d22 2369 646d 3231 3435 3222  rget="#idm21452"
│ │ │ -0019f530: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -0019f540: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -0019f550: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -0019f560: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -0019f570: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -0019f580: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -0019f590: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ -0019f5a0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -0019f5b0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -0019f5c0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -0019f5d0: 6522 2069 643d 2269 646d 3231 3435 3222  e" id="idm21452"
│ │ │ -0019f5e0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -0019f5f0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -0019f600: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -0019f610: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -0019f620: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -0019f630: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -0019f640: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0019f650: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -0019f660: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0019f670: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -0019f680: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -0019f690: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -0019f6a0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -0019f6b0: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -0019f6c0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -0019f6d0: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -0019f6e0: 3a20 456e 7375 7265 2074 656c 6e65 742d  : Ensure telnet-
│ │ │ -0019f6f0: 7365 7276 6572 2069 7320 7265 6d6f 7665  server is remove
│ │ │ -0019f700: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ -0019f710: 206e 616d 653a 2074 656c 6e65 742d 7365   name: telnet-se
│ │ │ -0019f720: 7276 6572 0a20 2020 2073 7461 7465 3a20  rver.    state: 
│ │ │ -0019f730: 6162 7365 6e74 0a20 2074 6167 733a 0a20  absent.  tags:. 
│ │ │ -0019f740: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -0019f750: 4d2d 3628 6129 0a20 202d 204e 4953 542d  M-6(a).  - NIST-
│ │ │ -0019f760: 3830 302d 3533 2d43 4d2d 3728 6129 0a20  800-53-CM-7(a). 
│ │ │ -0019f770: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -0019f780: 4d2d 3728 6229 0a20 202d 2050 4349 2d44  M-7(b).  - PCI-D
│ │ │ -0019f790: 5353 2d52 6571 2d32 2e32 2e32 0a20 202d  SS-Req-2.2.2.  -
│ │ │ -0019f7a0: 2050 4349 2d44 5353 7634 2d32 2e32 0a20   PCI-DSSv4-2.2. 
│ │ │ -0019f7b0: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ -0019f7c0: 2e34 0a20 202d 2064 6973 6162 6c65 5f73  .4.  - disable_s
│ │ │ -0019f7d0: 7472 6174 6567 790a 2020 2d20 6869 6768  trategy.  - high
│ │ │ -0019f7e0: 5f73 6576 6572 6974 790a 2020 2d20 6c6f  _severity.  - lo
│ │ │ -0019f7f0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -0019f800: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -0019f810: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -0019f820: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -0019f830: 5f74 656c 6e65 742d 7365 7276 6572 5f72  _telnet-server_r
│ │ │ -0019f840: 656d 6f76 6564 0a3c 2f63 6f64 653e 3c2f  emoved.</code></
│ │ │ +0019f310: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ +0019f320: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +0019f330: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +0019f340: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +0019f350: 7073 6522 2069 643d 2269 646d 3231 3435  pse" id="idm2145
│ │ │ +0019f360: 3122 3e3c 7461 626c 6520 636c 6173 733d  1"><table class=
│ │ │ +0019f370: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +0019f380: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +0019f390: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +0019f3a0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +0019f3b0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +0019f3c0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0019f3d0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +0019f3e0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0019f3f0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +0019f400: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +0019f410: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +0019f420: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +0019f430: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +0019f440: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +0019f450: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +0019f460: 6d65 3a20 456e 7375 7265 2074 656c 6e65  me: Ensure telne
│ │ │ +0019f470: 742d 7365 7276 6572 2069 7320 7265 6d6f  t-server is remo
│ │ │ +0019f480: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ +0019f490: 2020 206e 616d 653a 2074 656c 6e65 742d     name: telnet-
│ │ │ +0019f4a0: 7365 7276 6572 0a20 2020 2073 7461 7465  server.    state
│ │ │ +0019f4b0: 3a20 6162 7365 6e74 0a20 2074 6167 733a  : absent.  tags:
│ │ │ +0019f4c0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0019f4d0: 2d43 4d2d 3628 6129 0a20 202d 204e 4953  -CM-6(a).  - NIS
│ │ │ +0019f4e0: 542d 3830 302d 3533 2d43 4d2d 3728 6129  T-800-53-CM-7(a)
│ │ │ +0019f4f0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0019f500: 2d43 4d2d 3728 6229 0a20 202d 2050 4349  -CM-7(b).  - PCI
│ │ │ +0019f510: 2d44 5353 2d52 6571 2d32 2e32 2e32 0a20  -DSS-Req-2.2.2. 
│ │ │ +0019f520: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +0019f530: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ +0019f540: 2e32 2e34 0a20 202d 2064 6973 6162 6c65  .2.4.  - disable
│ │ │ +0019f550: 5f73 7472 6174 6567 790a 2020 2d20 6869  _strategy.  - hi
│ │ │ +0019f560: 6768 5f73 6576 6572 6974 790a 2020 2d20  gh_severity.  - 
│ │ │ +0019f570: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +0019f580: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +0019f590: 6e0a 2020 2d20 6e6f 5f72 6562 6f6f 745f  n.  - no_reboot_
│ │ │ +0019f5a0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ +0019f5b0: 6765 5f74 656c 6e65 742d 7365 7276 6572  ge_telnet-server
│ │ │ +0019f5c0: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ +0019f5d0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +0019f5e0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +0019f5f0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +0019f600: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +0019f610: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ +0019f620: 3134 3532 2220 7461 6269 6e64 6578 3d22  1452" tabindex="
│ │ │ +0019f630: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +0019f640: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +0019f650: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +0019f660: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +0019f670: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +0019f680: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +0019f690: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +0019f6a0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +0019f6b0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +0019f6c0: 6c61 7073 6522 2069 643d 2269 646d 3231  lapse" id="idm21
│ │ │ +0019f6d0: 3435 3222 3e3c 7461 626c 6520 636c 6173  452"><table clas
│ │ │ +0019f6e0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +0019f6f0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +0019f700: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +0019f710: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +0019f720: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +0019f730: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0019f740: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +0019f750: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +0019f760: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0019f770: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +0019f780: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +0019f790: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +0019f7a0: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +0019f7b0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +0019f7c0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +0019f7d0: 636c 7564 6520 7265 6d6f 7665 5f74 656c  clude remove_tel
│ │ │ +0019f7e0: 6e65 742d 7365 7276 6572 0a0a 636c 6173  net-server..clas
│ │ │ +0019f7f0: 7320 7265 6d6f 7665 5f74 656c 6e65 742d  s remove_telnet-
│ │ │ +0019f800: 7365 7276 6572 207b 0a20 2070 6163 6b61  server {.  packa
│ │ │ +0019f810: 6765 207b 2027 7465 6c6e 6574 2d73 6572  ge { 'telnet-ser
│ │ │ +0019f820: 7665 7227 3a0a 2020 2020 656e 7375 7265  ver':.    ensure
│ │ │ +0019f830: 203d 2667 743b 2027 7075 7267 6564 272c   =&gt; 'purged',
│ │ │ +0019f840: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │  0019f850: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │  0019f860: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │  0019f870: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │  0019f880: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │  0019f890: 2d74 6172 6765 743d 2223 6964 6d32 3134  -target="#idm214
│ │ │  0019f8a0: 3533 2220 7461 6269 6e64 6578 3d22 3022  53" tabindex="0"
│ │ │  0019f8b0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ @@ -106594,91 +106594,91 @@
│ │ │  001a0610: 6574 3d22 2369 646d 3231 3438 3022 2074  et="#idm21480" t
│ │ │  001a0620: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  001a0630: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  001a0640: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  001a0650: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  001a0660: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  001a0670: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -001a0680: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -001a0690: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -001a06a0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -001a06b0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -001a06c0: 6964 3d22 6964 6d32 3134 3830 223e 3c74  id="idm21480"><t
│ │ │ -001a06d0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -001a06e0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -001a06f0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -001a0700: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -001a0710: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -001a0720: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -001a0730: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -001a0740: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -001a0750: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -001a0760: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -001a0770: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -001a0780: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -001a0790: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -001a07a0: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -001a07b0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -001a07c0: 3e3c 636f 6465 3e69 6e63 6c75 6465 2072  ><code>include r
│ │ │ -001a07d0: 656d 6f76 655f 7465 6c6e 6574 0a0a 636c  emove_telnet..cl
│ │ │ -001a07e0: 6173 7320 7265 6d6f 7665 5f74 656c 6e65  ass remove_telne
│ │ │ -001a07f0: 7420 7b0a 2020 7061 636b 6167 6520 7b20  t {.  package { 
│ │ │ -001a0800: 2774 656c 6e65 7427 3a0a 2020 2020 656e  'telnet':.    en
│ │ │ -001a0810: 7375 7265 203d 2667 743b 2027 7075 7267  sure =&gt; 'purg
│ │ │ -001a0820: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ -001a0830: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -001a0840: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -001a0850: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -001a0860: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -001a0870: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -001a0880: 6d32 3134 3831 2220 7461 6269 6e64 6578  m21481" tabindex
│ │ │ -001a0890: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -001a08a0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -001a08b0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -001a08c0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -001a08d0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -001a08e0: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -001a08f0: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -001a0900: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -001a0910: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -001a0920: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -001a0930: 6d32 3134 3831 223e 3c74 6162 6c65 2063  m21481"><table c
│ │ │ -001a0940: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -001a0950: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -001a0960: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -001a0970: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -001a0980: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -001a0990: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -001a09a0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -001a09b0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -001a09c0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -001a09d0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -001a09e0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -001a09f0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -001a0a00: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -001a0a10: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -001a0a20: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -001a0a30: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ -001a0a40: 7465 6c6e 6574 2069 7320 7265 6d6f 7665  telnet is remove
│ │ │ -001a0a50: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ -001a0a60: 206e 616d 653a 2074 656c 6e65 740a 2020   name: telnet.  
│ │ │ -001a0a70: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ -001a0a80: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ -001a0a90: 2d38 3030 2d31 3731 2d33 2e31 2e31 330a  -800-171-3.1.13.
│ │ │ -001a0aa0: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ -001a0ab0: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ -001a0ac0: 322e 322e 340a 2020 2d20 6469 7361 626c  2.2.4.  - disabl
│ │ │ -001a0ad0: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -001a0ae0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -001a0af0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -001a0b00: 0a20 202d 206c 6f77 5f73 6576 6572 6974  .  - low_severit
│ │ │ -001a0b10: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -001a0b20: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -001a0b30: 6765 5f74 656c 6e65 745f 7265 6d6f 7665  ge_telnet_remove
│ │ │ -001a0b40: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +001a0680: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +001a0690: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +001a06a0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +001a06b0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +001a06c0: 2069 643d 2269 646d 3231 3438 3022 3e3c   id="idm21480"><
│ │ │ +001a06d0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +001a06e0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +001a06f0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +001a0700: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +001a0710: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +001a0720: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +001a0730: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001a0740: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +001a0750: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +001a0760: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +001a0770: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +001a0780: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001a0790: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +001a07a0: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +001a07b0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +001a07c0: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +001a07d0: 456e 7375 7265 2074 656c 6e65 7420 6973  Ensure telnet is
│ │ │ +001a07e0: 2072 656d 6f76 6564 0a20 2070 6163 6b61   removed.  packa
│ │ │ +001a07f0: 6765 3a0a 2020 2020 6e61 6d65 3a20 7465  ge:.    name: te
│ │ │ +001a0800: 6c6e 6574 0a20 2020 2073 7461 7465 3a20  lnet.    state: 
│ │ │ +001a0810: 6162 7365 6e74 0a20 2074 6167 733a 0a20  absent.  tags:. 
│ │ │ +001a0820: 202d 204e 4953 542d 3830 302d 3137 312d   - NIST-800-171-
│ │ │ +001a0830: 332e 312e 3133 0a20 202d 2050 4349 2d44  3.1.13.  - PCI-D
│ │ │ +001a0840: 5353 7634 2d32 2e32 0a20 202d 2050 4349  SSv4-2.2.  - PCI
│ │ │ +001a0850: 2d44 5353 7634 2d32 2e32 2e34 0a20 202d  -DSSv4-2.2.4.  -
│ │ │ +001a0860: 2064 6973 6162 6c65 5f73 7472 6174 6567   disable_strateg
│ │ │ +001a0870: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +001a0880: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +001a0890: 7275 7074 696f 6e0a 2020 2d20 6c6f 775f  ruption.  - low_
│ │ │ +001a08a0: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ +001a08b0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +001a08c0: 2d20 7061 636b 6167 655f 7465 6c6e 6574  - package_telnet
│ │ │ +001a08d0: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ +001a08e0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +001a08f0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +001a0900: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +001a0910: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +001a0920: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ +001a0930: 3134 3831 2220 7461 6269 6e64 6578 3d22  1481" tabindex="
│ │ │ +001a0940: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +001a0950: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +001a0960: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +001a0970: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +001a0980: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +001a0990: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +001a09a0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +001a09b0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +001a09c0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +001a09d0: 6c61 7073 6522 2069 643d 2269 646d 3231  lapse" id="idm21
│ │ │ +001a09e0: 3438 3122 3e3c 7461 626c 6520 636c 6173  481"><table clas
│ │ │ +001a09f0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +001a0a00: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +001a0a10: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +001a0a20: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +001a0a30: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +001a0a40: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +001a0a50: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +001a0a60: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +001a0a70: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +001a0a80: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +001a0a90: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +001a0aa0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +001a0ab0: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +001a0ac0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +001a0ad0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +001a0ae0: 636c 7564 6520 7265 6d6f 7665 5f74 656c  clude remove_tel
│ │ │ +001a0af0: 6e65 740a 0a63 6c61 7373 2072 656d 6f76  net..class remov
│ │ │ +001a0b00: 655f 7465 6c6e 6574 207b 0a20 2070 6163  e_telnet {.  pac
│ │ │ +001a0b10: 6b61 6765 207b 2027 7465 6c6e 6574 273a  kage { 'telnet':
│ │ │ +001a0b20: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +001a0b30: 3b20 2770 7572 6765 6427 2c0a 2020 7d0a  ; 'purged',.  }.
│ │ │ +001a0b40: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │  001a0b50: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │  001a0b60: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │  001a0b70: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │  001a0b80: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │  001a0b90: 6574 3d22 2369 646d 3231 3438 3222 2074  et="#idm21482" t
│ │ │  001a0ba0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  001a0bb0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ @@ -107061,96 +107061,96 @@
│ │ │  001a2340: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  001a2350: 2369 646d 3231 3539 3422 2074 6162 696e  #idm21594" tabin
│ │ │  001a2360: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  001a2370: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  001a2380: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  001a2390: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  001a23a0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -001a23b0: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ -001a23c0: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ -001a23d0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -001a23e0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -001a23f0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -001a2400: 6964 6d32 3135 3934 223e 3c74 6162 6c65  idm21594"><table
│ │ │ -001a2410: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -001a2420: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -001a2430: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -001a2440: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -001a2450: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -001a2460: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -001a2470: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -001a2480: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -001a2490: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -001a24a0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -001a24b0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -001a24c0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -001a24d0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ -001a24e0: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ -001a24f0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -001a2500: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ -001a2510: 655f 7466 7470 2d73 6572 7665 720a 0a63  e_tftp-server..c
│ │ │ -001a2520: 6c61 7373 2072 656d 6f76 655f 7466 7470  lass remove_tftp
│ │ │ -001a2530: 2d73 6572 7665 7220 7b0a 2020 7061 636b  -server {.  pack
│ │ │ -001a2540: 6167 6520 7b20 2774 6674 702d 7365 7276  age { 'tftp-serv
│ │ │ -001a2550: 6572 273a 0a20 2020 2065 6e73 7572 6520  er':.    ensure 
│ │ │ -001a2560: 3d26 6774 3b20 2770 7572 6765 6427 2c0a  =&gt; 'purged',.
│ │ │ -001a2570: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -001a2580: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -001a2590: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -001a25a0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -001a25b0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -001a25c0: 7461 7267 6574 3d22 2369 646d 3231 3539  target="#idm2159
│ │ │ -001a25d0: 3522 2074 6162 696e 6465 783d 2230 2220  5" tabindex="0" 
│ │ │ -001a25e0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -001a25f0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -001a2600: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -001a2610: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -001a2620: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -001a2630: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -001a2640: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -001a2650: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -001a2660: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -001a2670: 7073 6522 2069 643d 2269 646d 3231 3539  pse" id="idm2159
│ │ │ -001a2680: 3522 3e3c 7461 626c 6520 636c 6173 733d  5"><table class=
│ │ │ -001a2690: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -001a26a0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -001a26b0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -001a26c0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -001a26d0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -001a26e0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -001a26f0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -001a2700: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -001a2710: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -001a2720: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -001a2730: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -001a2740: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -001a2750: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -001a2760: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -001a2770: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ -001a2780: 6d65 3a20 456e 7375 7265 2074 6674 702d  me: Ensure tftp-
│ │ │ -001a2790: 7365 7276 6572 2069 7320 7265 6d6f 7665  server is remove
│ │ │ -001a27a0: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ -001a27b0: 206e 616d 653a 2074 6674 702d 7365 7276   name: tftp-serv
│ │ │ -001a27c0: 6572 0a20 2020 2073 7461 7465 3a20 6162  er.    state: ab
│ │ │ -001a27d0: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ -001a27e0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -001a27f0: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ -001a2800: 302d 3533 2d43 4d2d 3728 6129 0a20 202d  0-53-CM-7(a).  -
│ │ │ -001a2810: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -001a2820: 3728 6229 0a20 202d 2050 4349 2d44 5353  7(b).  - PCI-DSS
│ │ │ -001a2830: 7634 2d32 2e32 0a20 202d 2050 4349 2d44  v4-2.2.  - PCI-D
│ │ │ -001a2840: 5353 7634 2d32 2e32 2e34 0a20 202d 2064  SSv4-2.2.4.  - d
│ │ │ -001a2850: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ -001a2860: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ -001a2870: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -001a2880: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -001a2890: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ -001a28a0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -001a28b0: 2070 6163 6b61 6765 5f74 6674 702d 7365   package_tftp-se
│ │ │ -001a28c0: 7276 6572 5f72 656d 6f76 6564 0a3c 2f63  rver_removed.</c
│ │ │ +001a23b0: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +001a23c0: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +001a23d0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +001a23e0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +001a23f0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +001a2400: 2269 646d 3231 3539 3422 3e3c 7461 626c  "idm21594"><tabl
│ │ │ +001a2410: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +001a2420: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +001a2430: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +001a2440: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +001a2450: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +001a2460: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +001a2470: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +001a2480: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +001a2490: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +001a24a0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +001a24b0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +001a24c0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +001a24d0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +001a24e0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +001a24f0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +001a2500: 6f64 653e 2d20 6e61 6d65 3a20 456e 7375  ode>- name: Ensu
│ │ │ +001a2510: 7265 2074 6674 702d 7365 7276 6572 2069  re tftp-server i
│ │ │ +001a2520: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ +001a2530: 6167 653a 0a20 2020 206e 616d 653a 2074  age:.    name: t
│ │ │ +001a2540: 6674 702d 7365 7276 6572 0a20 2020 2073  ftp-server.    s
│ │ │ +001a2550: 7461 7465 3a20 6162 7365 6e74 0a20 2074  tate: absent.  t
│ │ │ +001a2560: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +001a2570: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +001a2580: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +001a2590: 3728 6129 0a20 202d 204e 4953 542d 3830  7(a).  - NIST-80
│ │ │ +001a25a0: 302d 3533 2d43 4d2d 3728 6229 0a20 202d  0-53-CM-7(b).  -
│ │ │ +001a25b0: 2050 4349 2d44 5353 7634 2d32 2e32 0a20   PCI-DSSv4-2.2. 
│ │ │ +001a25c0: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +001a25d0: 2e34 0a20 202d 2064 6973 6162 6c65 5f73  .4.  - disable_s
│ │ │ +001a25e0: 7472 6174 6567 790a 2020 2d20 6869 6768  trategy.  - high
│ │ │ +001a25f0: 5f73 6576 6572 6974 790a 2020 2d20 6c6f  _severity.  - lo
│ │ │ +001a2600: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +001a2610: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +001a2620: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +001a2630: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +001a2640: 5f74 6674 702d 7365 7276 6572 5f72 656d  _tftp-server_rem
│ │ │ +001a2650: 6f76 6564 0a3c 2f63 6f64 653e 3c2f 7072  oved.</code></pr
│ │ │ +001a2660: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +001a2670: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +001a2680: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +001a2690: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +001a26a0: 6172 6765 743d 2223 6964 6d32 3135 3935  arget="#idm21595
│ │ │ +001a26b0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +001a26c0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +001a26d0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +001a26e0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +001a26f0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +001a2700: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +001a2710: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +001a2720: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +001a2730: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +001a2740: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +001a2750: 6522 2069 643d 2269 646d 3231 3539 3522  e" id="idm21595"
│ │ │ +001a2760: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +001a2770: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +001a2780: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +001a2790: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +001a27a0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +001a27b0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +001a27c0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +001a27d0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +001a27e0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +001a27f0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +001a2800: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +001a2810: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +001a2820: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +001a2830: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +001a2840: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +001a2850: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +001a2860: 6520 7265 6d6f 7665 5f74 6674 702d 7365  e remove_tftp-se
│ │ │ +001a2870: 7276 6572 0a0a 636c 6173 7320 7265 6d6f  rver..class remo
│ │ │ +001a2880: 7665 5f74 6674 702d 7365 7276 6572 207b  ve_tftp-server {
│ │ │ +001a2890: 0a20 2070 6163 6b61 6765 207b 2027 7466  .  package { 'tf
│ │ │ +001a28a0: 7470 2d73 6572 7665 7227 3a0a 2020 2020  tp-server':.    
│ │ │ +001a28b0: 656e 7375 7265 203d 2667 743b 2027 7075  ensure =&gt; 'pu
│ │ │ +001a28c0: 7267 6564 272c 0a20 207d 0a7d 0a3c 2f63  rged',.  }.}.</c
│ │ │  001a28d0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │  001a28e0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │  001a28f0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │  001a2900: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │  001a2910: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  001a2920: 6964 6d32 3135 3936 2220 7461 6269 6e64  idm21596" tabind
│ │ │  001a2930: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ @@ -107360,89 +107360,89 @@
│ │ │  001a35f0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  001a3600: 646d 3231 3631 3222 2074 6162 696e 6465  dm21612" tabinde
│ │ │  001a3610: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  001a3620: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  001a3630: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  001a3640: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  001a3650: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -001a3660: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -001a3670: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -001a3680: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -001a3690: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -001a36a0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -001a36b0: 6d32 3136 3132 223e 3c74 6162 6c65 2063  m21612"><table c
│ │ │ -001a36c0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -001a36d0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -001a36e0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -001a36f0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -001a3700: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -001a3710: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -001a3720: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -001a3730: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -001a3740: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -001a3750: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -001a3760: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -001a3770: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -001a3780: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -001a3790: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -001a37a0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -001a37b0: 3e69 6e63 6c75 6465 2072 656d 6f76 655f  >include remove_
│ │ │ -001a37c0: 7466 7470 0a0a 636c 6173 7320 7265 6d6f  tftp..class remo
│ │ │ -001a37d0: 7665 5f74 6674 7020 7b0a 2020 7061 636b  ve_tftp {.  pack
│ │ │ -001a37e0: 6167 6520 7b20 2774 6674 7027 3a0a 2020  age { 'tftp':.  
│ │ │ -001a37f0: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -001a3800: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │ -001a3810: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -001a3820: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -001a3830: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -001a3840: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -001a3850: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -001a3860: 2223 6964 6d32 3136 3133 2220 7461 6269  "#idm21613" tabi
│ │ │ -001a3870: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -001a3880: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -001a3890: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -001a38a0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -001a38b0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -001a38c0: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -001a38d0: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -001a38e0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -001a38f0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -001a3900: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -001a3910: 3d22 6964 6d32 3136 3133 223e 3c74 6162  ="idm21613"><tab
│ │ │ -001a3920: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -001a3930: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -001a3940: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -001a3950: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -001a3960: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -001a3970: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -001a3980: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -001a3990: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -001a39a0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -001a39b0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -001a39c0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -001a39d0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -001a39e0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -001a39f0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -001a3a00: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -001a3a10: 636f 6465 3e2d 206e 616d 653a 2045 6e73  code>- name: Ens
│ │ │ -001a3a20: 7572 6520 7466 7470 2069 7320 7265 6d6f  ure tftp is remo
│ │ │ -001a3a30: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ -001a3a40: 2020 206e 616d 653a 2074 6674 700a 2020     name: tftp.  
│ │ │ -001a3a50: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ -001a3a60: 2020 7461 6773 3a0a 2020 2d20 5043 492d    tags:.  - PCI-
│ │ │ -001a3a70: 4453 5376 342d 322e 320a 2020 2d20 5043  DSSv4-2.2.  - PC
│ │ │ -001a3a80: 492d 4453 5376 342d 322e 322e 340a 2020  I-DSSv4-2.2.4.  
│ │ │ -001a3a90: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ -001a3aa0: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -001a3ab0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -001a3ac0: 7372 7570 7469 6f6e 0a20 202d 206c 6f77  sruption.  - low
│ │ │ -001a3ad0: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ -001a3ae0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -001a3af0: 202d 2070 6163 6b61 6765 5f74 6674 705f   - package_tftp_
│ │ │ -001a3b00: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ +001a3660: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +001a3670: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +001a3680: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +001a3690: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +001a36a0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +001a36b0: 646d 3231 3631 3222 3e3c 7461 626c 6520  dm21612"><table 
│ │ │ +001a36c0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +001a36d0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +001a36e0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +001a36f0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +001a3700: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +001a3710: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001a3720: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +001a3730: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +001a3740: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +001a3750: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +001a3760: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +001a3770: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +001a3780: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +001a3790: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +001a37a0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +001a37b0: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ +001a37c0: 2074 6674 7020 6973 2072 656d 6f76 6564   tftp is removed
│ │ │ +001a37d0: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ +001a37e0: 6e61 6d65 3a20 7466 7470 0a20 2020 2073  name: tftp.    s
│ │ │ +001a37f0: 7461 7465 3a20 6162 7365 6e74 0a20 2074  tate: absent.  t
│ │ │ +001a3800: 6167 733a 0a20 202d 2050 4349 2d44 5353  ags:.  - PCI-DSS
│ │ │ +001a3810: 7634 2d32 2e32 0a20 202d 2050 4349 2d44  v4-2.2.  - PCI-D
│ │ │ +001a3820: 5353 7634 2d32 2e32 2e34 0a20 202d 2064  SSv4-2.2.4.  - d
│ │ │ +001a3830: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ +001a3840: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +001a3850: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +001a3860: 7074 696f 6e0a 2020 2d20 6c6f 775f 7365  ption.  - low_se
│ │ │ +001a3870: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +001a3880: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +001a3890: 7061 636b 6167 655f 7466 7470 5f72 656d  package_tftp_rem
│ │ │ +001a38a0: 6f76 6564 0a3c 2f63 6f64 653e 3c2f 7072  oved.</code></pr
│ │ │ +001a38b0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +001a38c0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +001a38d0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +001a38e0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +001a38f0: 6172 6765 743d 2223 6964 6d32 3136 3133  arget="#idm21613
│ │ │ +001a3900: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +001a3910: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +001a3920: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +001a3930: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +001a3940: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +001a3950: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +001a3960: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +001a3970: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +001a3980: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +001a3990: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +001a39a0: 6522 2069 643d 2269 646d 3231 3631 3322  e" id="idm21613"
│ │ │ +001a39b0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +001a39c0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +001a39d0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +001a39e0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +001a39f0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +001a3a00: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +001a3a10: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +001a3a20: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +001a3a30: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +001a3a40: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +001a3a50: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +001a3a60: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +001a3a70: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +001a3a80: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +001a3a90: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +001a3aa0: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +001a3ab0: 6520 7265 6d6f 7665 5f74 6674 700a 0a63  e remove_tftp..c
│ │ │ +001a3ac0: 6c61 7373 2072 656d 6f76 655f 7466 7470  lass remove_tftp
│ │ │ +001a3ad0: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +001a3ae0: 7466 7470 273a 0a20 2020 2065 6e73 7572  tftp':.    ensur
│ │ │ +001a3af0: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ +001a3b00: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │  001a3b10: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │  001a3b20: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │  001a3b30: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │  001a3b40: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │  001a3b50: 612d 7461 7267 6574 3d22 2369 646d 3231  a-target="#idm21
│ │ │  001a3b60: 3631 3422 2074 6162 696e 6465 783d 2230  614" tabindex="0
│ │ │  001a3b70: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ @@ -110812,165 +110812,165 @@
│ │ │  001b0db0: 612d 7461 7267 6574 3d22 2369 646d 3232  a-target="#idm22
│ │ │  001b0dc0: 3232 3322 2074 6162 696e 6465 783d 2230  223" tabindex="0
│ │ │  001b0dd0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  001b0de0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  001b0df0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  001b0e00: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  001b0e10: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -001b0e20: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ -001b0e30: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -001b0e40: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -001b0e50: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -001b0e60: 6170 7365 2220 6964 3d22 6964 6d32 3232  apse" id="idm222
│ │ │ -001b0e70: 3233 223e 3c70 7265 3e3c 636f 6465 3e69  23"><pre><code>i
│ │ │ -001b0e80: 6e63 6c75 6465 2073 7368 5f70 7269 7661  nclude ssh_priva
│ │ │ -001b0e90: 7465 5f6b 6579 5f70 6572 6d73 0a0a 636c  te_key_perms..cl
│ │ │ -001b0ea0: 6173 7320 7373 685f 7072 6976 6174 655f  ass ssh_private_
│ │ │ -001b0eb0: 6b65 795f 7065 726d 7320 7b0a 2020 6578  key_perms {.  ex
│ │ │ -001b0ec0: 6563 207b 2027 7373 6864 5f70 7269 765f  ec { 'sshd_priv_
│ │ │ -001b0ed0: 6b65 7927 3a0a 2020 2020 636f 6d6d 616e  key':.    comman
│ │ │ -001b0ee0: 6420 3d26 6774 3b20 2263 686d 6f64 2030  d =&gt; "chmod 0
│ │ │ -001b0ef0: 3634 3020 2f65 7463 2f73 7368 2f2a 5f6b  640 /etc/ssh/*_k
│ │ │ -001b0f00: 6579 222c 0a20 2020 2070 6174 6820 2020  ey",.    path   
│ │ │ -001b0f10: 203d 2667 743b 2027 2f62 696e 3a2f 7573   =&gt; '/bin:/us
│ │ │ -001b0f20: 722f 6269 6e27 0a20 207d 0a7d 0a3c 2f63  r/bin'.  }.}.</c
│ │ │ -001b0f30: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -001b0f40: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -001b0f50: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -001b0f60: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -001b0f70: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -001b0f80: 6964 6d32 3232 3234 2220 7461 6269 6e64  idm22224" tabind
│ │ │ -001b0f90: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -001b0fa0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -001b0fb0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -001b0fc0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -001b0fd0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -001b0fe0: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ -001b0ff0: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ -001b1000: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -001b1010: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -001b1020: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -001b1030: 6964 6d32 3232 3234 223e 3c74 6162 6c65  idm22224"><table
│ │ │ -001b1040: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -001b1050: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -001b1060: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -001b1070: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -001b1080: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -001b1090: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -001b10a0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -001b10b0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -001b10c0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -001b10d0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -001b10e0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -001b10f0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -001b1100: 6174 6567 793a 3c2f 7468 3e3c 7464 3e63  ategy:</th><td>c
│ │ │ -001b1110: 6f6e 6669 6775 7265 3c2f 7464 3e3c 2f74  onfigure</td></t
│ │ │ -001b1120: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -001b1130: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ -001b1140: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ -001b1150: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ -001b1160: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ -001b1170: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ -001b1180: 0a20 202d 204e 4953 542d 3830 302d 3137  .  - NIST-800-17
│ │ │ -001b1190: 312d 332e 312e 3133 0a20 202d 204e 4953  1-3.1.13.  - NIS
│ │ │ -001b11a0: 542d 3830 302d 3137 312d 332e 3133 2e31  T-800-171-3.13.1
│ │ │ -001b11b0: 300a 2020 2d20 4e49 5354 2d38 3030 2d35  0.  - NIST-800-5
│ │ │ -001b11c0: 332d 4143 2d31 3728 6129 0a20 202d 204e  3-AC-17(a).  - N
│ │ │ -001b11d0: 4953 542d 3830 302d 3533 2d41 432d 3628  IST-800-53-AC-6(
│ │ │ -001b11e0: 3129 0a20 202d 204e 4953 542d 3830 302d  1).  - NIST-800-
│ │ │ -001b11f0: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ -001b1200: 4349 2d44 5353 2d52 6571 2d32 2e32 2e34  CI-DSS-Req-2.2.4
│ │ │ -001b1210: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -001b1220: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -001b1230: 2d32 2e32 2e36 0a20 202d 2063 6f6e 6669  -2.2.6.  - confi
│ │ │ -001b1240: 6775 7265 5f73 7472 6174 6567 790a 2020  gure_strategy.  
│ │ │ -001b1250: 2d20 6669 6c65 5f70 6572 6d69 7373 696f  - file_permissio
│ │ │ -001b1260: 6e73 5f73 7368 645f 7072 6976 6174 655f  ns_sshd_private_
│ │ │ -001b1270: 6b65 790a 2020 2d20 6c6f 775f 636f 6d70  key.  - low_comp
│ │ │ -001b1280: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -001b1290: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ -001b12a0: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ -001b12b0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -001b12c0: 6564 0a0a 2d20 6e61 6d65 3a20 4669 6e64  ed..- name: Find
│ │ │ -001b12d0: 2072 6f6f 743a 726f 6f74 2d6f 776e 6564   root:root-owned
│ │ │ -001b12e0: 206b 6579 730a 2020 616e 7369 626c 652e   keys.  ansible.
│ │ │ -001b12f0: 6275 696c 7469 6e2e 636f 6d6d 616e 643a  builtin.command:
│ │ │ -001b1300: 2066 696e 6420 2d48 202f 6574 632f 7373   find -H /etc/ss
│ │ │ -001b1310: 682f 202d 6d61 7864 6570 7468 2031 202d  h/ -maxdepth 1 -
│ │ │ -001b1320: 7573 6572 2072 6f6f 7420 2d72 6567 6578  user root -regex
│ │ │ -001b1330: 2022 2e2a 5f6b 6579 2422 0a20 2020 202d   ".*_key$".    -
│ │ │ -001b1340: 7479 7065 2066 202d 6772 6f75 7020 726f  type f -group ro
│ │ │ -001b1350: 6f74 202d 7065 726d 202f 752b 7873 2c67  ot -perm /u+xs,g
│ │ │ -001b1360: 2b78 7772 732c 6f2b 7877 7274 0a20 2072  +xwrs,o+xwrt.  r
│ │ │ -001b1370: 6567 6973 7465 723a 2072 6f6f 745f 6f77  egister: root_ow
│ │ │ -001b1380: 6e65 645f 6b65 7973 0a20 2063 6861 6e67  ned_keys.  chang
│ │ │ -001b1390: 6564 5f77 6865 6e3a 2066 616c 7365 0a20  ed_when: false. 
│ │ │ -001b13a0: 2066 6169 6c65 645f 7768 656e 3a20 6661   failed_when: fa
│ │ │ -001b13b0: 6c73 650a 2020 6368 6563 6b5f 6d6f 6465  lse.  check_mode
│ │ │ -001b13c0: 3a20 6661 6c73 650a 2020 7768 656e 3a20  : false.  when: 
│ │ │ -001b13d0: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ -001b13e0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -001b13f0: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ -001b1400: 0a20 202d 204e 4953 542d 3830 302d 3137  .  - NIST-800-17
│ │ │ -001b1410: 312d 332e 312e 3133 0a20 202d 204e 4953  1-3.1.13.  - NIS
│ │ │ -001b1420: 542d 3830 302d 3137 312d 332e 3133 2e31  T-800-171-3.13.1
│ │ │ -001b1430: 300a 2020 2d20 4e49 5354 2d38 3030 2d35  0.  - NIST-800-5
│ │ │ -001b1440: 332d 4143 2d31 3728 6129 0a20 202d 204e  3-AC-17(a).  - N
│ │ │ -001b1450: 4953 542d 3830 302d 3533 2d41 432d 3628  IST-800-53-AC-6(
│ │ │ -001b1460: 3129 0a20 202d 204e 4953 542d 3830 302d  1).  - NIST-800-
│ │ │ -001b1470: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ -001b1480: 4349 2d44 5353 2d52 6571 2d32 2e32 2e34  CI-DSS-Req-2.2.4
│ │ │ -001b1490: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -001b14a0: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -001b14b0: 2d32 2e32 2e36 0a20 202d 2063 6f6e 6669  -2.2.6.  - confi
│ │ │ -001b14c0: 6775 7265 5f73 7472 6174 6567 790a 2020  gure_strategy.  
│ │ │ -001b14d0: 2d20 6669 6c65 5f70 6572 6d69 7373 696f  - file_permissio
│ │ │ -001b14e0: 6e73 5f73 7368 645f 7072 6976 6174 655f  ns_sshd_private_
│ │ │ -001b14f0: 6b65 790a 2020 2d20 6c6f 775f 636f 6d70  key.  - low_comp
│ │ │ -001b1500: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -001b1510: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ -001b1520: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ -001b1530: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -001b1540: 6564 0a0a 2d20 6e61 6d65 3a20 5365 7420  ed..- name: Set 
│ │ │ -001b1550: 7065 726d 6973 7369 6f6e 7320 666f 7220  permissions for 
│ │ │ -001b1560: 726f 6f74 3a72 6f6f 742d 6f77 6e65 6420  root:root-owned 
│ │ │ -001b1570: 6b65 7973 0a20 2061 6e73 6962 6c65 2e62  keys.  ansible.b
│ │ │ -001b1580: 7569 6c74 696e 2e66 696c 653a 0a20 2020  uiltin.file:.   
│ │ │ -001b1590: 2070 6174 683a 2027 7b7b 2069 7465 6d20   path: '{{ item 
│ │ │ -001b15a0: 7d7d 270a 2020 2020 6d6f 6465 3a20 752d  }}'.    mode: u-
│ │ │ -001b15b0: 7873 2c67 2d78 7772 732c 6f2d 7877 7274  xs,g-xwrs,o-xwrt
│ │ │ -001b15c0: 0a20 2020 2073 7461 7465 3a20 6669 6c65  .    state: file
│ │ │ -001b15d0: 0a20 2077 6974 685f 6974 656d 733a 0a20  .  with_items:. 
│ │ │ -001b15e0: 202d 2027 7b7b 2072 6f6f 745f 6f77 6e65   - '{{ root_owne
│ │ │ -001b15f0: 645f 6b65 7973 2e73 7464 6f75 745f 6c69  d_keys.stdout_li
│ │ │ -001b1600: 6e65 7320 7d7d 270a 2020 7768 656e 3a20  nes }}'.  when: 
│ │ │ -001b1610: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ -001b1620: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -001b1630: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ -001b1640: 0a20 202d 204e 4953 542d 3830 302d 3137  .  - NIST-800-17
│ │ │ -001b1650: 312d 332e 312e 3133 0a20 202d 204e 4953  1-3.1.13.  - NIS
│ │ │ -001b1660: 542d 3830 302d 3137 312d 332e 3133 2e31  T-800-171-3.13.1
│ │ │ -001b1670: 300a 2020 2d20 4e49 5354 2d38 3030 2d35  0.  - NIST-800-5
│ │ │ -001b1680: 332d 4143 2d31 3728 6129 0a20 202d 204e  3-AC-17(a).  - N
│ │ │ -001b1690: 4953 542d 3830 302d 3533 2d41 432d 3628  IST-800-53-AC-6(
│ │ │ -001b16a0: 3129 0a20 202d 204e 4953 542d 3830 302d  1).  - NIST-800-
│ │ │ -001b16b0: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ -001b16c0: 4349 2d44 5353 2d52 6571 2d32 2e32 2e34  CI-DSS-Req-2.2.4
│ │ │ -001b16d0: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -001b16e0: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -001b16f0: 2d32 2e32 2e36 0a20 202d 2063 6f6e 6669  -2.2.6.  - confi
│ │ │ -001b1700: 6775 7265 5f73 7472 6174 6567 790a 2020  gure_strategy.  
│ │ │ -001b1710: 2d20 6669 6c65 5f70 6572 6d69 7373 696f  - file_permissio
│ │ │ -001b1720: 6e73 5f73 7368 645f 7072 6976 6174 655f  ns_sshd_private_
│ │ │ -001b1730: 6b65 790a 2020 2d20 6c6f 775f 636f 6d70  key.  - low_comp
│ │ │ -001b1740: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -001b1750: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ -001b1760: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ -001b1770: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -001b1780: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +001b0e20: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +001b0e30: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +001b0e40: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +001b0e50: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +001b0e60: 6c61 7073 6522 2069 643d 2269 646d 3232  lapse" id="idm22
│ │ │ +001b0e70: 3232 3322 3e3c 7461 626c 6520 636c 6173  223"><table clas
│ │ │ +001b0e80: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +001b0e90: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +001b0ea0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +001b0eb0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +001b0ec0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +001b0ed0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +001b0ee0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +001b0ef0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +001b0f00: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +001b0f10: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +001b0f20: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +001b0f30: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +001b0f40: 3a3c 2f74 683e 3c74 643e 636f 6e66 6967  :</th><td>config
│ │ │ +001b0f50: 7572 653c 2f74 643e 3c2f 7472 3e3c 2f74  ure</td></tr></t
│ │ │ +001b0f60: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +001b0f70: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ +001b0f80: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ +001b0f90: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ +001b0fa0: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ +001b0fb0: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ +001b0fc0: 4e49 5354 2d38 3030 2d31 3731 2d33 2e31  NIST-800-171-3.1
│ │ │ +001b0fd0: 2e31 330a 2020 2d20 4e49 5354 2d38 3030  .13.  - NIST-800
│ │ │ +001b0fe0: 2d31 3731 2d33 2e31 332e 3130 0a20 202d  -171-3.13.10.  -
│ │ │ +001b0ff0: 204e 4953 542d 3830 302d 3533 2d41 432d   NIST-800-53-AC-
│ │ │ +001b1000: 3137 2861 290a 2020 2d20 4e49 5354 2d38  17(a).  - NIST-8
│ │ │ +001b1010: 3030 2d35 332d 4143 2d36 2831 290a 2020  00-53-AC-6(1).  
│ │ │ +001b1020: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +001b1030: 2d36 2861 290a 2020 2d20 5043 492d 4453  -6(a).  - PCI-DS
│ │ │ +001b1040: 532d 5265 712d 322e 322e 340a 2020 2d20  S-Req-2.2.4.  - 
│ │ │ +001b1050: 5043 492d 4453 5376 342d 322e 320a 2020  PCI-DSSv4-2.2.  
│ │ │ +001b1060: 2d20 5043 492d 4453 5376 342d 322e 322e  - PCI-DSSv4-2.2.
│ │ │ +001b1070: 360a 2020 2d20 636f 6e66 6967 7572 655f  6.  - configure_
│ │ │ +001b1080: 7374 7261 7465 6779 0a20 202d 2066 696c  strategy.  - fil
│ │ │ +001b1090: 655f 7065 726d 6973 7369 6f6e 735f 7373  e_permissions_ss
│ │ │ +001b10a0: 6864 5f70 7269 7661 7465 5f6b 6579 0a20  hd_private_key. 
│ │ │ +001b10b0: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +001b10c0: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +001b10d0: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ +001b10e0: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ +001b10f0: 7265 626f 6f74 5f6e 6565 6465 640a 0a2d  reboot_needed..-
│ │ │ +001b1100: 206e 616d 653a 2046 696e 6420 726f 6f74   name: Find root
│ │ │ +001b1110: 3a72 6f6f 742d 6f77 6e65 6420 6b65 7973  :root-owned keys
│ │ │ +001b1120: 0a20 2061 6e73 6962 6c65 2e62 7569 6c74  .  ansible.built
│ │ │ +001b1130: 696e 2e63 6f6d 6d61 6e64 3a20 6669 6e64  in.command: find
│ │ │ +001b1140: 202d 4820 2f65 7463 2f73 7368 2f20 2d6d   -H /etc/ssh/ -m
│ │ │ +001b1150: 6178 6465 7074 6820 3120 2d75 7365 7220  axdepth 1 -user 
│ │ │ +001b1160: 726f 6f74 202d 7265 6765 7820 222e 2a5f  root -regex ".*_
│ │ │ +001b1170: 6b65 7924 220a 2020 2020 2d74 7970 6520  key$".    -type 
│ │ │ +001b1180: 6620 2d67 726f 7570 2072 6f6f 7420 2d70  f -group root -p
│ │ │ +001b1190: 6572 6d20 2f75 2b78 732c 672b 7877 7273  erm /u+xs,g+xwrs
│ │ │ +001b11a0: 2c6f 2b78 7772 740a 2020 7265 6769 7374  ,o+xwrt.  regist
│ │ │ +001b11b0: 6572 3a20 726f 6f74 5f6f 776e 6564 5f6b  er: root_owned_k
│ │ │ +001b11c0: 6579 730a 2020 6368 616e 6765 645f 7768  eys.  changed_wh
│ │ │ +001b11d0: 656e 3a20 6661 6c73 650a 2020 6661 696c  en: false.  fail
│ │ │ +001b11e0: 6564 5f77 6865 6e3a 2066 616c 7365 0a20  ed_when: false. 
│ │ │ +001b11f0: 2063 6865 636b 5f6d 6f64 653a 2066 616c   check_mode: fal
│ │ │ +001b1200: 7365 0a20 2077 6865 6e3a 2027 226c 696e  se.  when: '"lin
│ │ │ +001b1210: 7578 2d62 6173 6522 2069 6e20 616e 7369  ux-base" in ansi
│ │ │ +001b1220: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ +001b1230: 6573 270a 2020 7461 6773 3a0a 2020 2d20  es'.  tags:.  - 
│ │ │ +001b1240: 4e49 5354 2d38 3030 2d31 3731 2d33 2e31  NIST-800-171-3.1
│ │ │ +001b1250: 2e31 330a 2020 2d20 4e49 5354 2d38 3030  .13.  - NIST-800
│ │ │ +001b1260: 2d31 3731 2d33 2e31 332e 3130 0a20 202d  -171-3.13.10.  -
│ │ │ +001b1270: 204e 4953 542d 3830 302d 3533 2d41 432d   NIST-800-53-AC-
│ │ │ +001b1280: 3137 2861 290a 2020 2d20 4e49 5354 2d38  17(a).  - NIST-8
│ │ │ +001b1290: 3030 2d35 332d 4143 2d36 2831 290a 2020  00-53-AC-6(1).  
│ │ │ +001b12a0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +001b12b0: 2d36 2861 290a 2020 2d20 5043 492d 4453  -6(a).  - PCI-DS
│ │ │ +001b12c0: 532d 5265 712d 322e 322e 340a 2020 2d20  S-Req-2.2.4.  - 
│ │ │ +001b12d0: 5043 492d 4453 5376 342d 322e 320a 2020  PCI-DSSv4-2.2.  
│ │ │ +001b12e0: 2d20 5043 492d 4453 5376 342d 322e 322e  - PCI-DSSv4-2.2.
│ │ │ +001b12f0: 360a 2020 2d20 636f 6e66 6967 7572 655f  6.  - configure_
│ │ │ +001b1300: 7374 7261 7465 6779 0a20 202d 2066 696c  strategy.  - fil
│ │ │ +001b1310: 655f 7065 726d 6973 7369 6f6e 735f 7373  e_permissions_ss
│ │ │ +001b1320: 6864 5f70 7269 7661 7465 5f6b 6579 0a20  hd_private_key. 
│ │ │ +001b1330: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +001b1340: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +001b1350: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ +001b1360: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ +001b1370: 7265 626f 6f74 5f6e 6565 6465 640a 0a2d  reboot_needed..-
│ │ │ +001b1380: 206e 616d 653a 2053 6574 2070 6572 6d69   name: Set permi
│ │ │ +001b1390: 7373 696f 6e73 2066 6f72 2072 6f6f 743a  ssions for root:
│ │ │ +001b13a0: 726f 6f74 2d6f 776e 6564 206b 6579 730a  root-owned keys.
│ │ │ +001b13b0: 2020 616e 7369 626c 652e 6275 696c 7469    ansible.builti
│ │ │ +001b13c0: 6e2e 6669 6c65 3a0a 2020 2020 7061 7468  n.file:.    path
│ │ │ +001b13d0: 3a20 277b 7b20 6974 656d 207d 7d27 0a20  : '{{ item }}'. 
│ │ │ +001b13e0: 2020 206d 6f64 653a 2075 2d78 732c 672d     mode: u-xs,g-
│ │ │ +001b13f0: 7877 7273 2c6f 2d78 7772 740a 2020 2020  xwrs,o-xwrt.    
│ │ │ +001b1400: 7374 6174 653a 2066 696c 650a 2020 7769  state: file.  wi
│ │ │ +001b1410: 7468 5f69 7465 6d73 3a0a 2020 2d20 277b  th_items:.  - '{
│ │ │ +001b1420: 7b20 726f 6f74 5f6f 776e 6564 5f6b 6579  { root_owned_key
│ │ │ +001b1430: 732e 7374 646f 7574 5f6c 696e 6573 207d  s.stdout_lines }
│ │ │ +001b1440: 7d27 0a20 2077 6865 6e3a 2027 226c 696e  }'.  when: '"lin
│ │ │ +001b1450: 7578 2d62 6173 6522 2069 6e20 616e 7369  ux-base" in ansi
│ │ │ +001b1460: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ +001b1470: 6573 270a 2020 7461 6773 3a0a 2020 2d20  es'.  tags:.  - 
│ │ │ +001b1480: 4e49 5354 2d38 3030 2d31 3731 2d33 2e31  NIST-800-171-3.1
│ │ │ +001b1490: 2e31 330a 2020 2d20 4e49 5354 2d38 3030  .13.  - NIST-800
│ │ │ +001b14a0: 2d31 3731 2d33 2e31 332e 3130 0a20 202d  -171-3.13.10.  -
│ │ │ +001b14b0: 204e 4953 542d 3830 302d 3533 2d41 432d   NIST-800-53-AC-
│ │ │ +001b14c0: 3137 2861 290a 2020 2d20 4e49 5354 2d38  17(a).  - NIST-8
│ │ │ +001b14d0: 3030 2d35 332d 4143 2d36 2831 290a 2020  00-53-AC-6(1).  
│ │ │ +001b14e0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +001b14f0: 2d36 2861 290a 2020 2d20 5043 492d 4453  -6(a).  - PCI-DS
│ │ │ +001b1500: 532d 5265 712d 322e 322e 340a 2020 2d20  S-Req-2.2.4.  - 
│ │ │ +001b1510: 5043 492d 4453 5376 342d 322e 320a 2020  PCI-DSSv4-2.2.  
│ │ │ +001b1520: 2d20 5043 492d 4453 5376 342d 322e 322e  - PCI-DSSv4-2.2.
│ │ │ +001b1530: 360a 2020 2d20 636f 6e66 6967 7572 655f  6.  - configure_
│ │ │ +001b1540: 7374 7261 7465 6779 0a20 202d 2066 696c  strategy.  - fil
│ │ │ +001b1550: 655f 7065 726d 6973 7369 6f6e 735f 7373  e_permissions_ss
│ │ │ +001b1560: 6864 5f70 7269 7661 7465 5f6b 6579 0a20  hd_private_key. 
│ │ │ +001b1570: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +001b1580: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +001b1590: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ +001b15a0: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ +001b15b0: 7265 626f 6f74 5f6e 6565 6465 640a 3c2f  reboot_needed.</
│ │ │ +001b15c0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +001b15d0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +001b15e0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +001b15f0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +001b1600: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +001b1610: 2369 646d 3232 3232 3422 2074 6162 696e  #idm22224" tabin
│ │ │ +001b1620: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +001b1630: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +001b1640: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +001b1650: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +001b1660: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +001b1670: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +001b1680: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +001b1690: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +001b16a0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +001b16b0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +001b16c0: 6964 6d32 3232 3234 223e 3c70 7265 3e3c  idm22224"><pre><
│ │ │ +001b16d0: 636f 6465 3e69 6e63 6c75 6465 2073 7368  code>include ssh
│ │ │ +001b16e0: 5f70 7269 7661 7465 5f6b 6579 5f70 6572  _private_key_per
│ │ │ +001b16f0: 6d73 0a0a 636c 6173 7320 7373 685f 7072  ms..class ssh_pr
│ │ │ +001b1700: 6976 6174 655f 6b65 795f 7065 726d 7320  ivate_key_perms 
│ │ │ +001b1710: 7b0a 2020 6578 6563 207b 2027 7373 6864  {.  exec { 'sshd
│ │ │ +001b1720: 5f70 7269 765f 6b65 7927 3a0a 2020 2020  _priv_key':.    
│ │ │ +001b1730: 636f 6d6d 616e 6420 3d26 6774 3b20 2263  command =&gt; "c
│ │ │ +001b1740: 686d 6f64 2030 3634 3020 2f65 7463 2f73  hmod 0640 /etc/s
│ │ │ +001b1750: 7368 2f2a 5f6b 6579 222c 0a20 2020 2070  sh/*_key",.    p
│ │ │ +001b1760: 6174 6820 2020 203d 2667 743b 2027 2f62  ath    =&gt; '/b
│ │ │ +001b1770: 696e 3a2f 7573 722f 6269 6e27 0a20 207d  in:/usr/bin'.  }
│ │ │ +001b1780: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │  001b1790: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │  001b17a0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │  001b17b0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │  001b17c0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │  001b17d0: 6765 743d 2223 6964 6d32 3232 3235 2220  get="#idm22225" 
│ │ │  001b17e0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  001b17f0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ @@ -111289,161 +111289,161 @@
│ │ │  001b2b80: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │  001b2b90: 3232 3937 2220 7461 6269 6e64 6578 3d22  2297" tabindex="
│ │ │  001b2ba0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │  001b2bb0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │  001b2bc0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │  001b2bd0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │  001b2be0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -001b2bf0: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ -001b2c00: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -001b2c10: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -001b2c20: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -001b2c30: 6c61 7073 6522 2069 643d 2269 646d 3232  lapse" id="idm22
│ │ │ -001b2c40: 3239 3722 3e3c 7072 653e 3c63 6f64 653e  297"><pre><code>
│ │ │ -001b2c50: 696e 636c 7564 6520 7373 685f 7075 626c  include ssh_publ
│ │ │ -001b2c60: 6963 5f6b 6579 5f70 6572 6d73 0a0a 636c  ic_key_perms..cl
│ │ │ -001b2c70: 6173 7320 7373 685f 7075 626c 6963 5f6b  ass ssh_public_k
│ │ │ -001b2c80: 6579 5f70 6572 6d73 207b 0a20 2065 7865  ey_perms {.  exe
│ │ │ -001b2c90: 6320 7b20 2773 7368 645f 7075 625f 6b65  c { 'sshd_pub_ke
│ │ │ -001b2ca0: 7927 3a0a 2020 2020 636f 6d6d 616e 6420  y':.    command 
│ │ │ -001b2cb0: 3d26 6774 3b20 2263 686d 6f64 2030 3634  =&gt; "chmod 064
│ │ │ -001b2cc0: 3420 2f65 7463 2f73 7368 2f2a 2e70 7562  4 /etc/ssh/*.pub
│ │ │ -001b2cd0: 222c 0a20 2020 2070 6174 6820 2020 203d  ",.    path    =
│ │ │ -001b2ce0: 2667 743b 2027 2f62 696e 3a2f 7573 722f  &gt; '/bin:/usr/
│ │ │ -001b2cf0: 6269 6e27 0a20 207d 0a7d 0a3c 2f63 6f64  bin'.  }.}.</cod
│ │ │ -001b2d00: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -001b2d10: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -001b2d20: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -001b2d30: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -001b2d40: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -001b2d50: 6d32 3232 3938 2220 7461 6269 6e64 6578  m22298" tabindex
│ │ │ -001b2d60: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -001b2d70: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -001b2d80: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -001b2d90: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -001b2da0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -001b2db0: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -001b2dc0: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -001b2dd0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -001b2de0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -001b2df0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -001b2e00: 6d32 3232 3938 223e 3c74 6162 6c65 2063  m22298"><table c
│ │ │ -001b2e10: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -001b2e20: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -001b2e30: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -001b2e40: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -001b2e50: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -001b2e60: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -001b2e70: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -001b2e80: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -001b2e90: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -001b2ea0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -001b2eb0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -001b2ec0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -001b2ed0: 6567 793a 3c2f 7468 3e3c 7464 3e63 6f6e  egy:</th><td>con
│ │ │ -001b2ee0: 6669 6775 7265 3c2f 7464 3e3c 2f74 723e  figure</td></tr>
│ │ │ -001b2ef0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -001b2f00: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ -001b2f10: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ -001b2f20: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ -001b2f30: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ -001b2f40: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ -001b2f50: 202d 204e 4953 542d 3830 302d 3137 312d   - NIST-800-171-
│ │ │ -001b2f60: 332e 312e 3133 0a20 202d 204e 4953 542d  3.1.13.  - NIST-
│ │ │ -001b2f70: 3830 302d 3137 312d 332e 3133 2e31 300a  800-171-3.13.10.
│ │ │ -001b2f80: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -001b2f90: 4143 2d31 3728 6129 0a20 202d 204e 4953  AC-17(a).  - NIS
│ │ │ -001b2fa0: 542d 3830 302d 3533 2d41 432d 3628 3129  T-800-53-AC-6(1)
│ │ │ -001b2fb0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -001b2fc0: 2d43 4d2d 3628 6129 0a20 202d 2050 4349  -CM-6(a).  - PCI
│ │ │ -001b2fd0: 2d44 5353 2d52 6571 2d32 2e32 2e34 0a20  -DSS-Req-2.2.4. 
│ │ │ -001b2fe0: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ -001b2ff0: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -001b3000: 2e32 2e36 0a20 202d 2063 6f6e 6669 6775  .2.6.  - configu
│ │ │ -001b3010: 7265 5f73 7472 6174 6567 790a 2020 2d20  re_strategy.  - 
│ │ │ -001b3020: 6669 6c65 5f70 6572 6d69 7373 696f 6e73  file_permissions
│ │ │ -001b3030: 5f73 7368 645f 7075 625f 6b65 790a 2020  _sshd_pub_key.  
│ │ │ -001b3040: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -001b3050: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -001b3060: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -001b3070: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -001b3080: 6562 6f6f 745f 6e65 6564 6564 0a0a 2d20  eboot_needed..- 
│ │ │ -001b3090: 6e61 6d65 3a20 4669 6e64 202f 6574 632f  name: Find /etc/
│ │ │ -001b30a0: 7373 682f 2066 696c 6528 7329 0a20 2063  ssh/ file(s).  c
│ │ │ -001b30b0: 6f6d 6d61 6e64 3a20 6669 6e64 202d 4820  ommand: find -H 
│ │ │ -001b30c0: 2f65 7463 2f73 7368 2f20 2d6d 6178 6465  /etc/ssh/ -maxde
│ │ │ -001b30d0: 7074 6820 3120 2d70 6572 6d20 2f75 2b78  pth 1 -perm /u+x
│ │ │ -001b30e0: 732c 672b 7877 732c 6f2b 7877 7420 202d  s,g+xws,o+xwt  -
│ │ │ -001b30f0: 7479 7065 2066 202d 7265 6765 7874 7970  type f -regextyp
│ │ │ -001b3100: 650a 2020 2020 706f 7369 782d 6578 7465  e.    posix-exte
│ │ │ -001b3110: 6e64 6564 202d 7265 6765 7820 225e 2e2a  nded -regex "^.*
│ │ │ -001b3120: 5c2e 7075 6224 220a 2020 7265 6769 7374  \.pub$".  regist
│ │ │ -001b3130: 6572 3a20 6669 6c65 735f 666f 756e 640a  er: files_found.
│ │ │ -001b3140: 2020 6368 616e 6765 645f 7768 656e 3a20    changed_when: 
│ │ │ -001b3150: 6661 6c73 650a 2020 6661 696c 6564 5f77  false.  failed_w
│ │ │ -001b3160: 6865 6e3a 2066 616c 7365 0a20 2063 6865  hen: false.  che
│ │ │ -001b3170: 636b 5f6d 6f64 653a 2066 616c 7365 0a20  ck_mode: false. 
│ │ │ -001b3180: 2077 6865 6e3a 2027 226c 696e 7578 2d62   when: '"linux-b
│ │ │ -001b3190: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ -001b31a0: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ -001b31b0: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ -001b31c0: 2d38 3030 2d31 3731 2d33 2e31 2e31 330a  -800-171-3.1.13.
│ │ │ -001b31d0: 2020 2d20 4e49 5354 2d38 3030 2d31 3731    - NIST-800-171
│ │ │ -001b31e0: 2d33 2e31 332e 3130 0a20 202d 204e 4953  -3.13.10.  - NIS
│ │ │ -001b31f0: 542d 3830 302d 3533 2d41 432d 3137 2861  T-800-53-AC-17(a
│ │ │ -001b3200: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -001b3210: 332d 4143 2d36 2831 290a 2020 2d20 4e49  3-AC-6(1).  - NI
│ │ │ -001b3220: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -001b3230: 290a 2020 2d20 5043 492d 4453 532d 5265  ).  - PCI-DSS-Re
│ │ │ -001b3240: 712d 322e 322e 340a 2020 2d20 5043 492d  q-2.2.4.  - PCI-
│ │ │ -001b3250: 4453 5376 342d 322e 320a 2020 2d20 5043  DSSv4-2.2.  - PC
│ │ │ -001b3260: 492d 4453 5376 342d 322e 322e 360a 2020  I-DSSv4-2.2.6.  
│ │ │ -001b3270: 2d20 636f 6e66 6967 7572 655f 7374 7261  - configure_stra
│ │ │ -001b3280: 7465 6779 0a20 202d 2066 696c 655f 7065  tegy.  - file_pe
│ │ │ -001b3290: 726d 6973 7369 6f6e 735f 7373 6864 5f70  rmissions_sshd_p
│ │ │ -001b32a0: 7562 5f6b 6579 0a20 202d 206c 6f77 5f63  ub_key.  - low_c
│ │ │ -001b32b0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -001b32c0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -001b32d0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -001b32e0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -001b32f0: 6565 6465 640a 0a2d 206e 616d 653a 2053  eeded..- name: S
│ │ │ -001b3300: 6574 2070 6572 6d69 7373 696f 6e73 2066  et permissions f
│ │ │ -001b3310: 6f72 202f 6574 632f 7373 682f 2066 696c  or /etc/ssh/ fil
│ │ │ -001b3320: 6528 7329 0a20 2066 696c 653a 0a20 2020  e(s).  file:.   
│ │ │ -001b3330: 2070 6174 683a 2027 7b7b 2069 7465 6d20   path: '{{ item 
│ │ │ -001b3340: 7d7d 270a 2020 2020 6d6f 6465 3a20 752d  }}'.    mode: u-
│ │ │ -001b3350: 7873 2c67 2d78 7773 2c6f 2d78 7774 0a20  xs,g-xws,o-xwt. 
│ │ │ -001b3360: 2020 2073 7461 7465 3a20 6669 6c65 0a20     state: file. 
│ │ │ -001b3370: 2077 6974 685f 6974 656d 733a 0a20 202d   with_items:.  -
│ │ │ -001b3380: 2027 7b7b 2066 696c 6573 5f66 6f75 6e64   '{{ files_found
│ │ │ -001b3390: 2e73 7464 6f75 745f 6c69 6e65 7320 7d7d  .stdout_lines }}
│ │ │ -001b33a0: 270a 2020 7768 656e 3a20 2722 6c69 6e75  '.  when: '"linu
│ │ │ -001b33b0: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ -001b33c0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ -001b33d0: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ -001b33e0: 4953 542d 3830 302d 3137 312d 332e 312e  IST-800-171-3.1.
│ │ │ -001b33f0: 3133 0a20 202d 204e 4953 542d 3830 302d  13.  - NIST-800-
│ │ │ -001b3400: 3137 312d 332e 3133 2e31 300a 2020 2d20  171-3.13.10.  - 
│ │ │ -001b3410: 4e49 5354 2d38 3030 2d35 332d 4143 2d31  NIST-800-53-AC-1
│ │ │ -001b3420: 3728 6129 0a20 202d 204e 4953 542d 3830  7(a).  - NIST-80
│ │ │ -001b3430: 302d 3533 2d41 432d 3628 3129 0a20 202d  0-53-AC-6(1).  -
│ │ │ -001b3440: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -001b3450: 3628 6129 0a20 202d 2050 4349 2d44 5353  6(a).  - PCI-DSS
│ │ │ -001b3460: 2d52 6571 2d32 2e32 2e34 0a20 202d 2050  -Req-2.2.4.  - P
│ │ │ -001b3470: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ -001b3480: 2050 4349 2d44 5353 7634 2d32 2e32 2e36   PCI-DSSv4-2.2.6
│ │ │ -001b3490: 0a20 202d 2063 6f6e 6669 6775 7265 5f73  .  - configure_s
│ │ │ -001b34a0: 7472 6174 6567 790a 2020 2d20 6669 6c65  trategy.  - file
│ │ │ -001b34b0: 5f70 6572 6d69 7373 696f 6e73 5f73 7368  _permissions_ssh
│ │ │ -001b34c0: 645f 7075 625f 6b65 790a 2020 2d20 6c6f  d_pub_key.  - lo
│ │ │ -001b34d0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -001b34e0: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -001b34f0: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -001b3500: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -001b3510: 745f 6e65 6564 6564 0a3c 2f63 6f64 653e  t_needed.</code>
│ │ │ +001b2bf0: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ +001b2c00: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +001b2c10: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +001b2c20: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +001b2c30: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ +001b2c40: 3232 3937 223e 3c74 6162 6c65 2063 6c61  2297"><table cla
│ │ │ +001b2c50: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +001b2c60: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +001b2c70: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +001b2c80: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +001b2c90: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +001b2ca0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +001b2cb0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +001b2cc0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +001b2cd0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001b2ce0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +001b2cf0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +001b2d00: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +001b2d10: 793a 3c2f 7468 3e3c 7464 3e63 6f6e 6669  y:</th><td>confi
│ │ │ +001b2d20: 6775 7265 3c2f 7464 3e3c 2f74 723e 3c2f  gure</td></tr></
│ │ │ +001b2d30: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +001b2d40: 3e2d 206e 616d 653a 2047 6174 6865 7220  >- name: Gather 
│ │ │ +001b2d50: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ +001b2d60: 730a 2020 7061 636b 6167 655f 6661 6374  s.  package_fact
│ │ │ +001b2d70: 733a 0a20 2020 206d 616e 6167 6572 3a20  s:.    manager: 
│ │ │ +001b2d80: 6175 746f 0a20 2074 6167 733a 0a20 202d  auto.  tags:.  -
│ │ │ +001b2d90: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ +001b2da0: 312e 3133 0a20 202d 204e 4953 542d 3830  1.13.  - NIST-80
│ │ │ +001b2db0: 302d 3137 312d 332e 3133 2e31 300a 2020  0-171-3.13.10.  
│ │ │ +001b2dc0: 2d20 4e49 5354 2d38 3030 2d35 332d 4143  - NIST-800-53-AC
│ │ │ +001b2dd0: 2d31 3728 6129 0a20 202d 204e 4953 542d  -17(a).  - NIST-
│ │ │ +001b2de0: 3830 302d 3533 2d41 432d 3628 3129 0a20  800-53-AC-6(1). 
│ │ │ +001b2df0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +001b2e00: 4d2d 3628 6129 0a20 202d 2050 4349 2d44  M-6(a).  - PCI-D
│ │ │ +001b2e10: 5353 2d52 6571 2d32 2e32 2e34 0a20 202d  SS-Req-2.2.4.  -
│ │ │ +001b2e20: 2050 4349 2d44 5353 7634 2d32 2e32 0a20   PCI-DSSv4-2.2. 
│ │ │ +001b2e30: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +001b2e40: 2e36 0a20 202d 2063 6f6e 6669 6775 7265  .6.  - configure
│ │ │ +001b2e50: 5f73 7472 6174 6567 790a 2020 2d20 6669  _strategy.  - fi
│ │ │ +001b2e60: 6c65 5f70 6572 6d69 7373 696f 6e73 5f73  le_permissions_s
│ │ │ +001b2e70: 7368 645f 7075 625f 6b65 790a 2020 2d20  shd_pub_key.  - 
│ │ │ +001b2e80: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +001b2e90: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +001b2ea0: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +001b2eb0: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +001b2ec0: 6f6f 745f 6e65 6564 6564 0a0a 2d20 6e61  oot_needed..- na
│ │ │ +001b2ed0: 6d65 3a20 4669 6e64 202f 6574 632f 7373  me: Find /etc/ss
│ │ │ +001b2ee0: 682f 2066 696c 6528 7329 0a20 2063 6f6d  h/ file(s).  com
│ │ │ +001b2ef0: 6d61 6e64 3a20 6669 6e64 202d 4820 2f65  mand: find -H /e
│ │ │ +001b2f00: 7463 2f73 7368 2f20 2d6d 6178 6465 7074  tc/ssh/ -maxdept
│ │ │ +001b2f10: 6820 3120 2d70 6572 6d20 2f75 2b78 732c  h 1 -perm /u+xs,
│ │ │ +001b2f20: 672b 7877 732c 6f2b 7877 7420 202d 7479  g+xws,o+xwt  -ty
│ │ │ +001b2f30: 7065 2066 202d 7265 6765 7874 7970 650a  pe f -regextype.
│ │ │ +001b2f40: 2020 2020 706f 7369 782d 6578 7465 6e64      posix-extend
│ │ │ +001b2f50: 6564 202d 7265 6765 7820 225e 2e2a 5c2e  ed -regex "^.*\.
│ │ │ +001b2f60: 7075 6224 220a 2020 7265 6769 7374 6572  pub$".  register
│ │ │ +001b2f70: 3a20 6669 6c65 735f 666f 756e 640a 2020  : files_found.  
│ │ │ +001b2f80: 6368 616e 6765 645f 7768 656e 3a20 6661  changed_when: fa
│ │ │ +001b2f90: 6c73 650a 2020 6661 696c 6564 5f77 6865  lse.  failed_whe
│ │ │ +001b2fa0: 6e3a 2066 616c 7365 0a20 2063 6865 636b  n: false.  check
│ │ │ +001b2fb0: 5f6d 6f64 653a 2066 616c 7365 0a20 2077  _mode: false.  w
│ │ │ +001b2fc0: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ +001b2fd0: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ +001b2fe0: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ +001b2ff0: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +001b3000: 3030 2d31 3731 2d33 2e31 2e31 330a 2020  00-171-3.1.13.  
│ │ │ +001b3010: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33  - NIST-800-171-3
│ │ │ +001b3020: 2e31 332e 3130 0a20 202d 204e 4953 542d  .13.10.  - NIST-
│ │ │ +001b3030: 3830 302d 3533 2d41 432d 3137 2861 290a  800-53-AC-17(a).
│ │ │ +001b3040: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +001b3050: 4143 2d36 2831 290a 2020 2d20 4e49 5354  AC-6(1).  - NIST
│ │ │ +001b3060: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +001b3070: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ +001b3080: 322e 322e 340a 2020 2d20 5043 492d 4453  2.2.4.  - PCI-DS
│ │ │ +001b3090: 5376 342d 322e 320a 2020 2d20 5043 492d  Sv4-2.2.  - PCI-
│ │ │ +001b30a0: 4453 5376 342d 322e 322e 360a 2020 2d20  DSSv4-2.2.6.  - 
│ │ │ +001b30b0: 636f 6e66 6967 7572 655f 7374 7261 7465  configure_strate
│ │ │ +001b30c0: 6779 0a20 202d 2066 696c 655f 7065 726d  gy.  - file_perm
│ │ │ +001b30d0: 6973 7369 6f6e 735f 7373 6864 5f70 7562  issions_sshd_pub
│ │ │ +001b30e0: 5f6b 6579 0a20 202d 206c 6f77 5f63 6f6d  _key.  - low_com
│ │ │ +001b30f0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +001b3100: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +001b3110: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +001b3120: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +001b3130: 6465 640a 0a2d 206e 616d 653a 2053 6574  ded..- name: Set
│ │ │ +001b3140: 2070 6572 6d69 7373 696f 6e73 2066 6f72   permissions for
│ │ │ +001b3150: 202f 6574 632f 7373 682f 2066 696c 6528   /etc/ssh/ file(
│ │ │ +001b3160: 7329 0a20 2066 696c 653a 0a20 2020 2070  s).  file:.    p
│ │ │ +001b3170: 6174 683a 2027 7b7b 2069 7465 6d20 7d7d  ath: '{{ item }}
│ │ │ +001b3180: 270a 2020 2020 6d6f 6465 3a20 752d 7873  '.    mode: u-xs
│ │ │ +001b3190: 2c67 2d78 7773 2c6f 2d78 7774 0a20 2020  ,g-xws,o-xwt.   
│ │ │ +001b31a0: 2073 7461 7465 3a20 6669 6c65 0a20 2077   state: file.  w
│ │ │ +001b31b0: 6974 685f 6974 656d 733a 0a20 202d 2027  ith_items:.  - '
│ │ │ +001b31c0: 7b7b 2066 696c 6573 5f66 6f75 6e64 2e73  {{ files_found.s
│ │ │ +001b31d0: 7464 6f75 745f 6c69 6e65 7320 7d7d 270a  tdout_lines }}'.
│ │ │ +001b31e0: 2020 7768 656e 3a20 2722 6c69 6e75 782d    when: '"linux-
│ │ │ +001b31f0: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ +001b3200: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ +001b3210: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +001b3220: 542d 3830 302d 3137 312d 332e 312e 3133  T-800-171-3.1.13
│ │ │ +001b3230: 0a20 202d 204e 4953 542d 3830 302d 3137  .  - NIST-800-17
│ │ │ +001b3240: 312d 332e 3133 2e31 300a 2020 2d20 4e49  1-3.13.10.  - NI
│ │ │ +001b3250: 5354 2d38 3030 2d35 332d 4143 2d31 3728  ST-800-53-AC-17(
│ │ │ +001b3260: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +001b3270: 3533 2d41 432d 3628 3129 0a20 202d 204e  53-AC-6(1).  - N
│ │ │ +001b3280: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +001b3290: 6129 0a20 202d 2050 4349 2d44 5353 2d52  a).  - PCI-DSS-R
│ │ │ +001b32a0: 6571 2d32 2e32 2e34 0a20 202d 2050 4349  eq-2.2.4.  - PCI
│ │ │ +001b32b0: 2d44 5353 7634 2d32 2e32 0a20 202d 2050  -DSSv4-2.2.  - P
│ │ │ +001b32c0: 4349 2d44 5353 7634 2d32 2e32 2e36 0a20  CI-DSSv4-2.2.6. 
│ │ │ +001b32d0: 202d 2063 6f6e 6669 6775 7265 5f73 7472   - configure_str
│ │ │ +001b32e0: 6174 6567 790a 2020 2d20 6669 6c65 5f70  ategy.  - file_p
│ │ │ +001b32f0: 6572 6d69 7373 696f 6e73 5f73 7368 645f  ermissions_sshd_
│ │ │ +001b3300: 7075 625f 6b65 790a 2020 2d20 6c6f 775f  pub_key.  - low_
│ │ │ +001b3310: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +001b3320: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +001b3330: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ +001b3340: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +001b3350: 6e65 6564 6564 0a3c 2f63 6f64 653e 3c2f  needed.</code></
│ │ │ +001b3360: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +001b3370: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +001b3380: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +001b3390: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +001b33a0: 2d74 6172 6765 743d 2223 6964 6d32 3232  -target="#idm222
│ │ │ +001b33b0: 3938 2220 7461 6269 6e64 6578 3d22 3022  98" tabindex="0"
│ │ │ +001b33c0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +001b33d0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +001b33e0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +001b33f0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +001b3400: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +001b3410: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ +001b3420: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +001b3430: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +001b3440: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +001b3450: 7073 6522 2069 643d 2269 646d 3232 3239  pse" id="idm2229
│ │ │ +001b3460: 3822 3e3c 7072 653e 3c63 6f64 653e 696e  8"><pre><code>in
│ │ │ +001b3470: 636c 7564 6520 7373 685f 7075 626c 6963  clude ssh_public
│ │ │ +001b3480: 5f6b 6579 5f70 6572 6d73 0a0a 636c 6173  _key_perms..clas
│ │ │ +001b3490: 7320 7373 685f 7075 626c 6963 5f6b 6579  s ssh_public_key
│ │ │ +001b34a0: 5f70 6572 6d73 207b 0a20 2065 7865 6320  _perms {.  exec 
│ │ │ +001b34b0: 7b20 2773 7368 645f 7075 625f 6b65 7927  { 'sshd_pub_key'
│ │ │ +001b34c0: 3a0a 2020 2020 636f 6d6d 616e 6420 3d26  :.    command =&
│ │ │ +001b34d0: 6774 3b20 2263 686d 6f64 2030 3634 3420  gt; "chmod 0644 
│ │ │ +001b34e0: 2f65 7463 2f73 7368 2f2a 2e70 7562 222c  /etc/ssh/*.pub",
│ │ │ +001b34f0: 0a20 2020 2070 6174 6820 2020 203d 2667  .    path    =&g
│ │ │ +001b3500: 743b 2027 2f62 696e 3a2f 7573 722f 6269  t; '/bin:/usr/bi
│ │ │ +001b3510: 6e27 0a20 207d 0a7d 0a3c 2f63 6f64 653e  n'.  }.}.</code>
│ │ │  001b3520: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │  001b3530: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │  001b3540: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │  001b3550: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │  001b3560: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │  001b3570: 3232 3939 2220 7461 6269 6e64 6578 3d22  2299" tabindex="
│ │ │  001b3580: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ @@ -113603,153 +113603,153 @@
│ │ │  001bbc20: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  001bbc30: 3234 3634 3722 2074 6162 696e 6465 783d  24647" tabindex=
│ │ │  001bbc40: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │  001bbc50: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │  001bbc60: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │  001bbc70: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │  001bbc80: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -001bbc90: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ -001bbca0: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ -001bbcb0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -001bbcc0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -001bbcd0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -001bbce0: 6522 2069 643d 2269 646d 3234 3634 3722  e" id="idm24647"
│ │ │ -001bbcf0: 3e3c 7072 653e 3c63 6f64 653e 0a5b 5b70  ><pre><code>.[[p
│ │ │ -001bbd00: 6163 6b61 6765 735d 5d0a 6e61 6d65 203d  ackages]].name =
│ │ │ -001bbd10: 2022 6175 6469 7464 220a 7665 7273 696f   "auditd".versio
│ │ │ -001bbd20: 6e20 3d20 222a 220a 3c2f 636f 6465 3e3c  n = "*".</code><
│ │ │ -001bbd30: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -001bbd40: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -001bbd50: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -001bbd60: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -001bbd70: 612d 7461 7267 6574 3d22 2369 646d 3234  a-target="#idm24
│ │ │ -001bbd80: 3634 3822 2074 6162 696e 6465 783d 2230  648" tabindex="0
│ │ │ -001bbd90: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -001bbda0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -001bbdb0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -001bbdc0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -001bbdd0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -001bbde0: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ -001bbdf0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -001bbe00: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -001bbe10: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -001bbe20: 6170 7365 2220 6964 3d22 6964 6d32 3436  apse" id="idm246
│ │ │ -001bbe30: 3438 223e 3c74 6162 6c65 2063 6c61 7373  48"><table class
│ │ │ -001bbe40: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -001bbe50: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -001bbe60: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -001bbe70: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -001bbe80: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -001bbe90: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -001bbea0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -001bbeb0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -001bbec0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001bbed0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -001bbee0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -001bbef0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -001bbf00: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ -001bbf10: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -001bbf20: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ -001bbf30: 7564 6520 696e 7374 616c 6c5f 6175 6469  ude install_audi
│ │ │ -001bbf40: 7464 0a0a 636c 6173 7320 696e 7374 616c  td..class instal
│ │ │ -001bbf50: 6c5f 6175 6469 7464 207b 0a20 2070 6163  l_auditd {.  pac
│ │ │ -001bbf60: 6b61 6765 207b 2027 6175 6469 7464 273a  kage { 'auditd':
│ │ │ -001bbf70: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ -001bbf80: 3b20 2769 6e73 7461 6c6c 6564 272c 0a20  ; 'installed',. 
│ │ │ -001bbf90: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -001bbfa0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -001bbfb0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -001bbfc0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -001bbfd0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -001bbfe0: 6172 6765 743d 2223 6964 6d32 3436 3439  arget="#idm24649
│ │ │ -001bbff0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -001bc000: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -001bc010: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -001bc020: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -001bc030: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -001bc040: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -001bc050: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -001bc060: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -001bc070: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -001bc080: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -001bc090: 7365 2220 6964 3d22 6964 6d32 3436 3439  se" id="idm24649
│ │ │ -001bc0a0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -001bc0b0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -001bc0c0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -001bc0d0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -001bc0e0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -001bc0f0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -001bc100: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -001bc110: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -001bc120: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -001bc130: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -001bc140: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -001bc150: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -001bc160: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -001bc170: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -001bc180: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -001bc190: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -001bc1a0: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ -001bc1b0: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ -001bc1c0: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ -001bc1d0: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ -001bc1e0: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -001bc1f0: 3030 2d35 332d 4143 2d37 2861 290a 2020  00-53-AC-7(a).  
│ │ │ -001bc200: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ -001bc210: 2d31 3228 3229 0a20 202d 204e 4953 542d  -12(2).  - NIST-
│ │ │ -001bc220: 3830 302d 3533 2d41 552d 3134 0a20 202d  800-53-AU-14.  -
│ │ │ -001bc230: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -001bc240: 3228 6129 0a20 202d 204e 4953 542d 3830  2(a).  - NIST-80
│ │ │ -001bc250: 302d 3533 2d41 552d 3728 3129 0a20 202d  0-53-AU-7(1).  -
│ │ │ -001bc260: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -001bc270: 3728 3229 0a20 202d 204e 4953 542d 3830  7(2).  - NIST-80
│ │ │ -001bc280: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ -001bc290: 2050 4349 2d44 5353 2d52 6571 2d31 302e   PCI-DSS-Req-10.
│ │ │ -001bc2a0: 310a 2020 2d20 5043 492d 4453 5376 342d  1.  - PCI-DSSv4-
│ │ │ -001bc2b0: 3130 2e32 0a20 202d 2050 4349 2d44 5353  10.2.  - PCI-DSS
│ │ │ -001bc2c0: 7634 2d31 302e 322e 310a 2020 2d20 656e  v4-10.2.1.  - en
│ │ │ -001bc2d0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -001bc2e0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -001bc2f0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -001bc300: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -001bc310: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -001bc320: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -001bc330: 2070 6163 6b61 6765 5f61 7564 6974 5f69   package_audit_i
│ │ │ -001bc340: 6e73 7461 6c6c 6564 0a0a 2d20 6e61 6d65  nstalled..- name
│ │ │ -001bc350: 3a20 456e 7375 7265 2061 7564 6974 6420  : Ensure auditd 
│ │ │ -001bc360: 6973 2069 6e73 7461 6c6c 6564 0a20 2070  is installed.  p
│ │ │ -001bc370: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -001bc380: 3a20 6175 6469 7464 0a20 2020 2073 7461  : auditd.    sta
│ │ │ -001bc390: 7465 3a20 7072 6573 656e 740a 2020 7768  te: present.  wh
│ │ │ -001bc3a0: 656e 3a20 2722 6c69 6e75 782d 6261 7365  en: '"linux-base
│ │ │ -001bc3b0: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ -001bc3c0: 7473 2e70 6163 6b61 6765 7327 0a20 2074  ts.packages'.  t
│ │ │ -001bc3d0: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ -001bc3e0: 302d 3533 2d41 432d 3728 6129 0a20 202d  0-53-AC-7(a).  -
│ │ │ -001bc3f0: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -001bc400: 3132 2832 290a 2020 2d20 4e49 5354 2d38  12(2).  - NIST-8
│ │ │ -001bc410: 3030 2d35 332d 4155 2d31 340a 2020 2d20  00-53-AU-14.  - 
│ │ │ -001bc420: 4e49 5354 2d38 3030 2d35 332d 4155 2d32  NIST-800-53-AU-2
│ │ │ -001bc430: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ -001bc440: 2d35 332d 4155 2d37 2831 290a 2020 2d20  -53-AU-7(1).  - 
│ │ │ -001bc450: 4e49 5354 2d38 3030 2d35 332d 4155 2d37  NIST-800-53-AU-7
│ │ │ -001bc460: 2832 290a 2020 2d20 4e49 5354 2d38 3030  (2).  - NIST-800
│ │ │ -001bc470: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ -001bc480: 5043 492d 4453 532d 5265 712d 3130 2e31  PCI-DSS-Req-10.1
│ │ │ -001bc490: 0a20 202d 2050 4349 2d44 5353 7634 2d31  .  - PCI-DSSv4-1
│ │ │ -001bc4a0: 302e 320a 2020 2d20 5043 492d 4453 5376  0.2.  - PCI-DSSv
│ │ │ -001bc4b0: 342d 3130 2e32 2e31 0a20 202d 2065 6e61  4-10.2.1.  - ena
│ │ │ -001bc4c0: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -001bc4d0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -001bc4e0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -001bc4f0: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ -001bc500: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ -001bc510: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -001bc520: 7061 636b 6167 655f 6175 6469 745f 696e  package_audit_in
│ │ │ -001bc530: 7374 616c 6c65 640a 3c2f 636f 6465 3e3c  stalled.</code><
│ │ │ +001bbc90: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ +001bbca0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +001bbcb0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +001bbcc0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +001bbcd0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +001bbce0: 3234 3634 3722 3e3c 7461 626c 6520 636c  24647"><table cl
│ │ │ +001bbcf0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +001bbd00: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +001bbd10: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +001bbd20: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +001bbd30: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +001bbd40: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +001bbd50: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +001bbd60: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +001bbd70: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +001bbd80: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +001bbd90: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +001bbda0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +001bbdb0: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ +001bbdc0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +001bbdd0: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ +001bbde0: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ +001bbdf0: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ +001bbe00: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ +001bbe10: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ +001bbe20: 746f 0a20 2074 6167 733a 0a20 202d 204e  to.  tags:.  - N
│ │ │ +001bbe30: 4953 542d 3830 302d 3533 2d41 432d 3728  IST-800-53-AC-7(
│ │ │ +001bbe40: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +001bbe50: 3533 2d41 552d 3132 2832 290a 2020 2d20  53-AU-12(2).  - 
│ │ │ +001bbe60: 4e49 5354 2d38 3030 2d35 332d 4155 2d31  NIST-800-53-AU-1
│ │ │ +001bbe70: 340a 2020 2d20 4e49 5354 2d38 3030 2d35  4.  - NIST-800-5
│ │ │ +001bbe80: 332d 4155 2d32 2861 290a 2020 2d20 4e49  3-AU-2(a).  - NI
│ │ │ +001bbe90: 5354 2d38 3030 2d35 332d 4155 2d37 2831  ST-800-53-AU-7(1
│ │ │ +001bbea0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +001bbeb0: 332d 4155 2d37 2832 290a 2020 2d20 4e49  3-AU-7(2).  - NI
│ │ │ +001bbec0: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +001bbed0: 290a 2020 2d20 5043 492d 4453 532d 5265  ).  - PCI-DSS-Re
│ │ │ +001bbee0: 712d 3130 2e31 0a20 202d 2050 4349 2d44  q-10.1.  - PCI-D
│ │ │ +001bbef0: 5353 7634 2d31 302e 320a 2020 2d20 5043  SSv4-10.2.  - PC
│ │ │ +001bbf00: 492d 4453 5376 342d 3130 2e32 2e31 0a20  I-DSSv4-10.2.1. 
│ │ │ +001bbf10: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ +001bbf20: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ +001bbf30: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +001bbf40: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ +001bbf50: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ +001bbf60: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +001bbf70: 640a 2020 2d20 7061 636b 6167 655f 6175  d.  - package_au
│ │ │ +001bbf80: 6469 745f 696e 7374 616c 6c65 640a 0a2d  dit_installed..-
│ │ │ +001bbf90: 206e 616d 653a 2045 6e73 7572 6520 6175   name: Ensure au
│ │ │ +001bbfa0: 6469 7464 2069 7320 696e 7374 616c 6c65  ditd is installe
│ │ │ +001bbfb0: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ +001bbfc0: 206e 616d 653a 2061 7564 6974 640a 2020   name: auditd.  
│ │ │ +001bbfd0: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ +001bbfe0: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ +001bbff0: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ +001bc000: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ +001bc010: 270a 2020 7461 6773 3a0a 2020 2d20 4e49  '.  tags:.  - NI
│ │ │ +001bc020: 5354 2d38 3030 2d35 332d 4143 2d37 2861  ST-800-53-AC-7(a
│ │ │ +001bc030: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +001bc040: 332d 4155 2d31 3228 3229 0a20 202d 204e  3-AU-12(2).  - N
│ │ │ +001bc050: 4953 542d 3830 302d 3533 2d41 552d 3134  IST-800-53-AU-14
│ │ │ +001bc060: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +001bc070: 2d41 552d 3228 6129 0a20 202d 204e 4953  -AU-2(a).  - NIS
│ │ │ +001bc080: 542d 3830 302d 3533 2d41 552d 3728 3129  T-800-53-AU-7(1)
│ │ │ +001bc090: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +001bc0a0: 2d41 552d 3728 3229 0a20 202d 204e 4953  -AU-7(2).  - NIS
│ │ │ +001bc0b0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +001bc0c0: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ +001bc0d0: 2d31 302e 310a 2020 2d20 5043 492d 4453  -10.1.  - PCI-DS
│ │ │ +001bc0e0: 5376 342d 3130 2e32 0a20 202d 2050 4349  Sv4-10.2.  - PCI
│ │ │ +001bc0f0: 2d44 5353 7634 2d31 302e 322e 310a 2020  -DSSv4-10.2.1.  
│ │ │ +001bc100: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +001bc110: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +001bc120: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +001bc130: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +001bc140: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +001bc150: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +001bc160: 0a20 202d 2070 6163 6b61 6765 5f61 7564  .  - package_aud
│ │ │ +001bc170: 6974 5f69 6e73 7461 6c6c 6564 0a3c 2f63  it_installed.</c
│ │ │ +001bc180: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +001bc190: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +001bc1a0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +001bc1b0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +001bc1c0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +001bc1d0: 6964 6d32 3436 3438 2220 7461 6269 6e64  idm24648" tabind
│ │ │ +001bc1e0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +001bc1f0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +001bc200: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +001bc210: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +001bc220: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +001bc230: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ +001bc240: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ +001bc250: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +001bc260: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +001bc270: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +001bc280: 646d 3234 3634 3822 3e3c 7461 626c 6520  dm24648"><table 
│ │ │ +001bc290: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +001bc2a0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +001bc2b0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +001bc2c0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +001bc2d0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +001bc2e0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +001bc2f0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +001bc300: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +001bc310: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +001bc320: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +001bc330: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +001bc340: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +001bc350: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ +001bc360: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +001bc370: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +001bc380: 3e69 6e63 6c75 6465 2069 6e73 7461 6c6c  >include install
│ │ │ +001bc390: 5f61 7564 6974 640a 0a63 6c61 7373 2069  _auditd..class i
│ │ │ +001bc3a0: 6e73 7461 6c6c 5f61 7564 6974 6420 7b0a  nstall_auditd {.
│ │ │ +001bc3b0: 2020 7061 636b 6167 6520 7b20 2761 7564    package { 'aud
│ │ │ +001bc3c0: 6974 6427 3a0a 2020 2020 656e 7375 7265  itd':.    ensure
│ │ │ +001bc3d0: 203d 2667 743b 2027 696e 7374 616c 6c65   =&gt; 'installe
│ │ │ +001bc3e0: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │ +001bc3f0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +001bc400: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +001bc410: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +001bc420: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +001bc430: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +001bc440: 3234 3634 3922 2074 6162 696e 6465 783d  24649" tabindex=
│ │ │ +001bc450: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +001bc460: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +001bc470: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +001bc480: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +001bc490: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +001bc4a0: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ +001bc4b0: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ +001bc4c0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +001bc4d0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +001bc4e0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +001bc4f0: 6522 2069 643d 2269 646d 3234 3634 3922  e" id="idm24649"
│ │ │ +001bc500: 3e3c 7072 653e 3c63 6f64 653e 0a5b 5b70  ><pre><code>.[[p
│ │ │ +001bc510: 6163 6b61 6765 735d 5d0a 6e61 6d65 203d  ackages]].name =
│ │ │ +001bc520: 2022 6175 6469 7464 220a 7665 7273 696f   "auditd".versio
│ │ │ +001bc530: 6e20 3d20 222a 220a 3c2f 636f 6465 3e3c  n = "*".</code><
│ │ │  001bc540: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │  001bc550: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │  001bc560: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │  001bc570: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │  001bc580: 612d 7461 7267 6574 3d22 2369 646d 3234  a-target="#idm24
│ │ │  001bc590: 3635 3022 2074 6162 696e 6465 783d 2230  650" tabindex="0
│ │ │  001bc5a0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ @@ -114210,191 +114210,191 @@
│ │ │  001be210: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  001be220: 2223 6964 6d32 3438 3438 2220 7461 6269  "#idm24848" tabi
│ │ │  001be230: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │  001be240: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │  001be250: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │  001be260: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │  001be270: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -001be280: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ -001be290: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ -001be2a0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -001be2b0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -001be2c0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -001be2d0: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -001be2e0: 3438 3438 223e 3c70 7265 3e3c 636f 6465  4848"><pre><code
│ │ │ -001be2f0: 3e0a 5b63 7573 746f 6d69 7a61 7469 6f6e  >.[customization
│ │ │ -001be300: 732e 7365 7276 6963 6573 5d0a 656e 6162  s.services].enab
│ │ │ -001be310: 6c65 6420 3d20 5b22 6175 6469 7464 225d  led = ["auditd"]
│ │ │ -001be320: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -001be330: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -001be340: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -001be350: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -001be360: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -001be370: 743d 2223 6964 6d32 3438 3439 2220 7461  t="#idm24849" ta
│ │ │ -001be380: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -001be390: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -001be3a0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -001be3b0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -001be3c0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -001be3d0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -001be3e0: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ -001be3f0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -001be400: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -001be410: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -001be420: 643d 2269 646d 3234 3834 3922 3e3c 7461  d="idm24849"><ta
│ │ │ -001be430: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -001be440: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -001be450: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -001be460: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -001be470: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -001be480: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -001be490: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001be4a0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -001be4b0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -001be4c0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -001be4d0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -001be4e0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001be4f0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -001be500: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ -001be510: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -001be520: 636f 6465 3e69 6e63 6c75 6465 2065 6e61  code>include ena
│ │ │ -001be530: 626c 655f 6175 6469 7464 0a0a 636c 6173  ble_auditd..clas
│ │ │ -001be540: 7320 656e 6162 6c65 5f61 7564 6974 6420  s enable_auditd 
│ │ │ -001be550: 7b0a 2020 7365 7276 6963 6520 7b27 6175  {.  service {'au
│ │ │ -001be560: 6469 7464 273a 0a20 2020 2065 6e61 626c  ditd':.    enabl
│ │ │ -001be570: 6520 3d26 6774 3b20 7472 7565 2c0a 2020  e =&gt; true,.  
│ │ │ -001be580: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -001be590: 7275 6e6e 696e 6727 2c0a 2020 7d0a 7d0a  running',.  }.}.
│ │ │ -001be5a0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -001be5b0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -001be5c0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -001be5d0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -001be5e0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -001be5f0: 3d22 2369 646d 3234 3835 3022 2074 6162  ="#idm24850" tab
│ │ │ -001be600: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -001be610: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -001be620: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -001be630: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -001be640: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -001be650: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ -001be660: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ -001be670: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -001be680: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -001be690: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -001be6a0: 643d 2269 646d 3234 3835 3022 3e3c 7461  d="idm24850"><ta
│ │ │ -001be6b0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -001be6c0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -001be6d0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -001be6e0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -001be6f0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -001be700: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -001be710: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001be720: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -001be730: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -001be740: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -001be750: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -001be760: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -001be770: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -001be780: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ -001be790: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -001be7a0: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ -001be7b0: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ -001be7c0: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ -001be7d0: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ -001be7e0: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ -001be7f0: 0a20 202d 2043 4a49 532d 352e 342e 312e  .  - CJIS-5.4.1.
│ │ │ -001be800: 310a 2020 2d20 4e49 5354 2d38 3030 2d31  1.  - NIST-800-1
│ │ │ -001be810: 3731 2d33 2e33 2e31 0a20 202d 204e 4953  71-3.3.1.  - NIS
│ │ │ -001be820: 542d 3830 302d 3137 312d 332e 332e 320a  T-800-171-3.3.2.
│ │ │ -001be830: 2020 2d20 4e49 5354 2d38 3030 2d31 3731    - NIST-800-171
│ │ │ -001be840: 2d33 2e33 2e36 0a20 202d 204e 4953 542d  -3.3.6.  - NIST-
│ │ │ -001be850: 3830 302d 3533 2d41 432d 3228 6729 0a20  800-53-AC-2(g). 
│ │ │ -001be860: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -001be870: 432d 3628 3929 0a20 202d 204e 4953 542d  C-6(9).  - NIST-
│ │ │ -001be880: 3830 302d 3533 2d41 552d 3130 0a20 202d  800-53-AU-10.  -
│ │ │ -001be890: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -001be8a0: 3132 2863 290a 2020 2d20 4e49 5354 2d38  12(c).  - NIST-8
│ │ │ -001be8b0: 3030 2d35 332d 4155 2d31 3428 3129 0a20  00-53-AU-14(1). 
│ │ │ -001be8c0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -001be8d0: 552d 3228 6429 0a20 202d 204e 4953 542d  U-2(d).  - NIST-
│ │ │ -001be8e0: 3830 302d 3533 2d41 552d 330a 2020 2d20  800-53-AU-3.  - 
│ │ │ -001be8f0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -001be900: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ -001be910: 2d35 332d 5349 2d34 2832 3329 0a20 202d  -53-SI-4(23).  -
│ │ │ -001be920: 2050 4349 2d44 5353 2d52 6571 2d31 302e   PCI-DSS-Req-10.
│ │ │ -001be930: 310a 2020 2d20 5043 492d 4453 5376 342d  1.  - PCI-DSSv4-
│ │ │ -001be940: 3130 2e32 0a20 202d 2050 4349 2d44 5353  10.2.  - PCI-DSS
│ │ │ -001be950: 7634 2d31 302e 322e 310a 2020 2d20 656e  v4-10.2.1.  - en
│ │ │ -001be960: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -001be970: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -001be980: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -001be990: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -001be9a0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -001be9b0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -001be9c0: 2073 6572 7669 6365 5f61 7564 6974 645f   service_auditd_
│ │ │ -001be9d0: 656e 6162 6c65 640a 0a2d 206e 616d 653a  enabled..- name:
│ │ │ -001be9e0: 2045 6e61 626c 6520 6175 6469 7464 2053   Enable auditd S
│ │ │ -001be9f0: 6572 7669 6365 202d 2045 6e61 626c 6520  ervice - Enable 
│ │ │ -001bea00: 7365 7276 6963 6520 6175 6469 7464 0a20  service auditd. 
│ │ │ -001bea10: 2062 6c6f 636b 3a0a 0a20 202d 206e 616d   block:..  - nam
│ │ │ -001bea20: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ -001bea30: 636b 6167 6520 6661 6374 730a 2020 2020  ckage facts.    
│ │ │ -001bea40: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ -001bea50: 2020 2020 206d 616e 6167 6572 3a20 6175       manager: au
│ │ │ -001bea60: 746f 0a0a 2020 2d20 6e61 6d65 3a20 456e  to..  - name: En
│ │ │ -001bea70: 6162 6c65 2061 7564 6974 6420 5365 7276  able auditd Serv
│ │ │ -001bea80: 6963 6520 2d20 456e 6162 6c65 2053 6572  ice - Enable Ser
│ │ │ -001bea90: 7669 6365 2061 7564 6974 640a 2020 2020  vice auditd.    
│ │ │ -001beaa0: 616e 7369 626c 652e 6275 696c 7469 6e2e  ansible.builtin.
│ │ │ -001beab0: 7379 7374 656d 643a 0a20 2020 2020 206e  systemd:.      n
│ │ │ -001beac0: 616d 653a 2061 7564 6974 640a 2020 2020  ame: auditd.    
│ │ │ -001bead0: 2020 656e 6162 6c65 643a 2074 7275 650a    enabled: true.
│ │ │ -001beae0: 2020 2020 2020 7374 6174 653a 2073 7461        state: sta
│ │ │ -001beaf0: 7274 6564 0a20 2020 2020 206d 6173 6b65  rted.      maske
│ │ │ -001beb00: 643a 2066 616c 7365 0a20 2020 2077 6865  d: false.    whe
│ │ │ -001beb10: 6e3a 0a20 2020 202d 2027 2261 7564 6974  n:.    - '"audit
│ │ │ -001beb20: 6422 2069 6e20 616e 7369 626c 655f 6661  d" in ansible_fa
│ │ │ -001beb30: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -001beb40: 7768 656e 3a0a 2020 2d20 2722 6c69 6e75  when:.  - '"linu
│ │ │ -001beb50: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ -001beb60: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ -001beb70: 7327 0a20 202d 2027 2261 7564 6974 6422  s'.  - '"auditd"
│ │ │ -001beb80: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ -001beb90: 732e 7061 636b 6167 6573 270a 2020 7461  s.packages'.  ta
│ │ │ -001beba0: 6773 3a0a 2020 2d20 434a 4953 2d35 2e34  gs:.  - CJIS-5.4
│ │ │ -001bebb0: 2e31 2e31 0a20 202d 204e 4953 542d 3830  .1.1.  - NIST-80
│ │ │ -001bebc0: 302d 3137 312d 332e 332e 310a 2020 2d20  0-171-3.3.1.  - 
│ │ │ -001bebd0: 4e49 5354 2d38 3030 2d31 3731 2d33 2e33  NIST-800-171-3.3
│ │ │ -001bebe0: 2e32 0a20 202d 204e 4953 542d 3830 302d  .2.  - NIST-800-
│ │ │ -001bebf0: 3137 312d 332e 332e 360a 2020 2d20 4e49  171-3.3.6.  - NI
│ │ │ -001bec00: 5354 2d38 3030 2d35 332d 4143 2d32 2867  ST-800-53-AC-2(g
│ │ │ -001bec10: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -001bec20: 332d 4143 2d36 2839 290a 2020 2d20 4e49  3-AC-6(9).  - NI
│ │ │ -001bec30: 5354 2d38 3030 2d35 332d 4155 2d31 300a  ST-800-53-AU-10.
│ │ │ -001bec40: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -001bec50: 4155 2d31 3228 6329 0a20 202d 204e 4953  AU-12(c).  - NIS
│ │ │ -001bec60: 542d 3830 302d 3533 2d41 552d 3134 2831  T-800-53-AU-14(1
│ │ │ -001bec70: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -001bec80: 332d 4155 2d32 2864 290a 2020 2d20 4e49  3-AU-2(d).  - NI
│ │ │ -001bec90: 5354 2d38 3030 2d35 332d 4155 2d33 0a20  ST-800-53-AU-3. 
│ │ │ -001beca0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -001becb0: 4d2d 3628 6129 0a20 202d 204e 4953 542d  M-6(a).  - NIST-
│ │ │ -001becc0: 3830 302d 3533 2d53 492d 3428 3233 290a  800-53-SI-4(23).
│ │ │ -001becd0: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ -001bece0: 3130 2e31 0a20 202d 2050 4349 2d44 5353  10.1.  - PCI-DSS
│ │ │ -001becf0: 7634 2d31 302e 320a 2020 2d20 5043 492d  v4-10.2.  - PCI-
│ │ │ -001bed00: 4453 5376 342d 3130 2e32 2e31 0a20 202d  DSSv4-10.2.1.  -
│ │ │ -001bed10: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -001bed20: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -001bed30: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -001bed40: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ -001bed50: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ -001bed60: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -001bed70: 2020 2d20 7365 7276 6963 655f 6175 6469    - service_audi
│ │ │ -001bed80: 7464 5f65 6e61 626c 6564 0a3c 2f63 6f64  td_enabled.</cod
│ │ │ +001be280: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ +001be290: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ +001be2a0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +001be2b0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +001be2c0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +001be2d0: 3d22 6964 6d32 3438 3438 223e 3c74 6162  ="idm24848"><tab
│ │ │ +001be2e0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +001be2f0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +001be300: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +001be310: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +001be320: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +001be330: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +001be340: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +001be350: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +001be360: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +001be370: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +001be380: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +001be390: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +001be3a0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +001be3b0: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +001be3c0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +001be3d0: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ +001be3e0: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ +001be3f0: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ +001be400: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ +001be410: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ +001be420: 2020 2d20 434a 4953 2d35 2e34 2e31 2e31    - CJIS-5.4.1.1
│ │ │ +001be430: 0a20 202d 204e 4953 542d 3830 302d 3137  .  - NIST-800-17
│ │ │ +001be440: 312d 332e 332e 310a 2020 2d20 4e49 5354  1-3.3.1.  - NIST
│ │ │ +001be450: 2d38 3030 2d31 3731 2d33 2e33 2e32 0a20  -800-171-3.3.2. 
│ │ │ +001be460: 202d 204e 4953 542d 3830 302d 3137 312d   - NIST-800-171-
│ │ │ +001be470: 332e 332e 360a 2020 2d20 4e49 5354 2d38  3.3.6.  - NIST-8
│ │ │ +001be480: 3030 2d35 332d 4143 2d32 2867 290a 2020  00-53-AC-2(g).  
│ │ │ +001be490: 2d20 4e49 5354 2d38 3030 2d35 332d 4143  - NIST-800-53-AC
│ │ │ +001be4a0: 2d36 2839 290a 2020 2d20 4e49 5354 2d38  -6(9).  - NIST-8
│ │ │ +001be4b0: 3030 2d35 332d 4155 2d31 300a 2020 2d20  00-53-AU-10.  - 
│ │ │ +001be4c0: 4e49 5354 2d38 3030 2d35 332d 4155 2d31  NIST-800-53-AU-1
│ │ │ +001be4d0: 3228 6329 0a20 202d 204e 4953 542d 3830  2(c).  - NIST-80
│ │ │ +001be4e0: 302d 3533 2d41 552d 3134 2831 290a 2020  0-53-AU-14(1).  
│ │ │ +001be4f0: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +001be500: 2d32 2864 290a 2020 2d20 4e49 5354 2d38  -2(d).  - NIST-8
│ │ │ +001be510: 3030 2d35 332d 4155 2d33 0a20 202d 204e  00-53-AU-3.  - N
│ │ │ +001be520: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +001be530: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +001be540: 3533 2d53 492d 3428 3233 290a 2020 2d20  53-SI-4(23).  - 
│ │ │ +001be550: 5043 492d 4453 532d 5265 712d 3130 2e31  PCI-DSS-Req-10.1
│ │ │ +001be560: 0a20 202d 2050 4349 2d44 5353 7634 2d31  .  - PCI-DSSv4-1
│ │ │ +001be570: 302e 320a 2020 2d20 5043 492d 4453 5376  0.2.  - PCI-DSSv
│ │ │ +001be580: 342d 3130 2e32 2e31 0a20 202d 2065 6e61  4-10.2.1.  - ena
│ │ │ +001be590: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +001be5a0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +001be5b0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +001be5c0: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ +001be5d0: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +001be5e0: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +001be5f0: 7365 7276 6963 655f 6175 6469 7464 5f65  service_auditd_e
│ │ │ +001be600: 6e61 626c 6564 0a0a 2d20 6e61 6d65 3a20  nabled..- name: 
│ │ │ +001be610: 456e 6162 6c65 2061 7564 6974 6420 5365  Enable auditd Se
│ │ │ +001be620: 7276 6963 6520 2d20 456e 6162 6c65 2073  rvice - Enable s
│ │ │ +001be630: 6572 7669 6365 2061 7564 6974 640a 2020  ervice auditd.  
│ │ │ +001be640: 626c 6f63 6b3a 0a0a 2020 2d20 6e61 6d65  block:..  - name
│ │ │ +001be650: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ +001be660: 6b61 6765 2066 6163 7473 0a20 2020 2070  kage facts.    p
│ │ │ +001be670: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ +001be680: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ +001be690: 6f0a 0a20 202d 206e 616d 653a 2045 6e61  o..  - name: Ena
│ │ │ +001be6a0: 626c 6520 6175 6469 7464 2053 6572 7669  ble auditd Servi
│ │ │ +001be6b0: 6365 202d 2045 6e61 626c 6520 5365 7276  ce - Enable Serv
│ │ │ +001be6c0: 6963 6520 6175 6469 7464 0a20 2020 2061  ice auditd.    a
│ │ │ +001be6d0: 6e73 6962 6c65 2e62 7569 6c74 696e 2e73  nsible.builtin.s
│ │ │ +001be6e0: 7973 7465 6d64 3a0a 2020 2020 2020 6e61  ystemd:.      na
│ │ │ +001be6f0: 6d65 3a20 6175 6469 7464 0a20 2020 2020  me: auditd.     
│ │ │ +001be700: 2065 6e61 626c 6564 3a20 7472 7565 0a20   enabled: true. 
│ │ │ +001be710: 2020 2020 2073 7461 7465 3a20 7374 6172       state: star
│ │ │ +001be720: 7465 640a 2020 2020 2020 6d61 736b 6564  ted.      masked
│ │ │ +001be730: 3a20 6661 6c73 650a 2020 2020 7768 656e  : false.    when
│ │ │ +001be740: 3a0a 2020 2020 2d20 2722 6175 6469 7464  :.    - '"auditd
│ │ │ +001be750: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ +001be760: 7473 2e70 6163 6b61 6765 7327 0a20 2077  ts.packages'.  w
│ │ │ +001be770: 6865 6e3a 0a20 202d 2027 226c 696e 7578  hen:.  - '"linux
│ │ │ +001be780: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ +001be790: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ +001be7a0: 270a 2020 2d20 2722 6175 6469 7464 2220  '.  - '"auditd" 
│ │ │ +001be7b0: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ +001be7c0: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ +001be7d0: 733a 0a20 202d 2043 4a49 532d 352e 342e  s:.  - CJIS-5.4.
│ │ │ +001be7e0: 312e 310a 2020 2d20 4e49 5354 2d38 3030  1.1.  - NIST-800
│ │ │ +001be7f0: 2d31 3731 2d33 2e33 2e31 0a20 202d 204e  -171-3.3.1.  - N
│ │ │ +001be800: 4953 542d 3830 302d 3137 312d 332e 332e  IST-800-171-3.3.
│ │ │ +001be810: 320a 2020 2d20 4e49 5354 2d38 3030 2d31  2.  - NIST-800-1
│ │ │ +001be820: 3731 2d33 2e33 2e36 0a20 202d 204e 4953  71-3.3.6.  - NIS
│ │ │ +001be830: 542d 3830 302d 3533 2d41 432d 3228 6729  T-800-53-AC-2(g)
│ │ │ +001be840: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +001be850: 2d41 432d 3628 3929 0a20 202d 204e 4953  -AC-6(9).  - NIS
│ │ │ +001be860: 542d 3830 302d 3533 2d41 552d 3130 0a20  T-800-53-AU-10. 
│ │ │ +001be870: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +001be880: 552d 3132 2863 290a 2020 2d20 4e49 5354  U-12(c).  - NIST
│ │ │ +001be890: 2d38 3030 2d35 332d 4155 2d31 3428 3129  -800-53-AU-14(1)
│ │ │ +001be8a0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +001be8b0: 2d41 552d 3228 6429 0a20 202d 204e 4953  -AU-2(d).  - NIS
│ │ │ +001be8c0: 542d 3830 302d 3533 2d41 552d 330a 2020  T-800-53-AU-3.  
│ │ │ +001be8d0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +001be8e0: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ +001be8f0: 3030 2d35 332d 5349 2d34 2832 3329 0a20  00-53-SI-4(23). 
│ │ │ +001be900: 202d 2050 4349 2d44 5353 2d52 6571 2d31   - PCI-DSS-Req-1
│ │ │ +001be910: 302e 310a 2020 2d20 5043 492d 4453 5376  0.1.  - PCI-DSSv
│ │ │ +001be920: 342d 3130 2e32 0a20 202d 2050 4349 2d44  4-10.2.  - PCI-D
│ │ │ +001be930: 5353 7634 2d31 302e 322e 310a 2020 2d20  SSv4-10.2.1.  - 
│ │ │ +001be940: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +001be950: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +001be960: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +001be970: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +001be980: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +001be990: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +001be9a0: 202d 2073 6572 7669 6365 5f61 7564 6974   - service_audit
│ │ │ +001be9b0: 645f 656e 6162 6c65 640a 3c2f 636f 6465  d_enabled.</code
│ │ │ +001be9c0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +001be9d0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +001be9e0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +001be9f0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +001bea00: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +001bea10: 3234 3834 3922 2074 6162 696e 6465 783d  24849" tabindex=
│ │ │ +001bea20: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +001bea30: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +001bea40: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +001bea50: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +001bea60: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +001bea70: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ +001bea80: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +001bea90: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +001beaa0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +001beab0: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ +001beac0: 3438 3439 223e 3c74 6162 6c65 2063 6c61  4849"><table cla
│ │ │ +001bead0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +001beae0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +001beaf0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +001beb00: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +001beb10: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +001beb20: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +001beb30: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +001beb40: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +001beb50: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +001beb60: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +001beb70: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +001beb80: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +001beb90: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ +001beba0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +001bebb0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +001bebc0: 636c 7564 6520 656e 6162 6c65 5f61 7564  clude enable_aud
│ │ │ +001bebd0: 6974 640a 0a63 6c61 7373 2065 6e61 626c  itd..class enabl
│ │ │ +001bebe0: 655f 6175 6469 7464 207b 0a20 2073 6572  e_auditd {.  ser
│ │ │ +001bebf0: 7669 6365 207b 2761 7564 6974 6427 3a0a  vice {'auditd':.
│ │ │ +001bec00: 2020 2020 656e 6162 6c65 203d 2667 743b      enable =&gt;
│ │ │ +001bec10: 2074 7275 652c 0a20 2020 2065 6e73 7572   true,.    ensur
│ │ │ +001bec20: 6520 3d26 6774 3b20 2772 756e 6e69 6e67  e =&gt; 'running
│ │ │ +001bec30: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ +001bec40: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +001bec50: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +001bec60: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +001bec70: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +001bec80: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ +001bec90: 3438 3530 2220 7461 6269 6e64 6578 3d22  4850" tabindex="
│ │ │ +001beca0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +001becb0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +001becc0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +001becd0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +001bece0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +001becf0: 6469 6174 696f 6e20 4f53 4275 696c 6420  diation OSBuild 
│ │ │ +001bed00: 426c 7565 7072 696e 7420 736e 6970 7065  Blueprint snippe
│ │ │ +001bed10: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +001bed20: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +001bed30: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +001bed40: 2220 6964 3d22 6964 6d32 3438 3530 223e  " id="idm24850">
│ │ │ +001bed50: 3c70 7265 3e3c 636f 6465 3e0a 5b63 7573  <pre><code>.[cus
│ │ │ +001bed60: 746f 6d69 7a61 7469 6f6e 732e 7365 7276  tomizations.serv
│ │ │ +001bed70: 6963 6573 5d0a 656e 6162 6c65 6420 3d20  ices].enabled = 
│ │ │ +001bed80: 5b22 6175 6469 7464 225d 0a3c 2f63 6f64  ["auditd"].</cod
│ │ │  001bed90: 653e 3c2f 7072 653e 3c2f 6469 763e 3c2f  e></pre></div></
│ │ │  001beda0: 6469 763e 3c2f 7464 3e3c 2f74 723e 3c2f  div></td></tr></
│ │ │  001bedb0: 7462 6f64 793e 3c2f 7461 626c 653e 3c2f  tbody></table></
│ │ │  001bedc0: 7464 3e3c 2f74 723e 3c2f 7462 6f64 793e  td></tr></tbody>
│ │ │  001bedd0: 3c2f 7461 626c 653e 3c2f 6469 763e 3c64  </table></div><d
│ │ │  001bede0: 6976 2069 643d 2272 6561 722d 6d61 7474  iv id="rear-matt
│ │ │  001bedf0: 6572 223e 3c64 6976 2063 6c61 7373 3d22  er"><div class="
│ │ │ ├── html2text {}
│ │ │ │ @@ -111,31 +111,14 @@
│ │ │ │                             A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4, A.14.2.7, A.15.2.1, A.8.2.3
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-7, PR.DS-1, PR.DS-6, PR.DS-8, PR.IP-1, PR.IP-3
│ │ │ │              _p_c_i_d_s_s         Req-11.5
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000445-GPOS-00199
│ │ │ │              _a_n_s_s_i          R76, R79
│ │ │ │              _p_c_i_d_s_s_4        11.5.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "aide"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_aide
│ │ │ │ -
│ │ │ │ -class install_aide {
│ │ │ │ -  package { 'aide':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -164,14 +147,31 @@
│ │ │ │    - PCI-DSSv4-11.5.2
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_aide_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_aide
│ │ │ │ +
│ │ │ │ +class install_aide {
│ │ │ │ +  package { 'aide':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "aide"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -558,31 +558,14 @@
│ │ │ │              _d_i_s_a    CCI-002235
│ │ │ │              _i_s_m     1382, 1384, 1386
│ │ │ │              _n_i_s_t    CM-6(a)
│ │ │ │  References: _o_s_p_p    FMT_MOF_EXT.1
│ │ │ │              _o_s_-_s_r_g  SRG-OS-000324-GPOS-00125
│ │ │ │              _a_n_s_s_i   R33
│ │ │ │              _p_c_i_d_s_s_4 2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "sudo"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_sudo
│ │ │ │ -
│ │ │ │ -class install_sudo {
│ │ │ │ -  package { 'sudo':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -609,14 +592,31 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_sudo_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_sudo
│ │ │ │ +
│ │ │ │ +class install_sudo {
│ │ │ │ +  package { 'sudo':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "sudo"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -3107,31 +3107,14 @@
│ │ │ │  Rationale:  password in resisting attempts at guessing and brute-force attacks. "pwquality" enforces
│ │ │ │              complex password construction configuration and has the ability to limit brute-force
│ │ │ │              attacks on the system.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_pam_pwquality_installed
│ │ │ │  References: _d_i_s_a   CCI-000366
│ │ │ │              _o_s_-_s_r_g SRG-OS-000480-GPOS-00225
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "libpam-pwquality"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_libpam-pwquality
│ │ │ │ -
│ │ │ │ -class install_libpam-pwquality {
│ │ │ │ -  package { 'libpam-pwquality':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -3152,14 +3135,31 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_pam_pwquality_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_libpam-pwquality
│ │ │ │ +
│ │ │ │ +class install_libpam-pwquality {
│ │ │ │ +  package { 'libpam-pwquality':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "libpam-pwquality"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}\n' 'libpam-runtime' 2>/dev/null | grep -
│ │ │ │ @@ -22481,26 +22481,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 1.5, SR 1.6, SR 1.7, SR 1.8, SR 1.9, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR
│ │ │ │                             2.5, SR 2.6, SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_dhcp
│ │ │ │ -
│ │ │ │ -class remove_dhcp {
│ │ │ │ -  package { 'dhcp':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure dhcp is removed
│ │ │ │    package:
│ │ │ │ @@ -22514,14 +22502,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_dhcp_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_dhcp
│ │ │ │ +
│ │ │ │ +class remove_dhcp {
│ │ │ │ +  package { 'dhcp':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove dhcp
│ │ │ │ @@ -22534,26 +22534,14 @@
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll kkeeaa PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  If the system does not need to act as a DHCP server, the kea package can be uninstalled.
│ │ │ │  Rationale:  Removing the DHCP server ensures that it cannot be easily or accidentally reactivated and
│ │ │ │              disrupt network operation.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_kea_removed
│ │ │ │  References: _a_n_s_s_i R62
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_kea
│ │ │ │ -
│ │ │ │ -class remove_kea {
│ │ │ │ -  package { 'kea':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure kea is removed
│ │ │ │    package:
│ │ │ │ @@ -22562,14 +22550,26 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_kea_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_kea
│ │ │ │ +
│ │ │ │ +class remove_kea {
│ │ │ │ +  package { 'kea':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove kea
│ │ │ │ @@ -22757,26 +22757,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 1.5, SR 1.6, SR 1.7, SR 1.8, SR 1.9, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR
│ │ │ │                             2.5, SR 2.6, SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227, SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_sendmail
│ │ │ │ -
│ │ │ │ -class remove_sendmail {
│ │ │ │ -  package { 'sendmail':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -22803,14 +22791,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_sendmail_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_sendmail
│ │ │ │ +
│ │ │ │ +class remove_sendmail {
│ │ │ │ +  package { 'sendmail':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -23108,26 +23108,14 @@
│ │ │ │                             5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1, A.13.2.1, A.14.1.3,
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_xinetd
│ │ │ │ -
│ │ │ │ -class remove_xinetd {
│ │ │ │ -  package { 'xinetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -23158,14 +23146,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_xinetd_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_xinetd
│ │ │ │ +
│ │ │ │ +class remove_xinetd {
│ │ │ │ +  package { 'xinetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -23197,26 +23197,14 @@
│ │ │ │              recommended that the service be removed.
│ │ │ │  Severity:   unknown
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_ypbind_removed
│ │ │ │              _h_i_p_a_a   164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:         164.312(e)(2)(ii)
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ypbind-mt
│ │ │ │ -
│ │ │ │ -class remove_ypbind-mt {
│ │ │ │ -  package { 'ypbind-mt':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ypbind-mt is removed
│ │ │ │    package:
│ │ │ │ @@ -23227,14 +23215,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ypbind_removed
│ │ │ │    - unknown_severity
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ypbind-mt
│ │ │ │ +
│ │ │ │ +class remove_ypbind-mt {
│ │ │ │ +  package { 'ypbind-mt':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove ypbind-mt
│ │ │ │ @@ -23271,26 +23271,14 @@
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a), IA-5(1)(c)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _p_c_i_d_s_s         Req-2.2.2
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ypserv
│ │ │ │ -
│ │ │ │ -class remove_ypserv {
│ │ │ │ -  package { 'ypserv':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ypserv is removed
│ │ │ │    package:
│ │ │ │ @@ -23306,14 +23294,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ypserv_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ypserv
│ │ │ │ +
│ │ │ │ +class remove_ypserv {
│ │ │ │ +  package { 'ypserv':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove ypserv
│ │ │ │ @@ -23354,26 +23354,14 @@
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1, A.13.2.1, A.14.1.3,
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a), IA-5(1)(c)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_rsh-server
│ │ │ │ -
│ │ │ │ -class remove_rsh-server {
│ │ │ │ -  package { 'rsh-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure rsh-server is removed
│ │ │ │    package:
│ │ │ │ @@ -23388,14 +23376,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsh-server_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_rsh-server
│ │ │ │ +
│ │ │ │ +class remove_rsh-server {
│ │ │ │ +  package { 'rsh-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove rsh-server
│ │ │ │ @@ -23416,26 +23416,14 @@
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_rsh_removed
│ │ │ │              _c_u_i           3.1.13
│ │ │ │              _h_i_p_a_a         164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:               164.312(e)(2)(ii)
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3 A.8.2.3, A.13.1.1, A.13.2.1, A.13.2.3, A.14.1.2, A.14.1.3
│ │ │ │              _a_n_s_s_i         R62
│ │ │ │              _p_c_i_d_s_s_4       2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_rsh
│ │ │ │ -
│ │ │ │ -class remove_rsh {
│ │ │ │ -  package { 'rsh':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure rsh is removed
│ │ │ │    package:
│ │ │ │ @@ -23447,14 +23435,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsh_removed
│ │ │ │    - unknown_severity
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_rsh
│ │ │ │ +
│ │ │ │ +class remove_rsh {
│ │ │ │ +  package { 'rsh':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove rsh
│ │ │ │ @@ -23475,26 +23475,14 @@
│ │ │ │              intentional) activation of talk services.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_talk-server_removed
│ │ │ │              _h_i_p_a_a   164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:         164.312(e)(2)(ii)
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_talk-server
│ │ │ │ -
│ │ │ │ -class remove_talk-server {
│ │ │ │ -  package { 'talk-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure talk-server is removed
│ │ │ │    package:
│ │ │ │ @@ -23505,14 +23493,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_talk-server_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_talk-server
│ │ │ │ +
│ │ │ │ +class remove_talk-server {
│ │ │ │ +  package { 'talk-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove talk-server
│ │ │ │ @@ -23533,26 +23533,14 @@
│ │ │ │              intentional) activation of talk client program.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_talk_removed
│ │ │ │              _h_i_p_a_a   164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:         164.312(e)(2)(ii)
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_talk
│ │ │ │ -
│ │ │ │ -class remove_talk {
│ │ │ │ -  package { 'talk':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure talk is removed
│ │ │ │    package:
│ │ │ │ @@ -23563,14 +23551,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_talk_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_talk
│ │ │ │ +
│ │ │ │ +class remove_talk {
│ │ │ │ +  package { 'talk':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove talk
│ │ │ │ @@ -23617,26 +23617,14 @@
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _p_c_i_d_s_s         Req-2.2.2
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnet-server
│ │ │ │ -
│ │ │ │ -class remove_telnet-server {
│ │ │ │ -  package { 'telnet-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnet-server is removed
│ │ │ │    package:
│ │ │ │ @@ -23651,14 +23639,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnet-server_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnet-server
│ │ │ │ +
│ │ │ │ +class remove_telnet-server {
│ │ │ │ +  package { 'telnet-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnet-server
│ │ │ │ @@ -23677,26 +23677,14 @@
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnet_removed
│ │ │ │              _c_u_i           3.1.13
│ │ │ │              _h_i_p_a_a         164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)(1),
│ │ │ │  References:               164.312(e)(2)(ii)
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3 A.8.2.3, A.13.1.1, A.13.2.1, A.13.2.3, A.14.1.2, A.14.1.3
│ │ │ │              _a_n_s_s_i         R62
│ │ │ │              _p_c_i_d_s_s_4       2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnet
│ │ │ │ -
│ │ │ │ -class remove_telnet {
│ │ │ │ -  package { 'telnet':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnet is removed
│ │ │ │    package:
│ │ │ │ @@ -23708,14 +23696,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnet_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnet
│ │ │ │ +
│ │ │ │ +class remove_telnet {
│ │ │ │ +  package { 'telnet':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnet
│ │ │ │ @@ -23758,26 +23758,14 @@
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1, A.13.2.1, A.14.1.3,
│ │ │ │                             A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_tftp-server
│ │ │ │ -
│ │ │ │ -class remove_tftp-server {
│ │ │ │ -  package { 'tftp-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure tftp-server is removed
│ │ │ │    package:
│ │ │ │ @@ -23791,14 +23779,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_tftp-server_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_tftp-server
│ │ │ │ +
│ │ │ │ +class remove_tftp-server {
│ │ │ │ +  package { 'tftp-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove tftp-server
│ │ │ │ @@ -23817,26 +23817,14 @@
│ │ │ │              a boot server). In that case, use extreme caution when configuring the services.
│ │ │ │  Severity:   low
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_tftp_removed
│ │ │ │              _d_i_s_a    CCI-000197
│ │ │ │  References: _o_s_-_s_r_g  SRG-OS-000074-GPOS-00042
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_tftp
│ │ │ │ -
│ │ │ │ -class remove_tftp {
│ │ │ │ -  package { 'tftp':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure tftp is removed
│ │ │ │    package:
│ │ │ │ @@ -23847,14 +23835,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_tftp_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_tftp
│ │ │ │ +
│ │ │ │ +class remove_tftp {
│ │ │ │ +  package { 'tftp':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove tftp
│ │ │ │ @@ -24611,23 +24611,14 @@
│ │ │ │                             3 R2.2, CIP-007-3 R2.3, CIP-007-3 R5.1, CIP-007-3 R5.1.1, CIP-007-3 R5.1.2
│ │ │ │              _n_i_s_t           AC-17(a), CM-6(a), AC-6(1)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-4, PR.DS-5
│ │ │ │              _p_c_i_d_s_s         Req-2.2.4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _a_n_s_s_i          R50
│ │ │ │              _p_c_i_d_s_s_4        2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -include ssh_private_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_private_key_perms {
│ │ │ │ -  exec { 'sshd_priv_key':
│ │ │ │ -    command => "chmod 0640 /etc/ssh/*_key",
│ │ │ │ -    path    => '/bin:/usr/bin'
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   configure
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -24691,14 +24682,23 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - configure_strategy
│ │ │ │    - file_permissions_sshd_private_key
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +include ssh_private_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_private_key_perms {
│ │ │ │ +  exec { 'sshd_priv_key':
│ │ │ │ +    command => "chmod 0640 /etc/ssh/*_key",
│ │ │ │ +    path    => '/bin:/usr/bin'
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2>/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  for keyfile in /etc/ssh/*_key; do
│ │ │ │      test -f "$keyfile" || continue
│ │ │ │ @@ -24738,23 +24738,14 @@
│ │ │ │                             3 R2.2, CIP-007-3 R2.3, CIP-007-3 R5.1, CIP-007-3 R5.1.1, CIP-007-3 R5.1.2
│ │ │ │              _n_i_s_t           AC-17(a), CM-6(a), AC-6(1)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-4, PR.DS-5
│ │ │ │              _p_c_i_d_s_s         Req-2.2.4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _a_n_s_s_i          R50
│ │ │ │              _p_c_i_d_s_s_4        2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -include ssh_public_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_public_key_perms {
│ │ │ │ -  exec { 'sshd_pub_key':
│ │ │ │ -    command => "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ -    path    => '/bin:/usr/bin'
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   configure
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -24818,14 +24809,23 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - configure_strategy
│ │ │ │    - file_permissions_sshd_pub_key
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +include ssh_public_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_public_key_perms {
│ │ │ │ +  exec { 'sshd_pub_key':
│ │ │ │ +    command => "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ +    path    => '/bin:/usr/bin'
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   configure
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -25330,31 +25330,14 @@
│ │ │ │              _o_s_-_s_r_g   SRG-OS-000122-GPOS-00063, SRG-OS-000254-GPOS-00095, SRG-OS-000255-GPOS-00096,
│ │ │ │                       SRG-OS-000337-GPOS-00129, SRG-OS-000348-GPOS-00136, SRG-OS-000349-GPOS-00137,
│ │ │ │                       SRG-OS-000350-GPOS-00138, SRG-OS-000351-GPOS-00139, SRG-OS-000352-GPOS-00140,
│ │ │ │                       SRG-OS-000353-GPOS-00141, SRG-OS-000354-GPOS-00142, SRG-OS-000358-GPOS-00145,
│ │ │ │                       SRG-OS-000365-GPOS-00152, SRG-OS-000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │              _a_n_s_s_i    R33, R73
│ │ │ │              _p_c_i_d_s_s_4  10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "auditd"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_auditd
│ │ │ │ -
│ │ │ │ -class install_auditd {
│ │ │ │ -  package { 'auditd':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -25395,14 +25378,31 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_audit_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_auditd
│ │ │ │ +
│ │ │ │ +class install_auditd {
│ │ │ │ +  package { 'auditd':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "auditd"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -25466,31 +25466,14 @@
│ │ │ │                             GPOS-00139, SRG-OS-000352-GPOS-00140, SRG-OS-000353-GPOS-00141, SRG-OS-
│ │ │ │                             000354-GPOS-00142, SRG-OS-000358-GPOS-00145, SRG-OS-000365-GPOS-00152,
│ │ │ │                             SRG-OS-000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │              _a_p_p_-_s_r_g_-_c_t_r    SRG-APP-000095-CTR-000170, SRG-APP-000409-CTR-000990, SRG-APP-000508-CTR-
│ │ │ │                             001300, SRG-APP-000510-CTR-001310
│ │ │ │              _a_n_s_s_i          R33, R73
│ │ │ │              _p_c_i_d_s_s_4        10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["auditd"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_auditd
│ │ │ │ -
│ │ │ │ -class enable_auditd {
│ │ │ │ -  service {'auditd':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -25556,11 +25539,28 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_auditd_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_auditd
│ │ │ │ +
│ │ │ │ +class enable_auditd {
│ │ │ │ +  service {'auditd':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["auditd"]
│ │ │ │  Red Hat and Red Hat Enterprise Linux are either registered trademarks or
│ │ │ │  trademarks of Red Hat, Inc. in the United States and other countries. All other
│ │ │ │  names are registered trademarks or trademarks of their respective companies.
│ │ │ │  Generated using _O_p_e_n_S_C_A_P 1.4.1
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian12-guide-anssi_bp28_minimal.html
│ │ │ @@ -22804,129 +22804,129 @@
│ │ │  00059130: 6574 3d22 2369 646d 3433 3730 2220 7461  et="#idm4370" ta
│ │ │  00059140: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  00059150: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │  00059160: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │  00059170: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │  00059180: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │  00059190: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -000591a0: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ -000591b0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -000591c0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -000591d0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -000591e0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -000591f0: 6d34 3337 3022 3e3c 7072 653e 3c63 6f64  m4370"><pre><cod
│ │ │ -00059200: 653e 0a5b 5b70 6163 6b61 6765 735d 5d0a  e>.[[packages]].
│ │ │ -00059210: 6e61 6d65 203d 2022 6c69 6270 616d 2d70  name = "libpam-p
│ │ │ -00059220: 7771 7561 6c69 7479 220a 7665 7273 696f  wquality".versio
│ │ │ -00059230: 6e20 3d20 222a 220a 3c2f 636f 6465 3e3c  n = "*".</code><
│ │ │ -00059240: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -00059250: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -00059260: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -00059270: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -00059280: 612d 7461 7267 6574 3d22 2369 646d 3433  a-target="#idm43
│ │ │ -00059290: 3731 2220 7461 6269 6e64 6578 3d22 3022  71" tabindex="0"
│ │ │ -000592a0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -000592b0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -000592c0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -000592d0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -000592e0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -000592f0: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -00059300: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00059310: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00059320: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00059330: 7073 6522 2069 643d 2269 646d 3433 3731  pse" id="idm4371
│ │ │ -00059340: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00059350: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00059360: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00059370: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00059380: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00059390: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -000593a0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -000593b0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -000593c0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -000593d0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -000593e0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -000593f0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00059400: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00059410: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00059420: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00059430: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -00059440: 6520 696e 7374 616c 6c5f 6c69 6270 616d  e install_libpam
│ │ │ -00059450: 2d70 7771 7561 6c69 7479 0a0a 636c 6173  -pwquality..clas
│ │ │ -00059460: 7320 696e 7374 616c 6c5f 6c69 6270 616d  s install_libpam
│ │ │ -00059470: 2d70 7771 7561 6c69 7479 207b 0a20 2070  -pwquality {.  p
│ │ │ -00059480: 6163 6b61 6765 207b 2027 6c69 6270 616d  ackage { 'libpam
│ │ │ -00059490: 2d70 7771 7561 6c69 7479 273a 0a20 2020  -pwquality':.   
│ │ │ -000594a0: 2065 6e73 7572 6520 3d26 6774 3b20 2769   ensure =&gt; 'i
│ │ │ -000594b0: 6e73 7461 6c6c 6564 272c 0a20 207d 0a7d  nstalled',.  }.}
│ │ │ -000594c0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -000594d0: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -000594e0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -000594f0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -00059500: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -00059510: 743d 2223 6964 6d34 3337 3222 2074 6162  t="#idm4372" tab
│ │ │ -00059520: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -00059530: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -00059540: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -00059550: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -00059560: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -00059570: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ -00059580: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ -00059590: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -000595a0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -000595b0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -000595c0: 643d 2269 646d 3433 3732 223e 3c74 6162  d="idm4372"><tab
│ │ │ -000595d0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -000595e0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -000595f0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00059600: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00059610: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00059620: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00059630: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00059640: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -00059650: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00059660: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -00059670: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -00059680: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -00059690: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -000596a0: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -000596b0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -000596c0: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ -000596d0: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ -000596e0: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ -000596f0: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ -00059700: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ -00059710: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ -00059720: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ -00059730: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -00059740: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ -00059750: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ -00059760: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -00059770: 6564 0a20 202d 2070 6163 6b61 6765 5f70  ed.  - package_p
│ │ │ -00059780: 616d 5f70 7771 7561 6c69 7479 5f69 6e73  am_pwquality_ins
│ │ │ -00059790: 7461 6c6c 6564 0a0a 2d20 6e61 6d65 3a20  talled..- name: 
│ │ │ -000597a0: 456e 7375 7265 206c 6962 7061 6d2d 7077  Ensure libpam-pw
│ │ │ -000597b0: 7175 616c 6974 7920 6973 2069 6e73 7461  quality is insta
│ │ │ -000597c0: 6c6c 6564 0a20 2070 6163 6b61 6765 3a0a  lled.  package:.
│ │ │ -000597d0: 2020 2020 6e61 6d65 3a20 6c69 6270 616d      name: libpam
│ │ │ -000597e0: 2d70 7771 7561 6c69 7479 0a20 2020 2073  -pwquality.    s
│ │ │ -000597f0: 7461 7465 3a20 7072 6573 656e 740a 2020  tate: present.  
│ │ │ -00059800: 7768 656e 3a20 2722 6c69 6270 616d 2d72  when: '"libpam-r
│ │ │ -00059810: 756e 7469 6d65 2220 696e 2061 6e73 6962  untime" in ansib
│ │ │ -00059820: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ -00059830: 7327 0a20 2074 6167 733a 0a20 202d 2065  s'.  tags:.  - e
│ │ │ -00059840: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -00059850: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -00059860: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -00059870: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -00059880: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -00059890: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -000598a0: 2d20 7061 636b 6167 655f 7061 6d5f 7077  - package_pam_pw
│ │ │ -000598b0: 7175 616c 6974 795f 696e 7374 616c 6c65  quality_installe
│ │ │ -000598c0: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +000591a0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ +000591b0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +000591c0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +000591d0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +000591e0: 6964 3d22 6964 6d34 3337 3022 3e3c 7461  id="idm4370"><ta
│ │ │ +000591f0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +00059200: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +00059210: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +00059220: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00059230: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +00059240: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +00059250: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00059260: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +00059270: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00059280: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +00059290: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +000592a0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +000592b0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +000592c0: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ +000592d0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +000592e0: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ +000592f0: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ +00059300: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ +00059310: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ +00059320: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ +00059330: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +00059340: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +00059350: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +00059360: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +00059370: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +00059380: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +00059390: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +000593a0: 7061 6d5f 7077 7175 616c 6974 795f 696e  pam_pwquality_in
│ │ │ +000593b0: 7374 616c 6c65 640a 0a2d 206e 616d 653a  stalled..- name:
│ │ │ +000593c0: 2045 6e73 7572 6520 6c69 6270 616d 2d70   Ensure libpam-p
│ │ │ +000593d0: 7771 7561 6c69 7479 2069 7320 696e 7374  wquality is inst
│ │ │ +000593e0: 616c 6c65 640a 2020 7061 636b 6167 653a  alled.  package:
│ │ │ +000593f0: 0a20 2020 206e 616d 653a 206c 6962 7061  .    name: libpa
│ │ │ +00059400: 6d2d 7077 7175 616c 6974 790a 2020 2020  m-pwquality.    
│ │ │ +00059410: 7374 6174 653a 2070 7265 7365 6e74 0a20  state: present. 
│ │ │ +00059420: 2077 6865 6e3a 2027 226c 6962 7061 6d2d   when: '"libpam-
│ │ │ +00059430: 7275 6e74 696d 6522 2069 6e20 616e 7369  runtime" in ansi
│ │ │ +00059440: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ +00059450: 6573 270a 2020 7461 6773 3a0a 2020 2d20  es'.  tags:.  - 
│ │ │ +00059460: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +00059470: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +00059480: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +00059490: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +000594a0: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +000594b0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +000594c0: 202d 2070 6163 6b61 6765 5f70 616d 5f70   - package_pam_p
│ │ │ +000594d0: 7771 7561 6c69 7479 5f69 6e73 7461 6c6c  wquality_install
│ │ │ +000594e0: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +000594f0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00059500: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00059510: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00059520: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00059530: 6765 743d 2223 6964 6d34 3337 3122 2074  get="#idm4371" t
│ │ │ +00059540: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +00059550: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +00059560: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +00059570: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +00059580: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +00059590: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +000595a0: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ +000595b0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +000595c0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +000595d0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +000595e0: 6964 3d22 6964 6d34 3337 3122 3e3c 7461  id="idm4371"><ta
│ │ │ +000595f0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +00059600: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +00059610: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +00059620: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00059630: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +00059640: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +00059650: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00059660: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +00059670: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00059680: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +00059690: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +000596a0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +000596b0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +000596c0: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ +000596d0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +000596e0: 636f 6465 3e69 6e63 6c75 6465 2069 6e73  code>include ins
│ │ │ +000596f0: 7461 6c6c 5f6c 6962 7061 6d2d 7077 7175  tall_libpam-pwqu
│ │ │ +00059700: 616c 6974 790a 0a63 6c61 7373 2069 6e73  ality..class ins
│ │ │ +00059710: 7461 6c6c 5f6c 6962 7061 6d2d 7077 7175  tall_libpam-pwqu
│ │ │ +00059720: 616c 6974 7920 7b0a 2020 7061 636b 6167  ality {.  packag
│ │ │ +00059730: 6520 7b20 276c 6962 7061 6d2d 7077 7175  e { 'libpam-pwqu
│ │ │ +00059740: 616c 6974 7927 3a0a 2020 2020 656e 7375  ality':.    ensu
│ │ │ +00059750: 7265 203d 2667 743b 2027 696e 7374 616c  re =&gt; 'instal
│ │ │ +00059760: 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  led',.  }.}.</co
│ │ │ +00059770: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +00059780: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +00059790: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +000597a0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +000597b0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +000597c0: 646d 3433 3732 2220 7461 6269 6e64 6578  dm4372" tabindex
│ │ │ +000597d0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +000597e0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +000597f0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00059800: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +00059810: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00059820: 6d65 6469 6174 696f 6e20 4f53 4275 696c  mediation OSBuil
│ │ │ +00059830: 6420 426c 7565 7072 696e 7420 736e 6970  d Blueprint snip
│ │ │ +00059840: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00059850: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00059860: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00059870: 7365 2220 6964 3d22 6964 6d34 3337 3222  se" id="idm4372"
│ │ │ +00059880: 3e3c 7072 653e 3c63 6f64 653e 0a5b 5b70  ><pre><code>.[[p
│ │ │ +00059890: 6163 6b61 6765 735d 5d0a 6e61 6d65 203d  ackages]].name =
│ │ │ +000598a0: 2022 6c69 6270 616d 2d70 7771 7561 6c69   "libpam-pwquali
│ │ │ +000598b0: 7479 220a 7665 7273 696f 6e20 3d20 222a  ty".version = "*
│ │ │ +000598c0: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │  000598d0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │  000598e0: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │  000598f0: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │  00059900: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │  00059910: 6574 3d22 2369 646d 3433 3733 2220 7461  et="#idm4373" ta
│ │ │  00059920: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  00059930: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ @@ -26499,93 +26499,93 @@
│ │ │  00067820: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  00067830: 3230 3034 3522 2074 6162 696e 6465 783d  20045" tabindex=
│ │ │  00067840: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │  00067850: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │  00067860: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │  00067870: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │  00067880: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00067890: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ -000678a0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -000678b0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -000678c0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -000678d0: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -000678e0: 3030 3435 223e 3c74 6162 6c65 2063 6c61  0045"><table cla
│ │ │ -000678f0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00067900: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00067910: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00067920: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00067930: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00067940: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00067950: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00067960: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00067970: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00067980: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00067990: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -000679a0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -000679b0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -000679c0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -000679d0: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ -000679e0: 6e63 6c75 6465 2072 656d 6f76 655f 6468  nclude remove_dh
│ │ │ -000679f0: 6370 0a0a 636c 6173 7320 7265 6d6f 7665  cp..class remove
│ │ │ -00067a00: 5f64 6863 7020 7b0a 2020 7061 636b 6167  _dhcp {.  packag
│ │ │ -00067a10: 6520 7b20 2764 6863 7027 3a0a 2020 2020  e { 'dhcp':.    
│ │ │ -00067a20: 656e 7375 7265 203d 2667 743b 2027 7075  ensure =&gt; 'pu
│ │ │ -00067a30: 7267 6564 272c 0a20 207d 0a7d 0a3c 2f63  rged',.  }.}.</c
│ │ │ -00067a40: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -00067a50: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -00067a60: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -00067a70: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -00067a80: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -00067a90: 6964 6d32 3030 3436 2220 7461 6269 6e64  idm20046" tabind
│ │ │ -00067aa0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -00067ab0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -00067ac0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -00067ad0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -00067ae0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -00067af0: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ -00067b00: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ -00067b10: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00067b20: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00067b30: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00067b40: 6964 6d32 3030 3436 223e 3c74 6162 6c65  idm20046"><table
│ │ │ -00067b50: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -00067b60: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -00067b70: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -00067b80: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -00067b90: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -00067ba0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00067bb0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -00067bc0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -00067bd0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00067be0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -00067bf0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -00067c00: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -00067c10: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ -00067c20: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ -00067c30: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00067c40: 6465 3e2d 206e 616d 653a 2045 6e73 7572  de>- name: Ensur
│ │ │ -00067c50: 6520 6468 6370 2069 7320 7265 6d6f 7665  e dhcp is remove
│ │ │ -00067c60: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ -00067c70: 206e 616d 653a 2064 6863 700a 2020 2020   name: dhcp.    
│ │ │ -00067c80: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ -00067c90: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -00067ca0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ -00067cb0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00067cc0: 2d37 2861 290a 2020 2d20 4e49 5354 2d38  -7(a).  - NIST-8
│ │ │ -00067cd0: 3030 2d35 332d 434d 2d37 2862 290a 2020  00-53-CM-7(b).  
│ │ │ -00067ce0: 2d20 5043 492d 4453 5376 342d 322e 320a  - PCI-DSSv4-2.2.
│ │ │ -00067cf0: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ -00067d00: 322e 340a 2020 2d20 6469 7361 626c 655f  2.4.  - disable_
│ │ │ -00067d10: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -00067d20: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -00067d30: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -00067d40: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ -00067d50: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -00067d60: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -00067d70: 6167 655f 6468 6370 5f72 656d 6f76 6564  age_dhcp_removed
│ │ │ +00067890: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ +000678a0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +000678b0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +000678c0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +000678d0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +000678e0: 3230 3034 3522 3e3c 7461 626c 6520 636c  20045"><table cl
│ │ │ +000678f0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +00067900: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +00067910: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +00067920: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +00067930: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +00067940: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00067950: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +00067960: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +00067970: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00067980: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +00067990: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +000679a0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +000679b0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +000679c0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +000679d0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +000679e0: 2d20 6e61 6d65 3a20 456e 7375 7265 2064  - name: Ensure d
│ │ │ +000679f0: 6863 7020 6973 2072 656d 6f76 6564 0a20  hcp is removed. 
│ │ │ +00067a00: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +00067a10: 6d65 3a20 6468 6370 0a20 2020 2073 7461  me: dhcp.    sta
│ │ │ +00067a20: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ +00067a30: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +00067a40: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ +00067a50: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ +00067a60: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +00067a70: 3533 2d43 4d2d 3728 6229 0a20 202d 2050  53-CM-7(b).  - P
│ │ │ +00067a80: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ +00067a90: 2050 4349 2d44 5353 7634 2d32 2e32 2e34   PCI-DSSv4-2.2.4
│ │ │ +00067aa0: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ +00067ab0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +00067ac0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +00067ad0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +00067ae0: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +00067af0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +00067b00: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +00067b10: 5f64 6863 705f 7265 6d6f 7665 640a 3c2f  _dhcp_removed.</
│ │ │ +00067b20: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00067b30: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00067b40: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00067b50: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00067b60: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +00067b70: 2369 646d 3230 3034 3622 2074 6162 696e  #idm20046" tabin
│ │ │ +00067b80: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00067b90: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00067ba0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00067bb0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00067bc0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00067bd0: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +00067be0: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +00067bf0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00067c00: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00067c10: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00067c20: 6964 6d32 3030 3436 223e 3c74 6162 6c65  idm20046"><table
│ │ │ +00067c30: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00067c40: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00067c50: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00067c60: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00067c70: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00067c80: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00067c90: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00067ca0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00067cb0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00067cc0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00067cd0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00067ce0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00067cf0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +00067d00: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +00067d10: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00067d20: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ +00067d30: 655f 6468 6370 0a0a 636c 6173 7320 7265  e_dhcp..class re
│ │ │ +00067d40: 6d6f 7665 5f64 6863 7020 7b0a 2020 7061  move_dhcp {.  pa
│ │ │ +00067d50: 636b 6167 6520 7b20 2764 6863 7027 3a0a  ckage { 'dhcp':.
│ │ │ +00067d60: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ +00067d70: 2027 7075 7267 6564 272c 0a20 207d 0a7d   'purged',.  }.}
│ │ │  00067d80: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │  00067d90: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │  00067da0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │  00067db0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │  00067dc0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │  00067dd0: 743d 2223 6964 6d32 3030 3437 2220 7461  t="#idm20047" ta
│ │ │  00067de0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ @@ -26752,86 +26752,86 @@
│ │ │  000687f0: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │  00068800: 3030 3537 2220 7461 6269 6e64 6578 3d22  0057" tabindex="
│ │ │  00068810: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │  00068820: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │  00068830: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │  00068840: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │  00068850: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00068860: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ -00068870: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00068880: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00068890: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -000688a0: 6c61 7073 6522 2069 643d 2269 646d 3230  lapse" id="idm20
│ │ │ -000688b0: 3035 3722 3e3c 7461 626c 6520 636c 6173  057"><table clas
│ │ │ -000688c0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -000688d0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -000688e0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -000688f0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00068900: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00068910: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00068920: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00068930: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00068940: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00068950: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -00068960: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -00068970: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -00068980: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ -00068990: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -000689a0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -000689b0: 636c 7564 6520 7265 6d6f 7665 5f6b 6561  clude remove_kea
│ │ │ -000689c0: 0a0a 636c 6173 7320 7265 6d6f 7665 5f6b  ..class remove_k
│ │ │ -000689d0: 6561 207b 0a20 2070 6163 6b61 6765 207b  ea {.  package {
│ │ │ -000689e0: 2027 6b65 6127 3a0a 2020 2020 656e 7375   'kea':.    ensu
│ │ │ -000689f0: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ -00068a00: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -00068a10: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00068a20: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -00068a30: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -00068a40: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -00068a50: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ -00068a60: 3030 3538 2220 7461 6269 6e64 6578 3d22  0058" tabindex="
│ │ │ -00068a70: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -00068a80: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -00068a90: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -00068aa0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -00068ab0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00068ac0: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -00068ad0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00068ae0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00068af0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00068b00: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -00068b10: 3030 3538 223e 3c74 6162 6c65 2063 6c61  0058"><table cla
│ │ │ -00068b20: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00068b30: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00068b40: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00068b50: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00068b60: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00068b70: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00068b80: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00068b90: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00068ba0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00068bb0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00068bc0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00068bd0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00068be0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -00068bf0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00068c00: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -00068c10: 206e 616d 653a 2045 6e73 7572 6520 6b65   name: Ensure ke
│ │ │ -00068c20: 6120 6973 2072 656d 6f76 6564 0a20 2070  a is removed.  p
│ │ │ -00068c30: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -00068c40: 3a20 6b65 610a 2020 2020 7374 6174 653a  : kea.    state:
│ │ │ -00068c50: 2061 6273 656e 740a 2020 7461 6773 3a0a   absent.  tags:.
│ │ │ -00068c60: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -00068c70: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -00068c80: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -00068c90: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ -00068ca0: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ -00068cb0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -00068cc0: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ -00068cd0: 6b65 615f 7265 6d6f 7665 640a 3c2f 636f  kea_removed.</co
│ │ │ +00068860: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ +00068870: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00068880: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00068890: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +000688a0: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ +000688b0: 3030 3537 223e 3c74 6162 6c65 2063 6c61  0057"><table cla
│ │ │ +000688c0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +000688d0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +000688e0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +000688f0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +00068900: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +00068910: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00068920: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +00068930: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +00068940: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00068950: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +00068960: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +00068970: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +00068980: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ +00068990: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +000689a0: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ +000689b0: 206e 616d 653a 2045 6e73 7572 6520 6b65   name: Ensure ke
│ │ │ +000689c0: 6120 6973 2072 656d 6f76 6564 0a20 2070  a is removed.  p
│ │ │ +000689d0: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ +000689e0: 3a20 6b65 610a 2020 2020 7374 6174 653a  : kea.    state:
│ │ │ +000689f0: 2061 6273 656e 740a 2020 7461 6773 3a0a   absent.  tags:.
│ │ │ +00068a00: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ +00068a10: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +00068a20: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +00068a30: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +00068a40: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +00068a50: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +00068a60: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +00068a70: 6b65 615f 7265 6d6f 7665 640a 3c2f 636f  kea_removed.</co
│ │ │ +00068a80: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +00068a90: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +00068aa0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +00068ab0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +00068ac0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +00068ad0: 646d 3230 3035 3822 2074 6162 696e 6465  dm20058" tabinde
│ │ │ +00068ae0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +00068af0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +00068b00: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +00068b10: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +00068b20: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +00068b30: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ +00068b40: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +00068b50: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00068b60: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00068b70: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00068b80: 6d32 3030 3538 223e 3c74 6162 6c65 2063  m20058"><table c
│ │ │ +00068b90: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00068ba0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00068bb0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00068bc0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00068bd0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00068be0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00068bf0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00068c00: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00068c10: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00068c20: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00068c30: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00068c40: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00068c50: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +00068c60: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00068c70: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +00068c80: 3e69 6e63 6c75 6465 2072 656d 6f76 655f  >include remove_
│ │ │ +00068c90: 6b65 610a 0a63 6c61 7373 2072 656d 6f76  kea..class remov
│ │ │ +00068ca0: 655f 6b65 6120 7b0a 2020 7061 636b 6167  e_kea {.  packag
│ │ │ +00068cb0: 6520 7b20 276b 6561 273a 0a20 2020 2065  e { 'kea':.    e
│ │ │ +00068cc0: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ +00068cd0: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │  00068ce0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  00068cf0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │  00068d00: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │  00068d10: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │  00068d20: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  00068d30: 646d 3230 3035 3922 2074 6162 696e 6465  dm20059" tabinde
│ │ │  00068d40: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ @@ -27248,113 +27248,113 @@
│ │ │  0006a6f0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  0006a700: 6964 6d32 3032 3136 2220 7461 6269 6e64  idm20216" tabind
│ │ │  0006a710: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │  0006a720: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │  0006a730: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │  0006a740: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │  0006a750: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -0006a760: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ -0006a770: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ -0006a780: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0006a790: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0006a7a0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0006a7b0: 646d 3230 3231 3622 3e3c 7461 626c 6520  dm20216"><table 
│ │ │ -0006a7c0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -0006a7d0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -0006a7e0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -0006a7f0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -0006a800: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -0006a810: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0006a820: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -0006a830: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -0006a840: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0006a850: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -0006a860: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -0006a870: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -0006a880: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -0006a890: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -0006a8a0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -0006a8b0: 653e 696e 636c 7564 6520 7265 6d6f 7665  e>include remove
│ │ │ -0006a8c0: 5f73 656e 646d 6169 6c0a 0a63 6c61 7373  _sendmail..class
│ │ │ -0006a8d0: 2072 656d 6f76 655f 7365 6e64 6d61 696c   remove_sendmail
│ │ │ -0006a8e0: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ -0006a8f0: 7365 6e64 6d61 696c 273a 0a20 2020 2065  sendmail':.    e
│ │ │ -0006a900: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ -0006a910: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │ -0006a920: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -0006a930: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -0006a940: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -0006a950: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -0006a960: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -0006a970: 646d 3230 3231 3722 2074 6162 696e 6465  dm20217" tabinde
│ │ │ -0006a980: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -0006a990: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -0006a9a0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -0006a9b0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -0006a9c0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0006a9d0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -0006a9e0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -0006a9f0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0006aa00: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0006aa10: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0006aa20: 646d 3230 3231 3722 3e3c 7461 626c 6520  dm20217"><table 
│ │ │ -0006aa30: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -0006aa40: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -0006aa50: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -0006aa60: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -0006aa70: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -0006aa80: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0006aa90: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -0006aaa0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -0006aab0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0006aac0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -0006aad0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -0006aae0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -0006aaf0: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -0006ab00: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -0006ab10: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -0006ab20: 653e 2d20 6e61 6d65 3a20 4761 7468 6572  e>- name: Gather
│ │ │ -0006ab30: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ -0006ab40: 7473 0a20 2070 6163 6b61 6765 5f66 6163  ts.  package_fac
│ │ │ -0006ab50: 7473 3a0a 2020 2020 6d61 6e61 6765 723a  ts:.    manager:
│ │ │ -0006ab60: 2061 7574 6f0a 2020 7461 6773 3a0a 2020   auto.  tags:.  
│ │ │ -0006ab70: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -0006ab80: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ -0006ab90: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ -0006aba0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -0006abb0: 2d37 2862 290a 2020 2d20 6469 7361 626c  -7(b).  - disabl
│ │ │ -0006abc0: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -0006abd0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -0006abe0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -0006abf0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -0006ac00: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -0006ac10: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -0006ac20: 636b 6167 655f 7365 6e64 6d61 696c 5f72  ckage_sendmail_r
│ │ │ -0006ac30: 656d 6f76 6564 0a0a 2d20 6e61 6d65 3a20  emoved..- name: 
│ │ │ -0006ac40: 456e 7375 7265 2073 656e 646d 6169 6c20  Ensure sendmail 
│ │ │ -0006ac50: 6973 2072 656d 6f76 6564 0a20 2070 6163  is removed.  pac
│ │ │ -0006ac60: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -0006ac70: 7365 6e64 6d61 696c 0a20 2020 2073 7461  sendmail.    sta
│ │ │ -0006ac80: 7465 3a20 6162 7365 6e74 0a20 2077 6865  te: absent.  whe
│ │ │ -0006ac90: 6e3a 2027 226c 696e 7578 2d62 6173 6522  n: '"linux-base"
│ │ │ -0006aca0: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ -0006acb0: 732e 7061 636b 6167 6573 270a 2020 7461  s.packages'.  ta
│ │ │ -0006acc0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ -0006acd0: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ -0006ace0: 4e49 5354 2d38 3030 2d35 332d 434d 2d37  NIST-800-53-CM-7
│ │ │ -0006acf0: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ -0006ad00: 2d35 332d 434d 2d37 2862 290a 2020 2d20  -53-CM-7(b).  - 
│ │ │ -0006ad10: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ -0006ad20: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -0006ad30: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -0006ad40: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ -0006ad50: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ -0006ad60: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -0006ad70: 2020 2d20 7061 636b 6167 655f 7365 6e64    - package_send
│ │ │ -0006ad80: 6d61 696c 5f72 656d 6f76 6564 0a3c 2f63  mail_removed.</c
│ │ │ +0006a760: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ +0006a770: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ +0006a780: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +0006a790: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +0006a7a0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +0006a7b0: 6964 6d32 3032 3136 223e 3c74 6162 6c65  idm20216"><table
│ │ │ +0006a7c0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +0006a7d0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +0006a7e0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +0006a7f0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +0006a800: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +0006a810: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0006a820: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +0006a830: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +0006a840: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0006a850: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +0006a860: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +0006a870: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +0006a880: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +0006a890: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +0006a8a0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +0006a8b0: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ +0006a8c0: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ +0006a8d0: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ +0006a8e0: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ +0006a8f0: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ +0006a900: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +0006a910: 4d2d 3628 6129 0a20 202d 204e 4953 542d  M-6(a).  - NIST-
│ │ │ +0006a920: 3830 302d 3533 2d43 4d2d 3728 6129 0a20  800-53-CM-7(a). 
│ │ │ +0006a930: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +0006a940: 4d2d 3728 6229 0a20 202d 2064 6973 6162  M-7(b).  - disab
│ │ │ +0006a950: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +0006a960: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +0006a970: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +0006a980: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +0006a990: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +0006a9a0: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +0006a9b0: 6163 6b61 6765 5f73 656e 646d 6169 6c5f  ackage_sendmail_
│ │ │ +0006a9c0: 7265 6d6f 7665 640a 0a2d 206e 616d 653a  removed..- name:
│ │ │ +0006a9d0: 2045 6e73 7572 6520 7365 6e64 6d61 696c   Ensure sendmail
│ │ │ +0006a9e0: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ +0006a9f0: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ +0006aa00: 2073 656e 646d 6169 6c0a 2020 2020 7374   sendmail.    st
│ │ │ +0006aa10: 6174 653a 2061 6273 656e 740a 2020 7768  ate: absent.  wh
│ │ │ +0006aa20: 656e 3a20 2722 6c69 6e75 782d 6261 7365  en: '"linux-base
│ │ │ +0006aa30: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ +0006aa40: 7473 2e70 6163 6b61 6765 7327 0a20 2074  ts.packages'.  t
│ │ │ +0006aa50: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +0006aa60: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +0006aa70: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +0006aa80: 3728 6129 0a20 202d 204e 4953 542d 3830  7(a).  - NIST-80
│ │ │ +0006aa90: 302d 3533 2d43 4d2d 3728 6229 0a20 202d  0-53-CM-7(b).  -
│ │ │ +0006aaa0: 2064 6973 6162 6c65 5f73 7472 6174 6567   disable_strateg
│ │ │ +0006aab0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +0006aac0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +0006aad0: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +0006aae0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +0006aaf0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +0006ab00: 0a20 202d 2070 6163 6b61 6765 5f73 656e  .  - package_sen
│ │ │ +0006ab10: 646d 6169 6c5f 7265 6d6f 7665 640a 3c2f  dmail_removed.</
│ │ │ +0006ab20: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +0006ab30: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +0006ab40: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +0006ab50: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +0006ab60: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +0006ab70: 2369 646d 3230 3231 3722 2074 6162 696e  #idm20217" tabin
│ │ │ +0006ab80: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +0006ab90: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +0006aba0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +0006abb0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +0006abc0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +0006abd0: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +0006abe0: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +0006abf0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +0006ac00: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +0006ac10: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +0006ac20: 6964 6d32 3032 3137 223e 3c74 6162 6c65  idm20217"><table
│ │ │ +0006ac30: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +0006ac40: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +0006ac50: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +0006ac60: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +0006ac70: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +0006ac80: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0006ac90: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +0006aca0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +0006acb0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0006acc0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +0006acd0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +0006ace0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +0006acf0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +0006ad00: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +0006ad10: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +0006ad20: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ +0006ad30: 655f 7365 6e64 6d61 696c 0a0a 636c 6173  e_sendmail..clas
│ │ │ +0006ad40: 7320 7265 6d6f 7665 5f73 656e 646d 6169  s remove_sendmai
│ │ │ +0006ad50: 6c20 7b0a 2020 7061 636b 6167 6520 7b20  l {.  package { 
│ │ │ +0006ad60: 2773 656e 646d 6169 6c27 3a0a 2020 2020  'sendmail':.    
│ │ │ +0006ad70: 656e 7375 7265 203d 2667 743b 2027 7075  ensure =&gt; 'pu
│ │ │ +0006ad80: 7267 6564 272c 0a20 207d 0a7d 0a3c 2f63  rged',.  }.}.</c
│ │ │  0006ad90: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │  0006ada0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │  0006adb0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │  0006adc0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │  0006add0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  0006ade0: 6964 6d32 3032 3138 2220 7461 6269 6e64  idm20218" tabind
│ │ │  0006adf0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ @@ -27837,117 +27837,117 @@
│ │ │  0006cbc0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  0006cbd0: 6d32 3038 3736 2220 7461 6269 6e64 6578  m20876" tabindex
│ │ │  0006cbe0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │  0006cbf0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │  0006cc00: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │  0006cc10: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │  0006cc20: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -0006cc30: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -0006cc40: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -0006cc50: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -0006cc60: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -0006cc70: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -0006cc80: 3230 3837 3622 3e3c 7461 626c 6520 636c  20876"><table cl
│ │ │ -0006cc90: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -0006cca0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -0006ccb0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -0006ccc0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -0006ccd0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -0006cce0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0006ccf0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -0006cd00: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -0006cd10: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0006cd20: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -0006cd30: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -0006cd40: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -0006cd50: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -0006cd60: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -0006cd70: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -0006cd80: 696e 636c 7564 6520 7265 6d6f 7665 5f78  include remove_x
│ │ │ -0006cd90: 696e 6574 640a 0a63 6c61 7373 2072 656d  inetd..class rem
│ │ │ -0006cda0: 6f76 655f 7869 6e65 7464 207b 0a20 2070  ove_xinetd {.  p
│ │ │ -0006cdb0: 6163 6b61 6765 207b 2027 7869 6e65 7464  ackage { 'xinetd
│ │ │ -0006cdc0: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ -0006cdd0: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ -0006cde0: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -0006cdf0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -0006ce00: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -0006ce10: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -0006ce20: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -0006ce30: 7267 6574 3d22 2369 646d 3230 3837 3722  rget="#idm20877"
│ │ │ -0006ce40: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -0006ce50: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -0006ce60: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -0006ce70: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -0006ce80: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -0006ce90: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -0006cea0: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ -0006ceb0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -0006cec0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -0006ced0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -0006cee0: 6522 2069 643d 2269 646d 3230 3837 3722  e" id="idm20877"
│ │ │ -0006cef0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -0006cf00: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -0006cf10: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -0006cf20: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -0006cf30: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -0006cf40: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -0006cf50: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0006cf60: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -0006cf70: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0006cf80: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -0006cf90: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -0006cfa0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -0006cfb0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -0006cfc0: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -0006cfd0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -0006cfe0: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -0006cff0: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ -0006d000: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ -0006d010: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ -0006d020: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ -0006d030: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -0006d040: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ -0006d050: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -0006d060: 2d37 2861 290a 2020 2d20 4e49 5354 2d38  -7(a).  - NIST-8
│ │ │ -0006d070: 3030 2d35 332d 434d 2d37 2862 290a 2020  00-53-CM-7(b).  
│ │ │ -0006d080: 2d20 5043 492d 4453 5376 342d 322e 320a  - PCI-DSSv4-2.2.
│ │ │ -0006d090: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ -0006d0a0: 322e 340a 2020 2d20 6469 7361 626c 655f  2.4.  - disable_
│ │ │ -0006d0b0: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -0006d0c0: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -0006d0d0: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -0006d0e0: 202d 206c 6f77 5f73 6576 6572 6974 790a   - low_severity.
│ │ │ -0006d0f0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -0006d100: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -0006d110: 5f78 696e 6574 645f 7265 6d6f 7665 640a  _xinetd_removed.
│ │ │ -0006d120: 0a2d 206e 616d 653a 2045 6e73 7572 6520  .- name: Ensure 
│ │ │ -0006d130: 7869 6e65 7464 2069 7320 7265 6d6f 7665  xinetd is remove
│ │ │ -0006d140: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ -0006d150: 206e 616d 653a 2078 696e 6574 640a 2020   name: xinetd.  
│ │ │ -0006d160: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ -0006d170: 2020 7768 656e 3a20 2722 6c69 6e75 782d    when: '"linux-
│ │ │ -0006d180: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ -0006d190: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ -0006d1a0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -0006d1b0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -0006d1c0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -0006d1d0: 2d43 4d2d 3728 6129 0a20 202d 204e 4953  -CM-7(a).  - NIS
│ │ │ -0006d1e0: 542d 3830 302d 3533 2d43 4d2d 3728 6229  T-800-53-CM-7(b)
│ │ │ -0006d1f0: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -0006d200: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -0006d210: 2d32 2e32 2e34 0a20 202d 2064 6973 6162  -2.2.4.  - disab
│ │ │ -0006d220: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -0006d230: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -0006d240: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -0006d250: 6e0a 2020 2d20 6c6f 775f 7365 7665 7269  n.  - low_severi
│ │ │ -0006d260: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -0006d270: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -0006d280: 6167 655f 7869 6e65 7464 5f72 656d 6f76  age_xinetd_remov
│ │ │ -0006d290: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +0006cc30: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ +0006cc40: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ +0006cc50: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +0006cc60: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +0006cc70: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +0006cc80: 6d32 3038 3736 223e 3c74 6162 6c65 2063  m20876"><table c
│ │ │ +0006cc90: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +0006cca0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +0006ccb0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +0006ccc0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +0006ccd0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +0006cce0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0006ccf0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +0006cd00: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +0006cd10: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0006cd20: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +0006cd30: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +0006cd40: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +0006cd50: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +0006cd60: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +0006cd70: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +0006cd80: 3e2d 206e 616d 653a 2047 6174 6865 7220  >- name: Gather 
│ │ │ +0006cd90: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ +0006cda0: 730a 2020 7061 636b 6167 655f 6661 6374  s.  package_fact
│ │ │ +0006cdb0: 733a 0a20 2020 206d 616e 6167 6572 3a20  s:.    manager: 
│ │ │ +0006cdc0: 6175 746f 0a20 2074 6167 733a 0a20 202d  auto.  tags:.  -
│ │ │ +0006cdd0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +0006cde0: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ +0006cdf0: 302d 3533 2d43 4d2d 3728 6129 0a20 202d  0-53-CM-7(a).  -
│ │ │ +0006ce00: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +0006ce10: 3728 6229 0a20 202d 2050 4349 2d44 5353  7(b).  - PCI-DSS
│ │ │ +0006ce20: 7634 2d32 2e32 0a20 202d 2050 4349 2d44  v4-2.2.  - PCI-D
│ │ │ +0006ce30: 5353 7634 2d32 2e32 2e34 0a20 202d 2064  SSv4-2.2.4.  - d
│ │ │ +0006ce40: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ +0006ce50: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +0006ce60: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +0006ce70: 7074 696f 6e0a 2020 2d20 6c6f 775f 7365  ption.  - low_se
│ │ │ +0006ce80: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +0006ce90: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +0006cea0: 7061 636b 6167 655f 7869 6e65 7464 5f72  package_xinetd_r
│ │ │ +0006ceb0: 656d 6f76 6564 0a0a 2d20 6e61 6d65 3a20  emoved..- name: 
│ │ │ +0006cec0: 456e 7375 7265 2078 696e 6574 6420 6973  Ensure xinetd is
│ │ │ +0006ced0: 2072 656d 6f76 6564 0a20 2070 6163 6b61   removed.  packa
│ │ │ +0006cee0: 6765 3a0a 2020 2020 6e61 6d65 3a20 7869  ge:.    name: xi
│ │ │ +0006cef0: 6e65 7464 0a20 2020 2073 7461 7465 3a20  netd.    state: 
│ │ │ +0006cf00: 6162 7365 6e74 0a20 2077 6865 6e3a 2027  absent.  when: '
│ │ │ +0006cf10: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ +0006cf20: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ +0006cf30: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ +0006cf40: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0006cf50: 434d 2d36 2861 290a 2020 2d20 4e49 5354  CM-6(a).  - NIST
│ │ │ +0006cf60: 2d38 3030 2d35 332d 434d 2d37 2861 290a  -800-53-CM-7(a).
│ │ │ +0006cf70: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0006cf80: 434d 2d37 2862 290a 2020 2d20 5043 492d  CM-7(b).  - PCI-
│ │ │ +0006cf90: 4453 5376 342d 322e 320a 2020 2d20 5043  DSSv4-2.2.  - PC
│ │ │ +0006cfa0: 492d 4453 5376 342d 322e 322e 340a 2020  I-DSSv4-2.2.4.  
│ │ │ +0006cfb0: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ +0006cfc0: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ +0006cfd0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +0006cfe0: 7372 7570 7469 6f6e 0a20 202d 206c 6f77  sruption.  - low
│ │ │ +0006cff0: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +0006d000: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +0006d010: 202d 2070 6163 6b61 6765 5f78 696e 6574   - package_xinet
│ │ │ +0006d020: 645f 7265 6d6f 7665 640a 3c2f 636f 6465  d_removed.</code
│ │ │ +0006d030: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +0006d040: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +0006d050: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +0006d060: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +0006d070: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +0006d080: 3230 3837 3722 2074 6162 696e 6465 783d  20877" tabindex=
│ │ │ +0006d090: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +0006d0a0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +0006d0b0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +0006d0c0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +0006d0d0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +0006d0e0: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ +0006d0f0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +0006d100: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +0006d110: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +0006d120: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ +0006d130: 3038 3737 223e 3c74 6162 6c65 2063 6c61  0877"><table cla
│ │ │ +0006d140: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +0006d150: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +0006d160: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +0006d170: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +0006d180: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +0006d190: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0006d1a0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +0006d1b0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +0006d1c0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0006d1d0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +0006d1e0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +0006d1f0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +0006d200: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ +0006d210: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +0006d220: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ +0006d230: 6e63 6c75 6465 2072 656d 6f76 655f 7869  nclude remove_xi
│ │ │ +0006d240: 6e65 7464 0a0a 636c 6173 7320 7265 6d6f  netd..class remo
│ │ │ +0006d250: 7665 5f78 696e 6574 6420 7b0a 2020 7061  ve_xinetd {.  pa
│ │ │ +0006d260: 636b 6167 6520 7b20 2778 696e 6574 6427  ckage { 'xinetd'
│ │ │ +0006d270: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ +0006d280: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ +0006d290: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │  0006d2a0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │  0006d2b0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │  0006d2c0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │  0006d2d0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │  0006d2e0: 6765 743d 2223 6964 6d32 3038 3738 2220  get="#idm20878" 
│ │ │  0006d2f0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  0006d300: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ @@ -28244,91 +28244,91 @@
│ │ │  0006e530: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  0006e540: 6d32 3039 3030 2220 7461 6269 6e64 6578  m20900" tabindex
│ │ │  0006e550: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │  0006e560: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │  0006e570: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │  0006e580: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │  0006e590: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -0006e5a0: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -0006e5b0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -0006e5c0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -0006e5d0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -0006e5e0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -0006e5f0: 3230 3930 3022 3e3c 7461 626c 6520 636c  20900"><table cl
│ │ │ -0006e600: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -0006e610: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -0006e620: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -0006e630: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -0006e640: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -0006e650: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0006e660: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -0006e670: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -0006e680: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0006e690: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -0006e6a0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -0006e6b0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -0006e6c0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -0006e6d0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -0006e6e0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -0006e6f0: 696e 636c 7564 6520 7265 6d6f 7665 5f79  include remove_y
│ │ │ -0006e700: 7062 696e 642d 6d74 0a0a 636c 6173 7320  pbind-mt..class 
│ │ │ -0006e710: 7265 6d6f 7665 5f79 7062 696e 642d 6d74  remove_ypbind-mt
│ │ │ -0006e720: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ -0006e730: 7970 6269 6e64 2d6d 7427 3a0a 2020 2020  ypbind-mt':.    
│ │ │ -0006e740: 656e 7375 7265 203d 2667 743b 2027 7075  ensure =&gt; 'pu
│ │ │ -0006e750: 7267 6564 272c 0a20 207d 0a7d 0a3c 2f63  rged',.  }.}.</c
│ │ │ -0006e760: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -0006e770: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -0006e780: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -0006e790: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -0006e7a0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -0006e7b0: 6964 6d32 3039 3031 2220 7461 6269 6e64  idm20901" tabind
│ │ │ -0006e7c0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -0006e7d0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -0006e7e0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -0006e7f0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -0006e800: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -0006e810: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ -0006e820: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ -0006e830: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -0006e840: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -0006e850: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -0006e860: 6964 6d32 3039 3031 223e 3c74 6162 6c65  idm20901"><table
│ │ │ -0006e870: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -0006e880: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -0006e890: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -0006e8a0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -0006e8b0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -0006e8c0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0006e8d0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -0006e8e0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -0006e8f0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0006e900: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -0006e910: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -0006e920: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -0006e930: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ -0006e940: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ -0006e950: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -0006e960: 6465 3e2d 206e 616d 653a 2045 6e73 7572  de>- name: Ensur
│ │ │ -0006e970: 6520 7970 6269 6e64 2d6d 7420 6973 2072  e ypbind-mt is r
│ │ │ -0006e980: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ -0006e990: 3a0a 2020 2020 6e61 6d65 3a20 7970 6269  :.    name: ypbi
│ │ │ -0006e9a0: 6e64 2d6d 740a 2020 2020 7374 6174 653a  nd-mt.    state:
│ │ │ -0006e9b0: 2061 6273 656e 740a 2020 7461 6773 3a0a   absent.  tags:.
│ │ │ -0006e9c0: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ -0006e9d0: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ -0006e9e0: 322e 322e 340a 2020 2d20 6469 7361 626c  2.2.4.  - disabl
│ │ │ -0006e9f0: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -0006ea00: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -0006ea10: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -0006ea20: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -0006ea30: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ -0006ea40: 655f 7970 6269 6e64 5f72 656d 6f76 6564  e_ypbind_removed
│ │ │ -0006ea50: 0a20 202d 2075 6e6b 6e6f 776e 5f73 6576  .  - unknown_sev
│ │ │ -0006ea60: 6572 6974 790a 3c2f 636f 6465 3e3c 2f70  erity.</code></p
│ │ │ +0006e5a0: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ +0006e5b0: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ +0006e5c0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +0006e5d0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +0006e5e0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +0006e5f0: 6d32 3039 3030 223e 3c74 6162 6c65 2063  m20900"><table c
│ │ │ +0006e600: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +0006e610: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +0006e620: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +0006e630: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +0006e640: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +0006e650: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0006e660: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +0006e670: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +0006e680: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0006e690: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +0006e6a0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +0006e6b0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +0006e6c0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +0006e6d0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +0006e6e0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +0006e6f0: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ +0006e700: 7970 6269 6e64 2d6d 7420 6973 2072 656d  ypbind-mt is rem
│ │ │ +0006e710: 6f76 6564 0a20 2070 6163 6b61 6765 3a0a  oved.  package:.
│ │ │ +0006e720: 2020 2020 6e61 6d65 3a20 7970 6269 6e64      name: ypbind
│ │ │ +0006e730: 2d6d 740a 2020 2020 7374 6174 653a 2061  -mt.    state: a
│ │ │ +0006e740: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ +0006e750: 2d20 5043 492d 4453 5376 342d 322e 320a  - PCI-DSSv4-2.2.
│ │ │ +0006e760: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ +0006e770: 322e 340a 2020 2d20 6469 7361 626c 655f  2.4.  - disable_
│ │ │ +0006e780: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ +0006e790: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +0006e7a0: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +0006e7b0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +0006e7c0: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +0006e7d0: 7970 6269 6e64 5f72 656d 6f76 6564 0a20  ypbind_removed. 
│ │ │ +0006e7e0: 202d 2075 6e6b 6e6f 776e 5f73 6576 6572   - unknown_sever
│ │ │ +0006e7f0: 6974 790a 3c2f 636f 6465 3e3c 2f70 7265  ity.</code></pre
│ │ │ +0006e800: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +0006e810: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +0006e820: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +0006e830: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +0006e840: 7267 6574 3d22 2369 646d 3230 3930 3122  rget="#idm20901"
│ │ │ +0006e850: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +0006e860: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +0006e870: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +0006e880: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +0006e890: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +0006e8a0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +0006e8b0: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +0006e8c0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +0006e8d0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +0006e8e0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +0006e8f0: 2220 6964 3d22 6964 6d32 3039 3031 223e  " id="idm20901">
│ │ │ +0006e900: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +0006e910: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +0006e920: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +0006e930: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +0006e940: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +0006e950: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +0006e960: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0006e970: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +0006e980: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0006e990: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +0006e9a0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +0006e9b0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +0006e9c0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +0006e9d0: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +0006e9e0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +0006e9f0: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +0006ea00: 2072 656d 6f76 655f 7970 6269 6e64 2d6d   remove_ypbind-m
│ │ │ +0006ea10: 740a 0a63 6c61 7373 2072 656d 6f76 655f  t..class remove_
│ │ │ +0006ea20: 7970 6269 6e64 2d6d 7420 7b0a 2020 7061  ypbind-mt {.  pa
│ │ │ +0006ea30: 636b 6167 6520 7b20 2779 7062 696e 642d  ckage { 'ypbind-
│ │ │ +0006ea40: 6d74 273a 0a20 2020 2065 6e73 7572 6520  mt':.    ensure 
│ │ │ +0006ea50: 3d26 6774 3b20 2770 7572 6765 6427 2c0a  =&gt; 'purged',.
│ │ │ +0006ea60: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │  0006ea70: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │  0006ea80: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │  0006ea90: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │  0006eaa0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │  0006eab0: 7461 7267 6574 3d22 2369 646d 3230 3930  target="#idm2090
│ │ │  0006eac0: 3222 2074 6162 696e 6465 783d 2230 2220  2" tabindex="0" 
│ │ │  0006ead0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ @@ -28655,97 +28655,97 @@
│ │ │  0006fee0: 2d74 6172 6765 743d 2223 6964 6d32 3130  -target="#idm210
│ │ │  0006fef0: 3137 2220 7461 6269 6e64 6578 3d22 3022  17" tabindex="0"
│ │ │  0006ff00: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  0006ff10: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  0006ff20: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  0006ff30: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  0006ff40: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -0006ff50: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -0006ff60: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -0006ff70: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -0006ff80: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -0006ff90: 7073 6522 2069 643d 2269 646d 3231 3031  pse" id="idm2101
│ │ │ -0006ffa0: 3722 3e3c 7461 626c 6520 636c 6173 733d  7"><table class=
│ │ │ -0006ffb0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -0006ffc0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -0006ffd0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -0006ffe0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -0006fff0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -00070000: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00070010: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -00070020: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00070030: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00070040: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00070050: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00070060: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00070070: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -00070080: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -00070090: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ -000700a0: 7564 6520 7265 6d6f 7665 5f79 7073 6572  ude remove_ypser
│ │ │ -000700b0: 760a 0a63 6c61 7373 2072 656d 6f76 655f  v..class remove_
│ │ │ -000700c0: 7970 7365 7276 207b 0a20 2070 6163 6b61  ypserv {.  packa
│ │ │ -000700d0: 6765 207b 2027 7970 7365 7276 273a 0a20  ge { 'ypserv':. 
│ │ │ -000700e0: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -000700f0: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │ -00070100: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00070110: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00070120: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00070130: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00070140: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00070150: 3d22 2369 646d 3231 3031 3822 2074 6162  ="#idm21018" tab
│ │ │ -00070160: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -00070170: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -00070180: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -00070190: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -000701a0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -000701b0: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ -000701c0: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ -000701d0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -000701e0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -000701f0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00070200: 643d 2269 646d 3231 3031 3822 3e3c 7461  d="idm21018"><ta
│ │ │ -00070210: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00070220: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00070230: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00070240: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00070250: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -00070260: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -00070270: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00070280: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -00070290: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -000702a0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -000702b0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -000702c0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -000702d0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -000702e0: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -000702f0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00070300: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ -00070310: 7375 7265 2079 7073 6572 7620 6973 2072  sure ypserv is r
│ │ │ -00070320: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ -00070330: 3a0a 2020 2020 6e61 6d65 3a20 7970 7365  :.    name: ypse
│ │ │ -00070340: 7276 0a20 2020 2073 7461 7465 3a20 6162  rv.    state: ab
│ │ │ -00070350: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ -00070360: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -00070370: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ -00070380: 302d 3533 2d43 4d2d 3728 6129 0a20 202d  0-53-CM-7(a).  -
│ │ │ -00070390: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -000703a0: 3728 6229 0a20 202d 204e 4953 542d 3830  7(b).  - NIST-80
│ │ │ -000703b0: 302d 3533 2d49 412d 3528 3129 2863 290a  0-53-IA-5(1)(c).
│ │ │ -000703c0: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ -000703d0: 322e 322e 320a 2020 2d20 5043 492d 4453  2.2.2.  - PCI-DS
│ │ │ -000703e0: 5376 342d 322e 320a 2020 2d20 5043 492d  Sv4-2.2.  - PCI-
│ │ │ -000703f0: 4453 5376 342d 322e 322e 340a 2020 2d20  DSSv4-2.2.4.  - 
│ │ │ -00070400: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ -00070410: 0a20 202d 2068 6967 685f 7365 7665 7269  .  - high_severi
│ │ │ -00070420: 7479 0a20 202d 206c 6f77 5f63 6f6d 706c  ty.  - low_compl
│ │ │ -00070430: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -00070440: 7372 7570 7469 6f6e 0a20 202d 206e 6f5f  sruption.  - no_
│ │ │ -00070450: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -00070460: 2d20 7061 636b 6167 655f 7970 7365 7276  - package_ypserv
│ │ │ -00070470: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ +0006ff50: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +0006ff60: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +0006ff70: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0006ff80: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0006ff90: 6170 7365 2220 6964 3d22 6964 6d32 3130  apse" id="idm210
│ │ │ +0006ffa0: 3137 223e 3c74 6162 6c65 2063 6c61 7373  17"><table class
│ │ │ +0006ffb0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0006ffc0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0006ffd0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0006ffe0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0006fff0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00070000: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00070010: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00070020: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00070030: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00070040: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00070050: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00070060: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00070070: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +00070080: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00070090: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +000700a0: 616d 653a 2045 6e73 7572 6520 7970 7365  ame: Ensure ypse
│ │ │ +000700b0: 7276 2069 7320 7265 6d6f 7665 640a 2020  rv is removed.  
│ │ │ +000700c0: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ +000700d0: 653a 2079 7073 6572 760a 2020 2020 7374  e: ypserv.    st
│ │ │ +000700e0: 6174 653a 2061 6273 656e 740a 2020 7461  ate: absent.  ta
│ │ │ +000700f0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +00070100: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +00070110: 4e49 5354 2d38 3030 2d35 332d 434d 2d37  NIST-800-53-CM-7
│ │ │ +00070120: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ +00070130: 2d35 332d 434d 2d37 2862 290a 2020 2d20  -53-CM-7(b).  - 
│ │ │ +00070140: 4e49 5354 2d38 3030 2d35 332d 4941 2d35  NIST-800-53-IA-5
│ │ │ +00070150: 2831 2928 6329 0a20 202d 2050 4349 2d44  (1)(c).  - PCI-D
│ │ │ +00070160: 5353 2d52 6571 2d32 2e32 2e32 0a20 202d  SS-Req-2.2.2.  -
│ │ │ +00070170: 2050 4349 2d44 5353 7634 2d32 2e32 0a20   PCI-DSSv4-2.2. 
│ │ │ +00070180: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +00070190: 2e34 0a20 202d 2064 6973 6162 6c65 5f73  .4.  - disable_s
│ │ │ +000701a0: 7472 6174 6567 790a 2020 2d20 6869 6768  trategy.  - high
│ │ │ +000701b0: 5f73 6576 6572 6974 790a 2020 2d20 6c6f  _severity.  - lo
│ │ │ +000701c0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +000701d0: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +000701e0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +000701f0: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +00070200: 5f79 7073 6572 765f 7265 6d6f 7665 640a  _ypserv_removed.
│ │ │ +00070210: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +00070220: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +00070230: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +00070240: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00070250: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +00070260: 3d22 2369 646d 3231 3031 3822 2074 6162  ="#idm21018" tab
│ │ │ +00070270: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +00070280: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +00070290: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +000702a0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +000702b0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +000702c0: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ +000702d0: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ +000702e0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +000702f0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00070300: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00070310: 3d22 6964 6d32 3130 3138 223e 3c74 6162  ="idm21018"><tab
│ │ │ +00070320: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00070330: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00070340: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00070350: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00070360: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00070370: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00070380: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +00070390: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +000703a0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +000703b0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +000703c0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +000703d0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +000703e0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +000703f0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ +00070400: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +00070410: 636f 6465 3e69 6e63 6c75 6465 2072 656d  code>include rem
│ │ │ +00070420: 6f76 655f 7970 7365 7276 0a0a 636c 6173  ove_ypserv..clas
│ │ │ +00070430: 7320 7265 6d6f 7665 5f79 7073 6572 7620  s remove_ypserv 
│ │ │ +00070440: 7b0a 2020 7061 636b 6167 6520 7b20 2779  {.  package { 'y
│ │ │ +00070450: 7073 6572 7627 3a0a 2020 2020 656e 7375  pserv':.    ensu
│ │ │ +00070460: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ +00070470: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │  00070480: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │  00070490: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │  000704a0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │  000704b0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │  000704c0: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │  000704d0: 3130 3139 2220 7461 6269 6e64 6578 3d22  1019" tabindex="
│ │ │  000704e0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ @@ -29136,97 +29136,97 @@
│ │ │  00071cf0: 6765 743d 2223 6964 6d32 3131 3337 2220  get="#idm21137" 
│ │ │  00071d00: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  00071d10: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  00071d20: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  00071d30: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  00071d40: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  00071d50: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00071d60: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -00071d70: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00071d80: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00071d90: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00071da0: 2069 643d 2269 646d 3231 3133 3722 3e3c   id="idm21137"><
│ │ │ -00071db0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00071dc0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -00071dd0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -00071de0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00071df0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -00071e00: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -00071e10: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00071e20: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -00071e30: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00071e40: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -00071e50: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -00071e60: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00071e70: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -00071e80: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -00071e90: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00071ea0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -00071eb0: 7265 6d6f 7665 5f72 7368 2d73 6572 7665  remove_rsh-serve
│ │ │ -00071ec0: 720a 0a63 6c61 7373 2072 656d 6f76 655f  r..class remove_
│ │ │ -00071ed0: 7273 682d 7365 7276 6572 207b 0a20 2070  rsh-server {.  p
│ │ │ -00071ee0: 6163 6b61 6765 207b 2027 7273 682d 7365  ackage { 'rsh-se
│ │ │ -00071ef0: 7276 6572 273a 0a20 2020 2065 6e73 7572  rver':.    ensur
│ │ │ -00071f00: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ -00071f10: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │ -00071f20: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -00071f30: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -00071f40: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -00071f50: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -00071f60: 612d 7461 7267 6574 3d22 2369 646d 3231  a-target="#idm21
│ │ │ -00071f70: 3133 3822 2074 6162 696e 6465 783d 2230  138" tabindex="0
│ │ │ -00071f80: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00071f90: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00071fa0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00071fb0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -00071fc0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00071fd0: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ -00071fe0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00071ff0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00072000: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -00072010: 6c61 7073 6522 2069 643d 2269 646d 3231  lapse" id="idm21
│ │ │ -00072020: 3133 3822 3e3c 7461 626c 6520 636c 6173  138"><table clas
│ │ │ -00072030: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -00072040: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -00072050: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -00072060: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00072070: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00072080: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00072090: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -000720a0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -000720b0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -000720c0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -000720d0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -000720e0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -000720f0: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ -00072100: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00072110: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ -00072120: 6e61 6d65 3a20 456e 7375 7265 2072 7368  name: Ensure rsh
│ │ │ -00072130: 2d73 6572 7665 7220 6973 2072 656d 6f76  -server is remov
│ │ │ -00072140: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ -00072150: 2020 6e61 6d65 3a20 7273 682d 7365 7276    name: rsh-serv
│ │ │ -00072160: 6572 0a20 2020 2073 7461 7465 3a20 6162  er.    state: ab
│ │ │ -00072170: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ -00072180: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -00072190: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ -000721a0: 302d 3533 2d43 4d2d 3728 6129 0a20 202d  0-53-CM-7(a).  -
│ │ │ -000721b0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -000721c0: 3728 6229 0a20 202d 204e 4953 542d 3830  7(b).  - NIST-80
│ │ │ -000721d0: 302d 3533 2d49 412d 3528 3129 2863 290a  0-53-IA-5(1)(c).
│ │ │ -000721e0: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ -000721f0: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ -00072200: 322e 322e 340a 2020 2d20 6469 7361 626c  2.2.4.  - disabl
│ │ │ -00072210: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ -00072220: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ -00072230: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00072240: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00072250: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ -00072260: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -00072270: 6167 655f 7273 682d 7365 7276 6572 5f72  age_rsh-server_r
│ │ │ -00072280: 656d 6f76 6564 0a3c 2f63 6f64 653e 3c2f  emoved.</code></
│ │ │ +00071d60: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +00071d70: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00071d80: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00071d90: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00071da0: 2220 6964 3d22 6964 6d32 3131 3337 223e  " id="idm21137">
│ │ │ +00071db0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00071dc0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00071dd0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00071de0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00071df0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00071e00: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00071e10: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00071e20: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00071e30: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00071e40: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00071e50: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00071e60: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00071e70: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00071e80: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +00071e90: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00071ea0: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +00071eb0: 2045 6e73 7572 6520 7273 682d 7365 7276   Ensure rsh-serv
│ │ │ +00071ec0: 6572 2069 7320 7265 6d6f 7665 640a 2020  er is removed.  
│ │ │ +00071ed0: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ +00071ee0: 653a 2072 7368 2d73 6572 7665 720a 2020  e: rsh-server.  
│ │ │ +00071ef0: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ +00071f00: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +00071f10: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +00071f20: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00071f30: 434d 2d37 2861 290a 2020 2d20 4e49 5354  CM-7(a).  - NIST
│ │ │ +00071f40: 2d38 3030 2d35 332d 434d 2d37 2862 290a  -800-53-CM-7(b).
│ │ │ +00071f50: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00071f60: 4941 2d35 2831 2928 6329 0a20 202d 2050  IA-5(1)(c).  - P
│ │ │ +00071f70: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ +00071f80: 2050 4349 2d44 5353 7634 2d32 2e32 2e34   PCI-DSSv4-2.2.4
│ │ │ +00071f90: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ +00071fa0: 6174 6567 790a 2020 2d20 6869 6768 5f73  ategy.  - high_s
│ │ │ +00071fb0: 6576 6572 6974 790a 2020 2d20 6c6f 775f  everity.  - low_
│ │ │ +00071fc0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +00071fd0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +00071fe0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +00071ff0: 6564 0a20 202d 2070 6163 6b61 6765 5f72  ed.  - package_r
│ │ │ +00072000: 7368 2d73 6572 7665 725f 7265 6d6f 7665  sh-server_remove
│ │ │ +00072010: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +00072020: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +00072030: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +00072040: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +00072050: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +00072060: 6574 3d22 2369 646d 3231 3133 3822 2074  et="#idm21138" t
│ │ │ +00072070: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +00072080: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +00072090: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +000720a0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +000720b0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +000720c0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +000720d0: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ +000720e0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +000720f0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00072100: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00072110: 6964 3d22 6964 6d32 3131 3338 223e 3c74  id="idm21138"><t
│ │ │ +00072120: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +00072130: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00072140: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +00072150: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00072160: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00072170: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00072180: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00072190: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +000721a0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +000721b0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +000721c0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +000721d0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +000721e0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +000721f0: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +00072200: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00072210: 3e3c 636f 6465 3e69 6e63 6c75 6465 2072  ><code>include r
│ │ │ +00072220: 656d 6f76 655f 7273 682d 7365 7276 6572  emove_rsh-server
│ │ │ +00072230: 0a0a 636c 6173 7320 7265 6d6f 7665 5f72  ..class remove_r
│ │ │ +00072240: 7368 2d73 6572 7665 7220 7b0a 2020 7061  sh-server {.  pa
│ │ │ +00072250: 636b 6167 6520 7b20 2772 7368 2d73 6572  ckage { 'rsh-ser
│ │ │ +00072260: 7665 7227 3a0a 2020 2020 656e 7375 7265  ver':.    ensure
│ │ │ +00072270: 203d 2667 743b 2027 7075 7267 6564 272c   =&gt; 'purged',
│ │ │ +00072280: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │  00072290: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │  000722a0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │  000722b0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │  000722c0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │  000722d0: 2d74 6172 6765 743d 2223 6964 6d32 3131  -target="#idm211
│ │ │  000722e0: 3339 2220 7461 6269 6e64 6578 3d22 3022  39" tabindex="0"
│ │ │  000722f0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ @@ -29454,90 +29454,90 @@
│ │ │  000730d0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  000730e0: 6d32 3131 3639 2220 7461 6269 6e64 6578  m21169" tabindex
│ │ │  000730f0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │  00073100: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │  00073110: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │  00073120: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │  00073130: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00073140: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -00073150: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00073160: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00073170: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00073180: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00073190: 3231 3136 3922 3e3c 7461 626c 6520 636c  21169"><table cl
│ │ │ -000731a0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -000731b0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -000731c0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -000731d0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -000731e0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -000731f0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00073200: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00073210: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00073220: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00073230: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00073240: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00073250: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00073260: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -00073270: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00073280: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00073290: 696e 636c 7564 6520 7265 6d6f 7665 5f72  include remove_r
│ │ │ -000732a0: 7368 0a0a 636c 6173 7320 7265 6d6f 7665  sh..class remove
│ │ │ -000732b0: 5f72 7368 207b 0a20 2070 6163 6b61 6765  _rsh {.  package
│ │ │ -000732c0: 207b 2027 7273 6827 3a0a 2020 2020 656e   { 'rsh':.    en
│ │ │ -000732d0: 7375 7265 203d 2667 743b 2027 7075 7267  sure =&gt; 'purg
│ │ │ -000732e0: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ -000732f0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -00073300: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -00073310: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -00073320: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -00073330: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -00073340: 6d32 3131 3730 2220 7461 6269 6e64 6578  m21170" tabindex
│ │ │ -00073350: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00073360: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00073370: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00073380: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00073390: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -000733a0: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -000733b0: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -000733c0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -000733d0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -000733e0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -000733f0: 6d32 3131 3730 223e 3c74 6162 6c65 2063  m21170"><table c
│ │ │ -00073400: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00073410: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00073420: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00073430: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00073440: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00073450: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00073460: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00073470: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00073480: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00073490: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -000734a0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -000734b0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -000734c0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -000734d0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -000734e0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -000734f0: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ -00073500: 7273 6820 6973 2072 656d 6f76 6564 0a20  rsh is removed. 
│ │ │ -00073510: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ -00073520: 6d65 3a20 7273 680a 2020 2020 7374 6174  me: rsh.    stat
│ │ │ -00073530: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ -00073540: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d31  :.  - NIST-800-1
│ │ │ -00073550: 3731 2d33 2e31 2e31 330a 2020 2d20 5043  71-3.1.13.  - PC
│ │ │ -00073560: 492d 4453 5376 342d 322e 320a 2020 2d20  I-DSSv4-2.2.  - 
│ │ │ -00073570: 5043 492d 4453 5376 342d 322e 322e 340a  PCI-DSSv4-2.2.4.
│ │ │ -00073580: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -00073590: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -000735a0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -000735b0: 6469 7372 7570 7469 6f6e 0a20 202d 206e  disruption.  - n
│ │ │ -000735c0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -000735d0: 2020 2d20 7061 636b 6167 655f 7273 685f    - package_rsh_
│ │ │ -000735e0: 7265 6d6f 7665 640a 2020 2d20 756e 6b6e  removed.  - unkn
│ │ │ -000735f0: 6f77 6e5f 7365 7665 7269 7479 0a3c 2f63  own_severity.</c
│ │ │ +00073140: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ +00073150: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ +00073160: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00073170: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00073180: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00073190: 6d32 3131 3639 223e 3c74 6162 6c65 2063  m21169"><table c
│ │ │ +000731a0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +000731b0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +000731c0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +000731d0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +000731e0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +000731f0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00073200: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00073210: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00073220: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00073230: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00073240: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00073250: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00073260: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +00073270: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00073280: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +00073290: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ +000732a0: 7273 6820 6973 2072 656d 6f76 6564 0a20  rsh is removed. 
│ │ │ +000732b0: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +000732c0: 6d65 3a20 7273 680a 2020 2020 7374 6174  me: rsh.    stat
│ │ │ +000732d0: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ +000732e0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d31  :.  - NIST-800-1
│ │ │ +000732f0: 3731 2d33 2e31 2e31 330a 2020 2d20 5043  71-3.1.13.  - PC
│ │ │ +00073300: 492d 4453 5376 342d 322e 320a 2020 2d20  I-DSSv4-2.2.  - 
│ │ │ +00073310: 5043 492d 4453 5376 342d 322e 322e 340a  PCI-DSSv4-2.2.4.
│ │ │ +00073320: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ +00073330: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +00073340: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +00073350: 6469 7372 7570 7469 6f6e 0a20 202d 206e  disruption.  - n
│ │ │ +00073360: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +00073370: 2020 2d20 7061 636b 6167 655f 7273 685f    - package_rsh_
│ │ │ +00073380: 7265 6d6f 7665 640a 2020 2d20 756e 6b6e  removed.  - unkn
│ │ │ +00073390: 6f77 6e5f 7365 7665 7269 7479 0a3c 2f63  own_severity.</c
│ │ │ +000733a0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +000733b0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +000733c0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +000733d0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +000733e0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +000733f0: 6964 6d32 3131 3730 2220 7461 6269 6e64  idm21170" tabind
│ │ │ +00073400: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +00073410: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +00073420: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +00073430: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +00073440: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +00073450: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ +00073460: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ +00073470: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00073480: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00073490: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +000734a0: 646d 3231 3137 3022 3e3c 7461 626c 6520  dm21170"><table 
│ │ │ +000734b0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +000734c0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +000734d0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +000734e0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +000734f0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +00073500: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00073510: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +00073520: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +00073530: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00073540: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +00073550: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +00073560: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +00073570: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +00073580: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +00073590: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +000735a0: 653e 696e 636c 7564 6520 7265 6d6f 7665  e>include remove
│ │ │ +000735b0: 5f72 7368 0a0a 636c 6173 7320 7265 6d6f  _rsh..class remo
│ │ │ +000735c0: 7665 5f72 7368 207b 0a20 2070 6163 6b61  ve_rsh {.  packa
│ │ │ +000735d0: 6765 207b 2027 7273 6827 3a0a 2020 2020  ge { 'rsh':.    
│ │ │ +000735e0: 656e 7375 7265 203d 2667 743b 2027 7075  ensure =&gt; 'pu
│ │ │ +000735f0: 7267 6564 272c 0a20 207d 0a7d 0a3c 2f63  rged',.  }.}.</c
│ │ │  00073600: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │  00073610: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │  00073620: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │  00073630: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │  00073640: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  00073650: 6964 6d32 3131 3731 2220 7461 6269 6e64  idm21171" tabind
│ │ │  00073660: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ @@ -29793,91 +29793,91 @@
│ │ │  00074600: 7461 7267 6574 3d22 2369 646d 3231 3330  target="#idm2130
│ │ │  00074610: 3622 2074 6162 696e 6465 783d 2230 2220  6" tabindex="0" 
│ │ │  00074620: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │  00074630: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │  00074640: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │  00074650: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │  00074660: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00074670: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -00074680: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00074690: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -000746a0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -000746b0: 7365 2220 6964 3d22 6964 6d32 3133 3036  se" id="idm21306
│ │ │ -000746c0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -000746d0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -000746e0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -000746f0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00074700: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00074710: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00074720: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00074730: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00074740: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00074750: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00074760: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00074770: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00074780: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00074790: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -000747a0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -000747b0: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ -000747c0: 6465 2072 656d 6f76 655f 7461 6c6b 2d73  de remove_talk-s
│ │ │ -000747d0: 6572 7665 720a 0a63 6c61 7373 2072 656d  erver..class rem
│ │ │ -000747e0: 6f76 655f 7461 6c6b 2d73 6572 7665 7220  ove_talk-server 
│ │ │ -000747f0: 7b0a 2020 7061 636b 6167 6520 7b20 2774  {.  package { 't
│ │ │ -00074800: 616c 6b2d 7365 7276 6572 273a 0a20 2020  alk-server':.   
│ │ │ -00074810: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ -00074820: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │ -00074830: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00074840: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00074850: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00074860: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00074870: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00074880: 2369 646d 3231 3330 3722 2074 6162 696e  #idm21307" tabin
│ │ │ -00074890: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -000748a0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -000748b0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -000748c0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -000748d0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -000748e0: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -000748f0: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -00074900: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00074910: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00074920: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00074930: 2269 646d 3231 3330 3722 3e3c 7461 626c  "idm21307"><tabl
│ │ │ -00074940: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00074950: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00074960: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00074970: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00074980: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00074990: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -000749a0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -000749b0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -000749c0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -000749d0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -000749e0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -000749f0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00074a00: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00074a10: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -00074a20: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00074a30: 6f64 653e 2d20 6e61 6d65 3a20 456e 7375  ode>- name: Ensu
│ │ │ -00074a40: 7265 2074 616c 6b2d 7365 7276 6572 2069  re talk-server i
│ │ │ -00074a50: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ -00074a60: 6167 653a 0a20 2020 206e 616d 653a 2074  age:.    name: t
│ │ │ -00074a70: 616c 6b2d 7365 7276 6572 0a20 2020 2073  alk-server.    s
│ │ │ -00074a80: 7461 7465 3a20 6162 7365 6e74 0a20 2074  tate: absent.  t
│ │ │ -00074a90: 6167 733a 0a20 202d 2050 4349 2d44 5353  ags:.  - PCI-DSS
│ │ │ -00074aa0: 7634 2d32 2e32 0a20 202d 2050 4349 2d44  v4-2.2.  - PCI-D
│ │ │ -00074ab0: 5353 7634 2d32 2e32 2e34 0a20 202d 2064  SSv4-2.2.4.  - d
│ │ │ -00074ac0: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ -00074ad0: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -00074ae0: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -00074af0: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ -00074b00: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ -00074b10: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -00074b20: 202d 2070 6163 6b61 6765 5f74 616c 6b2d   - package_talk-
│ │ │ -00074b30: 7365 7276 6572 5f72 656d 6f76 6564 0a3c  server_removed.<
│ │ │ +00074670: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ +00074680: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00074690: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +000746a0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +000746b0: 7073 6522 2069 643d 2269 646d 3231 3330  pse" id="idm2130
│ │ │ +000746c0: 3622 3e3c 7461 626c 6520 636c 6173 733d  6"><table class=
│ │ │ +000746d0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +000746e0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +000746f0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00074700: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +00074710: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +00074720: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00074730: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +00074740: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00074750: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00074760: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00074770: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00074780: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00074790: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +000747a0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +000747b0: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +000747c0: 6d65 3a20 456e 7375 7265 2074 616c 6b2d  me: Ensure talk-
│ │ │ +000747d0: 7365 7276 6572 2069 7320 7265 6d6f 7665  server is remove
│ │ │ +000747e0: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ +000747f0: 206e 616d 653a 2074 616c 6b2d 7365 7276   name: talk-serv
│ │ │ +00074800: 6572 0a20 2020 2073 7461 7465 3a20 6162  er.    state: ab
│ │ │ +00074810: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ +00074820: 2050 4349 2d44 5353 7634 2d32 2e32 0a20   PCI-DSSv4-2.2. 
│ │ │ +00074830: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +00074840: 2e34 0a20 202d 2064 6973 6162 6c65 5f73  .4.  - disable_s
│ │ │ +00074850: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +00074860: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +00074870: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +00074880: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ +00074890: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +000748a0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ +000748b0: 6765 5f74 616c 6b2d 7365 7276 6572 5f72  ge_talk-server_r
│ │ │ +000748c0: 656d 6f76 6564 0a3c 2f63 6f64 653e 3c2f  emoved.</code></
│ │ │ +000748d0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +000748e0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +000748f0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00074900: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00074910: 2d74 6172 6765 743d 2223 6964 6d32 3133  -target="#idm213
│ │ │ +00074920: 3037 2220 7461 6269 6e64 6578 3d22 3022  07" tabindex="0"
│ │ │ +00074930: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +00074940: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +00074950: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +00074960: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +00074970: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +00074980: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ +00074990: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +000749a0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +000749b0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +000749c0: 7073 6522 2069 643d 2269 646d 3231 3330  pse" id="idm2130
│ │ │ +000749d0: 3722 3e3c 7461 626c 6520 636c 6173 733d  7"><table class=
│ │ │ +000749e0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +000749f0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +00074a00: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00074a10: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +00074a20: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +00074a30: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00074a40: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +00074a50: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00074a60: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00074a70: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00074a80: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00074a90: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00074aa0: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +00074ab0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00074ac0: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ +00074ad0: 7564 6520 7265 6d6f 7665 5f74 616c 6b2d  ude remove_talk-
│ │ │ +00074ae0: 7365 7276 6572 0a0a 636c 6173 7320 7265  server..class re
│ │ │ +00074af0: 6d6f 7665 5f74 616c 6b2d 7365 7276 6572  move_talk-server
│ │ │ +00074b00: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +00074b10: 7461 6c6b 2d73 6572 7665 7227 3a0a 2020  talk-server':.  
│ │ │ +00074b20: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +00074b30: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │  00074b40: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  00074b50: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │  00074b60: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │  00074b70: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │  00074b80: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  00074b90: 2223 6964 6d32 3133 3038 2220 7461 6269  "#idm21308" tabi
│ │ │  00074ba0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ @@ -30092,89 +30092,89 @@
│ │ │  000758b0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  000758c0: 2369 646d 3231 3333 3022 2074 6162 696e  #idm21330" tabin
│ │ │  000758d0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  000758e0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  000758f0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  00075900: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  00075910: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00075920: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ -00075930: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ -00075940: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00075950: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00075960: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00075970: 6964 6d32 3133 3330 223e 3c74 6162 6c65  idm21330"><table
│ │ │ -00075980: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -00075990: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -000759a0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -000759b0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -000759c0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -000759d0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -000759e0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -000759f0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -00075a00: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00075a10: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -00075a20: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -00075a30: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -00075a40: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ -00075a50: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ -00075a60: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00075a70: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ -00075a80: 655f 7461 6c6b 0a0a 636c 6173 7320 7265  e_talk..class re
│ │ │ -00075a90: 6d6f 7665 5f74 616c 6b20 7b0a 2020 7061  move_talk {.  pa
│ │ │ -00075aa0: 636b 6167 6520 7b20 2774 616c 6b27 3a0a  ckage { 'talk':.
│ │ │ -00075ab0: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ -00075ac0: 2027 7075 7267 6564 272c 0a20 207d 0a7d   'purged',.  }.}
│ │ │ -00075ad0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -00075ae0: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -00075af0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -00075b00: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -00075b10: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -00075b20: 743d 2223 6964 6d32 3133 3331 2220 7461  t="#idm21331" ta
│ │ │ -00075b30: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -00075b40: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -00075b50: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -00075b60: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -00075b70: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -00075b80: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00075b90: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ -00075ba0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00075bb0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00075bc0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00075bd0: 6964 3d22 6964 6d32 3133 3331 223e 3c74  id="idm21331"><t
│ │ │ -00075be0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -00075bf0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -00075c00: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -00075c10: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -00075c20: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -00075c30: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -00075c40: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00075c50: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -00075c60: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00075c70: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -00075c80: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00075c90: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00075ca0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -00075cb0: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -00075cc0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -00075cd0: 3e3c 636f 6465 3e2d 206e 616d 653a 2045  ><code>- name: E
│ │ │ -00075ce0: 6e73 7572 6520 7461 6c6b 2069 7320 7265  nsure talk is re
│ │ │ -00075cf0: 6d6f 7665 640a 2020 7061 636b 6167 653a  moved.  package:
│ │ │ -00075d00: 0a20 2020 206e 616d 653a 2074 616c 6b0a  .    name: talk.
│ │ │ -00075d10: 2020 2020 7374 6174 653a 2061 6273 656e      state: absen
│ │ │ -00075d20: 740a 2020 7461 6773 3a0a 2020 2d20 5043  t.  tags:.  - PC
│ │ │ -00075d30: 492d 4453 5376 342d 322e 320a 2020 2d20  I-DSSv4-2.2.  - 
│ │ │ -00075d40: 5043 492d 4453 5376 342d 322e 322e 340a  PCI-DSSv4-2.2.4.
│ │ │ -00075d50: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -00075d60: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -00075d70: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -00075d80: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ -00075d90: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ -00075da0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -00075db0: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ -00075dc0: 7461 6c6b 5f72 656d 6f76 6564 0a3c 2f63  talk_removed.</c
│ │ │ +00075920: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +00075930: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +00075940: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00075950: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00075960: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00075970: 2269 646d 3231 3333 3022 3e3c 7461 626c  "idm21330"><tabl
│ │ │ +00075980: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +00075990: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +000759a0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +000759b0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +000759c0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +000759d0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +000759e0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +000759f0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +00075a00: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00075a10: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +00075a20: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +00075a30: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +00075a40: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00075a50: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +00075a60: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00075a70: 6f64 653e 2d20 6e61 6d65 3a20 456e 7375  ode>- name: Ensu
│ │ │ +00075a80: 7265 2074 616c 6b20 6973 2072 656d 6f76  re talk is remov
│ │ │ +00075a90: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +00075aa0: 2020 6e61 6d65 3a20 7461 6c6b 0a20 2020    name: talk.   
│ │ │ +00075ab0: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ +00075ac0: 2074 6167 733a 0a20 202d 2050 4349 2d44   tags:.  - PCI-D
│ │ │ +00075ad0: 5353 7634 2d32 2e32 0a20 202d 2050 4349  SSv4-2.2.  - PCI
│ │ │ +00075ae0: 2d44 5353 7634 2d32 2e32 2e34 0a20 202d  -DSSv4-2.2.4.  -
│ │ │ +00075af0: 2064 6973 6162 6c65 5f73 7472 6174 6567   disable_strateg
│ │ │ +00075b00: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00075b10: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00075b20: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +00075b30: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +00075b40: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +00075b50: 0a20 202d 2070 6163 6b61 6765 5f74 616c  .  - package_tal
│ │ │ +00075b60: 6b5f 7265 6d6f 7665 640a 3c2f 636f 6465  k_removed.</code
│ │ │ +00075b70: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +00075b80: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +00075b90: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +00075ba0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +00075bb0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +00075bc0: 3231 3333 3122 2074 6162 696e 6465 783d  21331" tabindex=
│ │ │ +00075bd0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00075be0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00075bf0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +00075c00: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +00075c10: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +00075c20: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ +00075c30: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00075c40: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00075c50: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00075c60: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ +00075c70: 3133 3331 223e 3c74 6162 6c65 2063 6c61  1331"><table cla
│ │ │ +00075c80: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +00075c90: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +00075ca0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +00075cb0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +00075cc0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +00075cd0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00075ce0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +00075cf0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +00075d00: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00075d10: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +00075d20: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +00075d30: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +00075d40: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ +00075d50: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +00075d60: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ +00075d70: 6e63 6c75 6465 2072 656d 6f76 655f 7461  nclude remove_ta
│ │ │ +00075d80: 6c6b 0a0a 636c 6173 7320 7265 6d6f 7665  lk..class remove
│ │ │ +00075d90: 5f74 616c 6b20 7b0a 2020 7061 636b 6167  _talk {.  packag
│ │ │ +00075da0: 6520 7b20 2774 616c 6b27 3a0a 2020 2020  e { 'talk':.    
│ │ │ +00075db0: 656e 7375 7265 203d 2667 743b 2027 7075  ensure =&gt; 'pu
│ │ │ +00075dc0: 7267 6564 272c 0a20 207d 0a7d 0a3c 2f63  rged',.  }.}.</c
│ │ │  00075dd0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │  00075de0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │  00075df0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │  00075e00: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │  00075e10: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  00075e20: 6964 6d32 3133 3332 2220 7461 6269 6e64  idm21332" tabind
│ │ │  00075e30: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ @@ -30593,98 +30593,98 @@
│ │ │  00077800: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  00077810: 6d32 3134 3531 2220 7461 6269 6e64 6578  m21451" tabindex
│ │ │  00077820: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │  00077830: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │  00077840: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │  00077850: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │  00077860: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00077870: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -00077880: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00077890: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -000778a0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -000778b0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -000778c0: 3231 3435 3122 3e3c 7461 626c 6520 636c  21451"><table cl
│ │ │ -000778d0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -000778e0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -000778f0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00077900: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00077910: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00077920: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00077930: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00077940: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00077950: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00077960: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00077970: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00077980: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00077990: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -000779a0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -000779b0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -000779c0: 696e 636c 7564 6520 7265 6d6f 7665 5f74  include remove_t
│ │ │ -000779d0: 656c 6e65 742d 7365 7276 6572 0a0a 636c  elnet-server..cl
│ │ │ -000779e0: 6173 7320 7265 6d6f 7665 5f74 656c 6e65  ass remove_telne
│ │ │ -000779f0: 742d 7365 7276 6572 207b 0a20 2070 6163  t-server {.  pac
│ │ │ -00077a00: 6b61 6765 207b 2027 7465 6c6e 6574 2d73  kage { 'telnet-s
│ │ │ -00077a10: 6572 7665 7227 3a0a 2020 2020 656e 7375  erver':.    ensu
│ │ │ -00077a20: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ -00077a30: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -00077a40: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00077a50: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -00077a60: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -00077a70: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -00077a80: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ -00077a90: 3134 3532 2220 7461 6269 6e64 6578 3d22  1452" tabindex="
│ │ │ -00077aa0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -00077ab0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -00077ac0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -00077ad0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -00077ae0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00077af0: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -00077b00: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00077b10: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00077b20: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00077b30: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -00077b40: 3134 3532 223e 3c74 6162 6c65 2063 6c61  1452"><table cla
│ │ │ -00077b50: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00077b60: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00077b70: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00077b80: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00077b90: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00077ba0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00077bb0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00077bc0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00077bd0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00077be0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00077bf0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00077c00: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00077c10: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -00077c20: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00077c30: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -00077c40: 206e 616d 653a 2045 6e73 7572 6520 7465   name: Ensure te
│ │ │ -00077c50: 6c6e 6574 2d73 6572 7665 7220 6973 2072  lnet-server is r
│ │ │ -00077c60: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ -00077c70: 3a0a 2020 2020 6e61 6d65 3a20 7465 6c6e  :.    name: teln
│ │ │ -00077c80: 6574 2d73 6572 7665 720a 2020 2020 7374  et-server.    st
│ │ │ -00077c90: 6174 653a 2061 6273 656e 740a 2020 7461  ate: absent.  ta
│ │ │ -00077ca0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ -00077cb0: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ -00077cc0: 4e49 5354 2d38 3030 2d35 332d 434d 2d37  NIST-800-53-CM-7
│ │ │ -00077cd0: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ -00077ce0: 2d35 332d 434d 2d37 2862 290a 2020 2d20  -53-CM-7(b).  - 
│ │ │ -00077cf0: 5043 492d 4453 532d 5265 712d 322e 322e  PCI-DSS-Req-2.2.
│ │ │ -00077d00: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ -00077d10: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ -00077d20: 342d 322e 322e 340a 2020 2d20 6469 7361  4-2.2.4.  - disa
│ │ │ -00077d30: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -00077d40: 2068 6967 685f 7365 7665 7269 7479 0a20   high_severity. 
│ │ │ -00077d50: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -00077d60: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -00077d70: 7469 6f6e 0a20 202d 206e 6f5f 7265 626f  tion.  - no_rebo
│ │ │ -00077d80: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -00077d90: 636b 6167 655f 7465 6c6e 6574 2d73 6572  ckage_telnet-ser
│ │ │ -00077da0: 7665 725f 7265 6d6f 7665 640a 3c2f 636f  ver_removed.</co
│ │ │ +00077870: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ +00077880: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ +00077890: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +000778a0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +000778b0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +000778c0: 6d32 3134 3531 223e 3c74 6162 6c65 2063  m21451"><table c
│ │ │ +000778d0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +000778e0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +000778f0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00077900: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00077910: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00077920: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00077930: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00077940: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00077950: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00077960: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00077970: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00077980: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00077990: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +000779a0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +000779b0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +000779c0: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ +000779d0: 7465 6c6e 6574 2d73 6572 7665 7220 6973  telnet-server is
│ │ │ +000779e0: 2072 656d 6f76 6564 0a20 2070 6163 6b61   removed.  packa
│ │ │ +000779f0: 6765 3a0a 2020 2020 6e61 6d65 3a20 7465  ge:.    name: te
│ │ │ +00077a00: 6c6e 6574 2d73 6572 7665 720a 2020 2020  lnet-server.    
│ │ │ +00077a10: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ +00077a20: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +00077a30: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +00077a40: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +00077a50: 2d37 2861 290a 2020 2d20 4e49 5354 2d38  -7(a).  - NIST-8
│ │ │ +00077a60: 3030 2d35 332d 434d 2d37 2862 290a 2020  00-53-CM-7(b).  
│ │ │ +00077a70: 2d20 5043 492d 4453 532d 5265 712d 322e  - PCI-DSS-Req-2.
│ │ │ +00077a80: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ +00077a90: 342d 322e 320a 2020 2d20 5043 492d 4453  4-2.2.  - PCI-DS
│ │ │ +00077aa0: 5376 342d 322e 322e 340a 2020 2d20 6469  Sv4-2.2.4.  - di
│ │ │ +00077ab0: 7361 626c 655f 7374 7261 7465 6779 0a20  sable_strategy. 
│ │ │ +00077ac0: 202d 2068 6967 685f 7365 7665 7269 7479   - high_severity
│ │ │ +00077ad0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +00077ae0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +00077af0: 7570 7469 6f6e 0a20 202d 206e 6f5f 7265  uption.  - no_re
│ │ │ +00077b00: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +00077b10: 7061 636b 6167 655f 7465 6c6e 6574 2d73  package_telnet-s
│ │ │ +00077b20: 6572 7665 725f 7265 6d6f 7665 640a 3c2f  erver_removed.</
│ │ │ +00077b30: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00077b40: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00077b50: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00077b60: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00077b70: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +00077b80: 2369 646d 3231 3435 3222 2074 6162 696e  #idm21452" tabin
│ │ │ +00077b90: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00077ba0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00077bb0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00077bc0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00077bd0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00077be0: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +00077bf0: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +00077c00: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00077c10: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00077c20: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00077c30: 6964 6d32 3134 3532 223e 3c74 6162 6c65  idm21452"><table
│ │ │ +00077c40: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00077c50: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00077c60: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00077c70: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00077c80: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00077c90: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00077ca0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00077cb0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00077cc0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00077cd0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00077ce0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00077cf0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00077d00: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +00077d10: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +00077d20: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00077d30: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ +00077d40: 655f 7465 6c6e 6574 2d73 6572 7665 720a  e_telnet-server.
│ │ │ +00077d50: 0a63 6c61 7373 2072 656d 6f76 655f 7465  .class remove_te
│ │ │ +00077d60: 6c6e 6574 2d73 6572 7665 7220 7b0a 2020  lnet-server {.  
│ │ │ +00077d70: 7061 636b 6167 6520 7b20 2774 656c 6e65  package { 'telne
│ │ │ +00077d80: 742d 7365 7276 6572 273a 0a20 2020 2065  t-server':.    e
│ │ │ +00077d90: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ +00077da0: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │  00077db0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  00077dc0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │  00077dd0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │  00077de0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │  00077df0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  00077e00: 646d 3231 3435 3322 2074 6162 696e 6465  dm21453" tabinde
│ │ │  00077e10: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ @@ -30904,91 +30904,91 @@
│ │ │  00078b70: 2d74 6172 6765 743d 2223 6964 6d32 3134  -target="#idm214
│ │ │  00078b80: 3830 2220 7461 6269 6e64 6578 3d22 3022  80" tabindex="0"
│ │ │  00078b90: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  00078ba0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  00078bb0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  00078bc0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  00078bd0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00078be0: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -00078bf0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00078c00: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00078c10: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00078c20: 7073 6522 2069 643d 2269 646d 3231 3438  pse" id="idm2148
│ │ │ -00078c30: 3022 3e3c 7461 626c 6520 636c 6173 733d  0"><table class=
│ │ │ -00078c40: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -00078c50: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -00078c60: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -00078c70: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -00078c80: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -00078c90: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00078ca0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -00078cb0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00078cc0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00078cd0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00078ce0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00078cf0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00078d00: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -00078d10: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -00078d20: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ -00078d30: 7564 6520 7265 6d6f 7665 5f74 656c 6e65  ude remove_telne
│ │ │ -00078d40: 740a 0a63 6c61 7373 2072 656d 6f76 655f  t..class remove_
│ │ │ -00078d50: 7465 6c6e 6574 207b 0a20 2070 6163 6b61  telnet {.  packa
│ │ │ -00078d60: 6765 207b 2027 7465 6c6e 6574 273a 0a20  ge { 'telnet':. 
│ │ │ -00078d70: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -00078d80: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │ -00078d90: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00078da0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00078db0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00078dc0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00078dd0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00078de0: 3d22 2369 646d 3231 3438 3122 2074 6162  ="#idm21481" tab
│ │ │ -00078df0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -00078e00: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -00078e10: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -00078e20: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -00078e30: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -00078e40: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ -00078e50: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ -00078e60: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00078e70: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00078e80: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00078e90: 643d 2269 646d 3231 3438 3122 3e3c 7461  d="idm21481"><ta
│ │ │ -00078ea0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00078eb0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00078ec0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00078ed0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00078ee0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -00078ef0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -00078f00: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00078f10: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -00078f20: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00078f30: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -00078f40: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -00078f50: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00078f60: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -00078f70: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -00078f80: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00078f90: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ -00078fa0: 7375 7265 2074 656c 6e65 7420 6973 2072  sure telnet is r
│ │ │ -00078fb0: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ -00078fc0: 3a0a 2020 2020 6e61 6d65 3a20 7465 6c6e  :.    name: teln
│ │ │ -00078fd0: 6574 0a20 2020 2073 7461 7465 3a20 6162  et.    state: ab
│ │ │ -00078fe0: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ -00078ff0: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ -00079000: 312e 3133 0a20 202d 2050 4349 2d44 5353  1.13.  - PCI-DSS
│ │ │ -00079010: 7634 2d32 2e32 0a20 202d 2050 4349 2d44  v4-2.2.  - PCI-D
│ │ │ -00079020: 5353 7634 2d32 2e32 2e34 0a20 202d 2064  SSv4-2.2.4.  - d
│ │ │ -00079030: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ -00079040: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -00079050: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -00079060: 7074 696f 6e0a 2020 2d20 6c6f 775f 7365  ption.  - low_se
│ │ │ -00079070: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ -00079080: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -00079090: 7061 636b 6167 655f 7465 6c6e 6574 5f72  package_telnet_r
│ │ │ -000790a0: 656d 6f76 6564 0a3c 2f63 6f64 653e 3c2f  emoved.</code></
│ │ │ +00078be0: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +00078bf0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00078c00: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00078c10: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00078c20: 6170 7365 2220 6964 3d22 6964 6d32 3134  apse" id="idm214
│ │ │ +00078c30: 3830 223e 3c74 6162 6c65 2063 6c61 7373  80"><table class
│ │ │ +00078c40: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00078c50: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00078c60: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +00078c70: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00078c80: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00078c90: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00078ca0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00078cb0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00078cc0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00078cd0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00078ce0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00078cf0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00078d00: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +00078d10: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00078d20: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +00078d30: 616d 653a 2045 6e73 7572 6520 7465 6c6e  ame: Ensure teln
│ │ │ +00078d40: 6574 2069 7320 7265 6d6f 7665 640a 2020  et is removed.  
│ │ │ +00078d50: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ +00078d60: 653a 2074 656c 6e65 740a 2020 2020 7374  e: telnet.    st
│ │ │ +00078d70: 6174 653a 2061 6273 656e 740a 2020 7461  ate: absent.  ta
│ │ │ +00078d80: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +00078d90: 2d31 3731 2d33 2e31 2e31 330a 2020 2d20  -171-3.1.13.  - 
│ │ │ +00078da0: 5043 492d 4453 5376 342d 322e 320a 2020  PCI-DSSv4-2.2.  
│ │ │ +00078db0: 2d20 5043 492d 4453 5376 342d 322e 322e  - PCI-DSSv4-2.2.
│ │ │ +00078dc0: 340a 2020 2d20 6469 7361 626c 655f 7374  4.  - disable_st
│ │ │ +00078dd0: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +00078de0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +00078df0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +00078e00: 206c 6f77 5f73 6576 6572 6974 790a 2020   low_severity.  
│ │ │ +00078e10: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +00078e20: 6564 0a20 202d 2070 6163 6b61 6765 5f74  ed.  - package_t
│ │ │ +00078e30: 656c 6e65 745f 7265 6d6f 7665 640a 3c2f  elnet_removed.</
│ │ │ +00078e40: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00078e50: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00078e60: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00078e70: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00078e80: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +00078e90: 2369 646d 3231 3438 3122 2074 6162 696e  #idm21481" tabin
│ │ │ +00078ea0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00078eb0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00078ec0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00078ed0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00078ee0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00078ef0: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +00078f00: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +00078f10: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00078f20: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00078f30: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00078f40: 6964 6d32 3134 3831 223e 3c74 6162 6c65  idm21481"><table
│ │ │ +00078f50: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00078f60: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00078f70: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00078f80: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00078f90: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00078fa0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00078fb0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00078fc0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00078fd0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00078fe0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00078ff0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00079000: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00079010: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +00079020: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +00079030: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00079040: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ +00079050: 655f 7465 6c6e 6574 0a0a 636c 6173 7320  e_telnet..class 
│ │ │ +00079060: 7265 6d6f 7665 5f74 656c 6e65 7420 7b0a  remove_telnet {.
│ │ │ +00079070: 2020 7061 636b 6167 6520 7b20 2774 656c    package { 'tel
│ │ │ +00079080: 6e65 7427 3a0a 2020 2020 656e 7375 7265  net':.    ensure
│ │ │ +00079090: 203d 2667 743b 2027 7075 7267 6564 272c   =&gt; 'purged',
│ │ │ +000790a0: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │  000790b0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │  000790c0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │  000790d0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │  000790e0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │  000790f0: 2d74 6172 6765 743d 2223 6964 6d32 3134  -target="#idm214
│ │ │  00079100: 3832 2220 7461 6269 6e64 6578 3d22 3022  82" tabindex="0"
│ │ │  00079110: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ @@ -31372,96 +31372,96 @@
│ │ │  0007a8b0: 6765 743d 2223 6964 6d32 3135 3934 2220  get="#idm21594" 
│ │ │  0007a8c0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  0007a8d0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  0007a8e0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  0007a8f0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  0007a900: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  0007a910: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0007a920: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -0007a930: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -0007a940: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -0007a950: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -0007a960: 2069 643d 2269 646d 3231 3539 3422 3e3c   id="idm21594"><
│ │ │ -0007a970: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -0007a980: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -0007a990: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -0007a9a0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -0007a9b0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -0007a9c0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -0007a9d0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0007a9e0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -0007a9f0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0007aa00: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -0007aa10: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -0007aa20: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0007aa30: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -0007aa40: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -0007aa50: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -0007aa60: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -0007aa70: 7265 6d6f 7665 5f74 6674 702d 7365 7276  remove_tftp-serv
│ │ │ -0007aa80: 6572 0a0a 636c 6173 7320 7265 6d6f 7665  er..class remove
│ │ │ -0007aa90: 5f74 6674 702d 7365 7276 6572 207b 0a20  _tftp-server {. 
│ │ │ -0007aaa0: 2070 6163 6b61 6765 207b 2027 7466 7470   package { 'tftp
│ │ │ -0007aab0: 2d73 6572 7665 7227 3a0a 2020 2020 656e  -server':.    en
│ │ │ -0007aac0: 7375 7265 203d 2667 743b 2027 7075 7267  sure =&gt; 'purg
│ │ │ -0007aad0: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ -0007aae0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -0007aaf0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -0007ab00: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -0007ab10: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -0007ab20: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -0007ab30: 6d32 3135 3935 2220 7461 6269 6e64 6578  m21595" tabindex
│ │ │ -0007ab40: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -0007ab50: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -0007ab60: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -0007ab70: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -0007ab80: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -0007ab90: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -0007aba0: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -0007abb0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0007abc0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0007abd0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0007abe0: 6d32 3135 3935 223e 3c74 6162 6c65 2063  m21595"><table c
│ │ │ -0007abf0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -0007ac00: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -0007ac10: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -0007ac20: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -0007ac30: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -0007ac40: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0007ac50: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -0007ac60: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -0007ac70: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0007ac80: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -0007ac90: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -0007aca0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -0007acb0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -0007acc0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0007acd0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0007ace0: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ -0007acf0: 7466 7470 2d73 6572 7665 7220 6973 2072  tftp-server is r
│ │ │ -0007ad00: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ -0007ad10: 3a0a 2020 2020 6e61 6d65 3a20 7466 7470  :.    name: tftp
│ │ │ -0007ad20: 2d73 6572 7665 720a 2020 2020 7374 6174  -server.    stat
│ │ │ -0007ad30: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ -0007ad40: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -0007ad50: 332d 434d 2d36 2861 290a 2020 2d20 4e49  3-CM-6(a).  - NI
│ │ │ -0007ad60: 5354 2d38 3030 2d35 332d 434d 2d37 2861  ST-800-53-CM-7(a
│ │ │ -0007ad70: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -0007ad80: 332d 434d 2d37 2862 290a 2020 2d20 5043  3-CM-7(b).  - PC
│ │ │ -0007ad90: 492d 4453 5376 342d 322e 320a 2020 2d20  I-DSSv4-2.2.  - 
│ │ │ -0007ada0: 5043 492d 4453 5376 342d 322e 322e 340a  PCI-DSSv4-2.2.4.
│ │ │ -0007adb0: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -0007adc0: 7465 6779 0a20 202d 2068 6967 685f 7365  tegy.  - high_se
│ │ │ -0007add0: 7665 7269 7479 0a20 202d 206c 6f77 5f63  verity.  - low_c
│ │ │ -0007ade0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -0007adf0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -0007ae00: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -0007ae10: 640a 2020 2d20 7061 636b 6167 655f 7466  d.  - package_tf
│ │ │ -0007ae20: 7470 2d73 6572 7665 725f 7265 6d6f 7665  tp-server_remove
│ │ │ -0007ae30: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +0007a920: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +0007a930: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +0007a940: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +0007a950: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +0007a960: 2220 6964 3d22 6964 6d32 3135 3934 223e  " id="idm21594">
│ │ │ +0007a970: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +0007a980: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +0007a990: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +0007a9a0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +0007a9b0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +0007a9c0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +0007a9d0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0007a9e0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +0007a9f0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0007aa00: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +0007aa10: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +0007aa20: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +0007aa30: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +0007aa40: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +0007aa50: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +0007aa60: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +0007aa70: 2045 6e73 7572 6520 7466 7470 2d73 6572   Ensure tftp-ser
│ │ │ +0007aa80: 7665 7220 6973 2072 656d 6f76 6564 0a20  ver is removed. 
│ │ │ +0007aa90: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +0007aaa0: 6d65 3a20 7466 7470 2d73 6572 7665 720a  me: tftp-server.
│ │ │ +0007aab0: 2020 2020 7374 6174 653a 2061 6273 656e      state: absen
│ │ │ +0007aac0: 740a 2020 7461 6773 3a0a 2020 2d20 4e49  t.  tags:.  - NI
│ │ │ +0007aad0: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +0007aae0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +0007aaf0: 332d 434d 2d37 2861 290a 2020 2d20 4e49  3-CM-7(a).  - NI
│ │ │ +0007ab00: 5354 2d38 3030 2d35 332d 434d 2d37 2862  ST-800-53-CM-7(b
│ │ │ +0007ab10: 290a 2020 2d20 5043 492d 4453 5376 342d  ).  - PCI-DSSv4-
│ │ │ +0007ab20: 322e 320a 2020 2d20 5043 492d 4453 5376  2.2.  - PCI-DSSv
│ │ │ +0007ab30: 342d 322e 322e 340a 2020 2d20 6469 7361  4-2.2.4.  - disa
│ │ │ +0007ab40: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +0007ab50: 2068 6967 685f 7365 7665 7269 7479 0a20   high_severity. 
│ │ │ +0007ab60: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +0007ab70: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +0007ab80: 7469 6f6e 0a20 202d 206e 6f5f 7265 626f  tion.  - no_rebo
│ │ │ +0007ab90: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ +0007aba0: 636b 6167 655f 7466 7470 2d73 6572 7665  ckage_tftp-serve
│ │ │ +0007abb0: 725f 7265 6d6f 7665 640a 3c2f 636f 6465  r_removed.</code
│ │ │ +0007abc0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +0007abd0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +0007abe0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +0007abf0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +0007ac00: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +0007ac10: 3231 3539 3522 2074 6162 696e 6465 783d  21595" tabindex=
│ │ │ +0007ac20: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +0007ac30: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +0007ac40: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +0007ac50: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +0007ac60: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +0007ac70: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ +0007ac80: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +0007ac90: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +0007aca0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +0007acb0: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ +0007acc0: 3135 3935 223e 3c74 6162 6c65 2063 6c61  1595"><table cla
│ │ │ +0007acd0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +0007ace0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +0007acf0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +0007ad00: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +0007ad10: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +0007ad20: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0007ad30: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +0007ad40: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +0007ad50: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0007ad60: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +0007ad70: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +0007ad80: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +0007ad90: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ +0007ada0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +0007adb0: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ +0007adc0: 6e63 6c75 6465 2072 656d 6f76 655f 7466  nclude remove_tf
│ │ │ +0007add0: 7470 2d73 6572 7665 720a 0a63 6c61 7373  tp-server..class
│ │ │ +0007ade0: 2072 656d 6f76 655f 7466 7470 2d73 6572   remove_tftp-ser
│ │ │ +0007adf0: 7665 7220 7b0a 2020 7061 636b 6167 6520  ver {.  package 
│ │ │ +0007ae00: 7b20 2774 6674 702d 7365 7276 6572 273a  { 'tftp-server':
│ │ │ +0007ae10: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +0007ae20: 3b20 2770 7572 6765 6427 2c0a 2020 7d0a  ; 'purged',.  }.
│ │ │ +0007ae30: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │  0007ae40: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │  0007ae50: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │  0007ae60: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │  0007ae70: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │  0007ae80: 6574 3d22 2369 646d 3231 3539 3622 2074  et="#idm21596" t
│ │ │  0007ae90: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  0007aea0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ @@ -31671,88 +31671,88 @@
│ │ │  0007bb60: 743d 2223 6964 6d32 3136 3132 2220 7461  t="#idm21612" ta
│ │ │  0007bb70: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  0007bb80: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │  0007bb90: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │  0007bba0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │  0007bbb0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │  0007bbc0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -0007bbd0: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ -0007bbe0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -0007bbf0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -0007bc00: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -0007bc10: 643d 2269 646d 3231 3631 3222 3e3c 7461  d="idm21612"><ta
│ │ │ -0007bc20: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -0007bc30: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -0007bc40: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -0007bc50: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -0007bc60: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -0007bc70: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -0007bc80: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0007bc90: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -0007bca0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0007bcb0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -0007bcc0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -0007bcd0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0007bce0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -0007bcf0: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -0007bd00: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -0007bd10: 3c63 6f64 653e 696e 636c 7564 6520 7265  <code>include re
│ │ │ -0007bd20: 6d6f 7665 5f74 6674 700a 0a63 6c61 7373  move_tftp..class
│ │ │ -0007bd30: 2072 656d 6f76 655f 7466 7470 207b 0a20   remove_tftp {. 
│ │ │ -0007bd40: 2070 6163 6b61 6765 207b 2027 7466 7470   package { 'tftp
│ │ │ -0007bd50: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ -0007bd60: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ -0007bd70: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -0007bd80: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -0007bd90: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -0007bda0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -0007bdb0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -0007bdc0: 7267 6574 3d22 2369 646d 3231 3631 3322  rget="#idm21613"
│ │ │ -0007bdd0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -0007bde0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -0007bdf0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -0007be00: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -0007be10: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -0007be20: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -0007be30: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ -0007be40: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -0007be50: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -0007be60: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -0007be70: 6522 2069 643d 2269 646d 3231 3631 3322  e" id="idm21613"
│ │ │ -0007be80: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -0007be90: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -0007bea0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -0007beb0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -0007bec0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -0007bed0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -0007bee0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0007bef0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -0007bf00: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0007bf10: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -0007bf20: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -0007bf30: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -0007bf40: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -0007bf50: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -0007bf60: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -0007bf70: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -0007bf80: 3a20 456e 7375 7265 2074 6674 7020 6973  : Ensure tftp is
│ │ │ -0007bf90: 2072 656d 6f76 6564 0a20 2070 6163 6b61   removed.  packa
│ │ │ -0007bfa0: 6765 3a0a 2020 2020 6e61 6d65 3a20 7466  ge:.    name: tf
│ │ │ -0007bfb0: 7470 0a20 2020 2073 7461 7465 3a20 6162  tp.    state: ab
│ │ │ -0007bfc0: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ -0007bfd0: 2050 4349 2d44 5353 7634 2d32 2e32 0a20   PCI-DSSv4-2.2. 
│ │ │ -0007bfe0: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ -0007bff0: 2e34 0a20 202d 2064 6973 6162 6c65 5f73  .4.  - disable_s
│ │ │ -0007c000: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -0007c010: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -0007c020: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -0007c030: 2d20 6c6f 775f 7365 7665 7269 7479 0a20  - low_severity. 
│ │ │ -0007c040: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -0007c050: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ -0007c060: 7466 7470 5f72 656d 6f76 6564 0a3c 2f63  tftp_removed.</c
│ │ │ +0007bbd0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ +0007bbe0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +0007bbf0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +0007bc00: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +0007bc10: 6964 3d22 6964 6d32 3136 3132 223e 3c74  id="idm21612"><t
│ │ │ +0007bc20: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +0007bc30: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +0007bc40: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +0007bc50: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +0007bc60: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +0007bc70: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +0007bc80: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0007bc90: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +0007bca0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0007bcb0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +0007bcc0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +0007bcd0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0007bce0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +0007bcf0: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +0007bd00: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +0007bd10: 3e3c 636f 6465 3e2d 206e 616d 653a 2045  ><code>- name: E
│ │ │ +0007bd20: 6e73 7572 6520 7466 7470 2069 7320 7265  nsure tftp is re
│ │ │ +0007bd30: 6d6f 7665 640a 2020 7061 636b 6167 653a  moved.  package:
│ │ │ +0007bd40: 0a20 2020 206e 616d 653a 2074 6674 700a  .    name: tftp.
│ │ │ +0007bd50: 2020 2020 7374 6174 653a 2061 6273 656e      state: absen
│ │ │ +0007bd60: 740a 2020 7461 6773 3a0a 2020 2d20 5043  t.  tags:.  - PC
│ │ │ +0007bd70: 492d 4453 5376 342d 322e 320a 2020 2d20  I-DSSv4-2.2.  - 
│ │ │ +0007bd80: 5043 492d 4453 5376 342d 322e 322e 340a  PCI-DSSv4-2.2.4.
│ │ │ +0007bd90: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ +0007bda0: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +0007bdb0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +0007bdc0: 6469 7372 7570 7469 6f6e 0a20 202d 206c  disruption.  - l
│ │ │ +0007bdd0: 6f77 5f73 6576 6572 6974 790a 2020 2d20  ow_severity.  - 
│ │ │ +0007bde0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +0007bdf0: 0a20 202d 2070 6163 6b61 6765 5f74 6674  .  - package_tft
│ │ │ +0007be00: 705f 7265 6d6f 7665 640a 3c2f 636f 6465  p_removed.</code
│ │ │ +0007be10: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +0007be20: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +0007be30: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +0007be40: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +0007be50: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +0007be60: 3231 3631 3322 2074 6162 696e 6465 783d  21613" tabindex=
│ │ │ +0007be70: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +0007be80: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +0007be90: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +0007bea0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +0007beb0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +0007bec0: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ +0007bed0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +0007bee0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +0007bef0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +0007bf00: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ +0007bf10: 3136 3133 223e 3c74 6162 6c65 2063 6c61  1613"><table cla
│ │ │ +0007bf20: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +0007bf30: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +0007bf40: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +0007bf50: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +0007bf60: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +0007bf70: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0007bf80: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +0007bf90: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +0007bfa0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0007bfb0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +0007bfc0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +0007bfd0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +0007bfe0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ +0007bff0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +0007c000: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ +0007c010: 6e63 6c75 6465 2072 656d 6f76 655f 7466  nclude remove_tf
│ │ │ +0007c020: 7470 0a0a 636c 6173 7320 7265 6d6f 7665  tp..class remove
│ │ │ +0007c030: 5f74 6674 7020 7b0a 2020 7061 636b 6167  _tftp {.  packag
│ │ │ +0007c040: 6520 7b20 2774 6674 7027 3a0a 2020 2020  e { 'tftp':.    
│ │ │ +0007c050: 656e 7375 7265 203d 2667 743b 2027 7075  ensure =&gt; 'pu
│ │ │ +0007c060: 7267 6564 272c 0a20 207d 0a7d 0a3c 2f63  rged',.  }.}.</c
│ │ │  0007c070: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │  0007c080: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │  0007c090: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │  0007c0a0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │  0007c0b0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  0007c0c0: 6964 6d32 3136 3134 2220 7461 6269 6e64  idm21614" tabind
│ │ │  0007c0d0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ ├── html2text {}
│ │ │ │ @@ -1904,31 +1904,14 @@
│ │ │ │  Rationale:  effectiveness of a password in resisting attempts at guessing and brute-force
│ │ │ │              attacks. "pwquality" enforces complex password construction configuration and has
│ │ │ │              the ability to limit brute-force attacks on the system.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_pam_pwquality_installed
│ │ │ │  References: _d_i_s_a   CCI-000366
│ │ │ │              _o_s_-_s_r_g SRG-OS-000480-GPOS-00225
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "libpam-pwquality"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_libpam-pwquality
│ │ │ │ -
│ │ │ │ -class install_libpam-pwquality {
│ │ │ │ -  package { 'libpam-pwquality':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1949,14 +1932,31 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_pam_pwquality_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_libpam-pwquality
│ │ │ │ +
│ │ │ │ +class install_libpam-pwquality {
│ │ │ │ +  package { 'libpam-pwquality':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "libpam-pwquality"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}\n' 'libpam-runtime' 2>/dev/null | grep
│ │ │ │ @@ -2558,26 +2558,14 @@
│ │ │ │                             2.3, SR 2.4, SR 2.5, SR 2.6, SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_dhcp
│ │ │ │ -
│ │ │ │ -class remove_dhcp {
│ │ │ │ -  package { 'dhcp':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure dhcp is removed
│ │ │ │    package:
│ │ │ │ @@ -2591,14 +2579,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_dhcp_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_dhcp
│ │ │ │ +
│ │ │ │ +class remove_dhcp {
│ │ │ │ +  package { 'dhcp':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove dhcp
│ │ │ │ @@ -2611,26 +2611,14 @@
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll kkeeaa PPaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  If the system does not need to act as a DHCP server, the kea package can be uninstalled.
│ │ │ │  Rationale:  Removing the DHCP server ensures that it cannot be easily or accidentally
│ │ │ │              reactivated and disrupt network operation.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_kea_removed
│ │ │ │  References: _a_n_s_s_i R62
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_kea
│ │ │ │ -
│ │ │ │ -class remove_kea {
│ │ │ │ -  package { 'kea':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure kea is removed
│ │ │ │    package:
│ │ │ │ @@ -2639,14 +2627,26 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_kea_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_kea
│ │ │ │ +
│ │ │ │ +class remove_kea {
│ │ │ │ +  package { 'kea':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove kea
│ │ │ │ @@ -2697,26 +2697,14 @@
│ │ │ │                             2.3, SR 2.4, SR 2.5, SR 2.6, SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227, SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_sendmail
│ │ │ │ -
│ │ │ │ -class remove_sendmail {
│ │ │ │ -  package { 'sendmail':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2743,14 +2731,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_sendmail_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_sendmail
│ │ │ │ +
│ │ │ │ +class remove_sendmail {
│ │ │ │ +  package { 'sendmail':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -2806,26 +2806,14 @@
│ │ │ │                             4.1, SR 4.3, SR 5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1, A.13.2.1,
│ │ │ │                             A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_xinetd
│ │ │ │ -
│ │ │ │ -class remove_xinetd {
│ │ │ │ -  package { 'xinetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2856,14 +2844,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_xinetd_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_xinetd
│ │ │ │ +
│ │ │ │ +class remove_xinetd {
│ │ │ │ +  package { 'xinetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -2897,26 +2897,14 @@
│ │ │ │              Protocol (LDAP). It is recommended that the service be removed.
│ │ │ │  Severity:   unknown
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_ypbind_removed
│ │ │ │              _h_i_p_a_a   164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)
│ │ │ │  References:         (1), 164.312(e)(2)(ii)
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ypbind-mt
│ │ │ │ -
│ │ │ │ -class remove_ypbind-mt {
│ │ │ │ -  package { 'ypbind-mt':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ypbind-mt is removed
│ │ │ │    package:
│ │ │ │ @@ -2927,14 +2915,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ypbind_removed
│ │ │ │    - unknown_severity
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ypbind-mt
│ │ │ │ +
│ │ │ │ +class remove_ypbind-mt {
│ │ │ │ +  package { 'ypbind-mt':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove ypbind-mt
│ │ │ │ @@ -2971,26 +2971,14 @@
│ │ │ │                             A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a), IA-5(1)(c)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _p_c_i_d_s_s         Req-2.2.2
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ypserv
│ │ │ │ -
│ │ │ │ -class remove_ypserv {
│ │ │ │ -  package { 'ypserv':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ypserv is removed
│ │ │ │    package:
│ │ │ │ @@ -3006,14 +2994,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ypserv_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ypserv
│ │ │ │ +
│ │ │ │ +class remove_ypserv {
│ │ │ │ +  package { 'ypserv':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove ypserv
│ │ │ │ @@ -3054,26 +3054,14 @@
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1, A.13.2.1,
│ │ │ │                             A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a), IA-5(1)(c)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_rsh-server
│ │ │ │ -
│ │ │ │ -class remove_rsh-server {
│ │ │ │ -  package { 'rsh-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure rsh-server is removed
│ │ │ │    package:
│ │ │ │ @@ -3088,14 +3076,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsh-server_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_rsh-server
│ │ │ │ +
│ │ │ │ +class remove_rsh-server {
│ │ │ │ +  package { 'rsh-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove rsh-server
│ │ │ │ @@ -3116,26 +3116,14 @@
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_rsh_removed
│ │ │ │              _c_u_i           3.1.13
│ │ │ │              _h_i_p_a_a         164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312
│ │ │ │  References:               (e)(1), 164.312(e)(2)(ii)
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3 A.8.2.3, A.13.1.1, A.13.2.1, A.13.2.3, A.14.1.2, A.14.1.3
│ │ │ │              _a_n_s_s_i         R62
│ │ │ │              _p_c_i_d_s_s_4       2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_rsh
│ │ │ │ -
│ │ │ │ -class remove_rsh {
│ │ │ │ -  package { 'rsh':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure rsh is removed
│ │ │ │    package:
│ │ │ │ @@ -3147,14 +3135,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsh_removed
│ │ │ │    - unknown_severity
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_rsh
│ │ │ │ +
│ │ │ │ +class remove_rsh {
│ │ │ │ +  package { 'rsh':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove rsh
│ │ │ │ @@ -3175,26 +3175,14 @@
│ │ │ │              accidental (or intentional) activation of talk services.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_talk-server_removed
│ │ │ │              _h_i_p_a_a   164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)
│ │ │ │  References:         (1), 164.312(e)(2)(ii)
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_talk-server
│ │ │ │ -
│ │ │ │ -class remove_talk-server {
│ │ │ │ -  package { 'talk-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure talk-server is removed
│ │ │ │    package:
│ │ │ │ @@ -3205,14 +3193,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_talk-server_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_talk-server
│ │ │ │ +
│ │ │ │ +class remove_talk-server {
│ │ │ │ +  package { 'talk-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove talk-server
│ │ │ │ @@ -3233,26 +3233,14 @@
│ │ │ │              (or intentional) activation of talk client program.
│ │ │ │  Severity:   medium
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_talk_removed
│ │ │ │              _h_i_p_a_a   164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312(e)
│ │ │ │  References:         (1), 164.312(e)(2)(ii)
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_talk
│ │ │ │ -
│ │ │ │ -class remove_talk {
│ │ │ │ -  package { 'talk':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure talk is removed
│ │ │ │    package:
│ │ │ │ @@ -3263,14 +3251,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_talk_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_talk
│ │ │ │ +
│ │ │ │ +class remove_talk {
│ │ │ │ +  package { 'talk':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove talk
│ │ │ │ @@ -3318,26 +3318,14 @@
│ │ │ │                             A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _p_c_i_d_s_s         Req-2.2.2
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000095-GPOS-00049
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnet-server
│ │ │ │ -
│ │ │ │ -class remove_telnet-server {
│ │ │ │ -  package { 'telnet-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnet-server is removed
│ │ │ │    package:
│ │ │ │ @@ -3352,14 +3340,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnet-server_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnet-server
│ │ │ │ +
│ │ │ │ +class remove_telnet-server {
│ │ │ │ +  package { 'telnet-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnet-server
│ │ │ │ @@ -3379,26 +3379,14 @@
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_telnet_removed
│ │ │ │              _c_u_i           3.1.13
│ │ │ │              _h_i_p_a_a         164.308(a)(4)(i), 164.308(b)(1), 164.308(b)(3), 164.310(b), 164.312
│ │ │ │  References:               (e)(1), 164.312(e)(2)(ii)
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3 A.8.2.3, A.13.1.1, A.13.2.1, A.13.2.3, A.14.1.2, A.14.1.3
│ │ │ │              _a_n_s_s_i         R62
│ │ │ │              _p_c_i_d_s_s_4       2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnet
│ │ │ │ -
│ │ │ │ -class remove_telnet {
│ │ │ │ -  package { 'telnet':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnet is removed
│ │ │ │    package:
│ │ │ │ @@ -3410,14 +3398,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnet_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnet
│ │ │ │ +
│ │ │ │ +class remove_telnet {
│ │ │ │ +  package { 'telnet':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnet
│ │ │ │ @@ -3460,26 +3460,14 @@
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1, A.13.2.1,
│ │ │ │                             A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4, A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _a_n_s_s_i          R62
│ │ │ │              _p_c_i_d_s_s_4        2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_tftp-server
│ │ │ │ -
│ │ │ │ -class remove_tftp-server {
│ │ │ │ -  package { 'tftp-server':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure tftp-server is removed
│ │ │ │    package:
│ │ │ │ @@ -3493,14 +3481,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_tftp-server_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_tftp-server
│ │ │ │ +
│ │ │ │ +class remove_tftp-server {
│ │ │ │ +  package { 'tftp-server':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove tftp-server
│ │ │ │ @@ -3520,26 +3520,14 @@
│ │ │ │              services.
│ │ │ │  Severity:   low
│ │ │ │  Rule ID:    xccdf_org.ssgproject.content_rule_package_tftp_removed
│ │ │ │              _d_i_s_a    CCI-000197
│ │ │ │  References: _o_s_-_s_r_g  SRG-OS-000074-GPOS-00042
│ │ │ │              _a_n_s_s_i   R62
│ │ │ │              _p_c_i_d_s_s_4 2.2.4, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_tftp
│ │ │ │ -
│ │ │ │ -class remove_tftp {
│ │ │ │ -  package { 'tftp':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure tftp is removed
│ │ │ │    package:
│ │ │ │ @@ -3550,14 +3538,26 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_tftp_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_tftp
│ │ │ │ +
│ │ │ │ +class remove_tftp {
│ │ │ │ +  package { 'tftp':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove tftp
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian12-guide-anssi_np_nt28_average.html
│ │ │ @@ -20654,129 +20654,129 @@
│ │ │  00050ad0: 612d 7461 7267 6574 3d22 2369 646d 3130  a-target="#idm10
│ │ │  00050ae0: 3730 3122 2074 6162 696e 6465 783d 2230  701" tabindex="0
│ │ │  00050af0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  00050b00: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  00050b10: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  00050b20: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  00050b30: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00050b40: 6961 7469 6f6e 204f 5342 7569 6c64 2042  iation OSBuild B
│ │ │ -00050b50: 6c75 6570 7269 6e74 2073 6e69 7070 6574  lueprint snippet
│ │ │ -00050b60: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00050b70: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00050b80: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00050b90: 2069 643d 2269 646d 3130 3730 3122 3e3c   id="idm10701"><
│ │ │ -00050ba0: 7072 653e 3c63 6f64 653e 0a5b 5b70 6163  pre><code>.[[pac
│ │ │ -00050bb0: 6b61 6765 735d 5d0a 6e61 6d65 203d 2022  kages]].name = "
│ │ │ -00050bc0: 7379 736c 6f67 2d6e 6722 0a76 6572 7369  syslog-ng".versi
│ │ │ -00050bd0: 6f6e 203d 2022 2a22 0a3c 2f63 6f64 653e  on = "*".</code>
│ │ │ -00050be0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00050bf0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -00050c00: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -00050c10: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -00050c20: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ -00050c30: 3037 3032 2220 7461 6269 6e64 6578 3d22  0702" tabindex="
│ │ │ -00050c40: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -00050c50: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -00050c60: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -00050c70: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -00050c80: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00050c90: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ -00050ca0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00050cb0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00050cc0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -00050cd0: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ -00050ce0: 3730 3222 3e3c 7461 626c 6520 636c 6173  702"><table clas
│ │ │ -00050cf0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -00050d00: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -00050d10: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -00050d20: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00050d30: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00050d40: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00050d50: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00050d60: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00050d70: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00050d80: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -00050d90: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -00050da0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -00050db0: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ -00050dc0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -00050dd0: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ -00050de0: 6c75 6465 2069 6e73 7461 6c6c 5f73 7973  lude install_sys
│ │ │ -00050df0: 6c6f 672d 6e67 0a0a 636c 6173 7320 696e  log-ng..class in
│ │ │ -00050e00: 7374 616c 6c5f 7379 736c 6f67 2d6e 6720  stall_syslog-ng 
│ │ │ -00050e10: 7b0a 2020 7061 636b 6167 6520 7b20 2773  {.  package { 's
│ │ │ -00050e20: 7973 6c6f 672d 6e67 273a 0a20 2020 2065  yslog-ng':.    e
│ │ │ -00050e30: 6e73 7572 6520 3d26 6774 3b20 2769 6e73  nsure =&gt; 'ins
│ │ │ -00050e40: 7461 6c6c 6564 272c 0a20 207d 0a7d 0a3c  talled',.  }.}.<
│ │ │ -00050e50: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -00050e60: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -00050e70: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -00050e80: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -00050e90: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -00050ea0: 2223 6964 6d31 3037 3033 2220 7461 6269  "#idm10703" tabi
│ │ │ -00050eb0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -00050ec0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -00050ed0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -00050ee0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -00050ef0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00050f00: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -00050f10: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -00050f20: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00050f30: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00050f40: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00050f50: 3d22 6964 6d31 3037 3033 223e 3c74 6162  ="idm10703"><tab
│ │ │ -00050f60: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00050f70: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00050f80: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00050f90: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00050fa0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00050fb0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00050fc0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00050fd0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -00050fe0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00050ff0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -00051000: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -00051010: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -00051020: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00051030: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -00051040: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00051050: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ -00051060: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ -00051070: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ -00051080: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ -00051090: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ -000510a0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -000510b0: 434d 2d36 2861 290a 2020 2d20 656e 6162  CM-6(a).  - enab
│ │ │ -000510c0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -000510d0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -000510e0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -000510f0: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ -00051100: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ -00051110: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -00051120: 6163 6b61 6765 5f73 7973 6c6f 676e 675f  ackage_syslogng_
│ │ │ -00051130: 696e 7374 616c 6c65 640a 0a2d 206e 616d  installed..- nam
│ │ │ -00051140: 653a 2045 6e73 7572 6520 7379 736c 6f67  e: Ensure syslog
│ │ │ -00051150: 2d6e 6720 6973 2069 6e73 7461 6c6c 6564  -ng is installed
│ │ │ -00051160: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ -00051170: 6e61 6d65 3a20 7379 736c 6f67 2d6e 670a  name: syslog-ng.
│ │ │ -00051180: 2020 2020 7374 6174 653a 2070 7265 7365      state: prese
│ │ │ -00051190: 6e74 0a20 2077 6865 6e3a 2027 226c 696e  nt.  when: '"lin
│ │ │ -000511a0: 7578 2d62 6173 6522 2069 6e20 616e 7369  ux-base" in ansi
│ │ │ -000511b0: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ -000511c0: 6573 270a 2020 7461 6773 3a0a 2020 2d20  es'.  tags:.  - 
│ │ │ -000511d0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -000511e0: 2861 290a 2020 2d20 656e 6162 6c65 5f73  (a).  - enable_s
│ │ │ -000511f0: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -00051200: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -00051210: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -00051220: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -00051230: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -00051240: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -00051250: 6765 5f73 7973 6c6f 676e 675f 696e 7374  ge_syslogng_inst
│ │ │ -00051260: 616c 6c65 640a 3c2f 636f 6465 3e3c 2f70  alled.</code></p
│ │ │ +00050b40: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +00050b50: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00050b60: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00050b70: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00050b80: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ +00050b90: 3730 3122 3e3c 7461 626c 6520 636c 6173  701"><table clas
│ │ │ +00050ba0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00050bb0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00050bc0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00050bd0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00050be0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00050bf0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00050c00: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +00050c10: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +00050c20: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00050c30: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00050c40: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00050c50: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00050c60: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +00050c70: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00050c80: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +00050c90: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ +00050ca0: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ +00050cb0: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ +00050cc0: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ +00050cd0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +00050ce0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +00050cf0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +00050d00: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +00050d10: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +00050d20: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +00050d30: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +00050d40: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +00050d50: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +00050d60: 7379 736c 6f67 6e67 5f69 6e73 7461 6c6c  syslogng_install
│ │ │ +00050d70: 6564 0a0a 2d20 6e61 6d65 3a20 456e 7375  ed..- name: Ensu
│ │ │ +00050d80: 7265 2073 7973 6c6f 672d 6e67 2069 7320  re syslog-ng is 
│ │ │ +00050d90: 696e 7374 616c 6c65 640a 2020 7061 636b  installed.  pack
│ │ │ +00050da0: 6167 653a 0a20 2020 206e 616d 653a 2073  age:.    name: s
│ │ │ +00050db0: 7973 6c6f 672d 6e67 0a20 2020 2073 7461  yslog-ng.    sta
│ │ │ +00050dc0: 7465 3a20 7072 6573 656e 740a 2020 7768  te: present.  wh
│ │ │ +00050dd0: 656e 3a20 2722 6c69 6e75 782d 6261 7365  en: '"linux-base
│ │ │ +00050de0: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ +00050df0: 7473 2e70 6163 6b61 6765 7327 0a20 2074  ts.packages'.  t
│ │ │ +00050e00: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +00050e10: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +00050e20: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ +00050e30: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +00050e40: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +00050e50: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ +00050e60: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ +00050e70: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +00050e80: 2020 2d20 7061 636b 6167 655f 7379 736c    - package_sysl
│ │ │ +00050e90: 6f67 6e67 5f69 6e73 7461 6c6c 6564 0a3c  ogng_installed.<
│ │ │ +00050ea0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +00050eb0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +00050ec0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +00050ed0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +00050ee0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +00050ef0: 2223 6964 6d31 3037 3032 2220 7461 6269  "#idm10702" tabi
│ │ │ +00050f00: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00050f10: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00050f20: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00050f30: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00050f40: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00050f50: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +00050f60: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +00050f70: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00050f80: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00050f90: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00050fa0: 2269 646d 3130 3730 3222 3e3c 7461 626c  "idm10702"><tabl
│ │ │ +00050fb0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +00050fc0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +00050fd0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +00050fe0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +00050ff0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +00051000: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00051010: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +00051020: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +00051030: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00051040: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +00051050: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +00051060: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +00051070: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00051080: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ +00051090: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +000510a0: 6465 3e69 6e63 6c75 6465 2069 6e73 7461  de>include insta
│ │ │ +000510b0: 6c6c 5f73 7973 6c6f 672d 6e67 0a0a 636c  ll_syslog-ng..cl
│ │ │ +000510c0: 6173 7320 696e 7374 616c 6c5f 7379 736c  ass install_sysl
│ │ │ +000510d0: 6f67 2d6e 6720 7b0a 2020 7061 636b 6167  og-ng {.  packag
│ │ │ +000510e0: 6520 7b20 2773 7973 6c6f 672d 6e67 273a  e { 'syslog-ng':
│ │ │ +000510f0: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +00051100: 3b20 2769 6e73 7461 6c6c 6564 272c 0a20  ; 'installed',. 
│ │ │ +00051110: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ +00051120: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00051130: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00051140: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00051150: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00051160: 6172 6765 743d 2223 6964 6d31 3037 3033  arget="#idm10703
│ │ │ +00051170: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00051180: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00051190: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +000511a0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +000511b0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +000511c0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +000511d0: 696f 6e20 4f53 4275 696c 6420 426c 7565  ion OSBuild Blue
│ │ │ +000511e0: 7072 696e 7420 736e 6970 7065 7420 e287  print snippet ..
│ │ │ +000511f0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00051200: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00051210: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00051220: 3d22 6964 6d31 3037 3033 223e 3c70 7265  ="idm10703"><pre
│ │ │ +00051230: 3e3c 636f 6465 3e0a 5b5b 7061 636b 6167  ><code>.[[packag
│ │ │ +00051240: 6573 5d5d 0a6e 616d 6520 3d20 2273 7973  es]].name = "sys
│ │ │ +00051250: 6c6f 672d 6e67 220a 7665 7273 696f 6e20  log-ng".version 
│ │ │ +00051260: 3d20 222a 220a 3c2f 636f 6465 3e3c 2f70  = "*".</code></p
│ │ │  00051270: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │  00051280: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │  00051290: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │  000512a0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │  000512b0: 7461 7267 6574 3d22 2369 646d 3130 3730  target="#idm1070
│ │ │  000512c0: 3422 2074 6162 696e 6465 783d 2230 2220  4" tabindex="0" 
│ │ │  000512d0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ @@ -21042,151 +21042,151 @@
│ │ │  00052310: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  00052320: 6d31 3037 3838 2220 7461 6269 6e64 6578  m10788" tabindex
│ │ │  00052330: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │  00052340: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │  00052350: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │  00052360: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │  00052370: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00052380: 6d65 6469 6174 696f 6e20 4f53 4275 696c  mediation OSBuil
│ │ │ -00052390: 6420 426c 7565 7072 696e 7420 736e 6970  d Blueprint snip
│ │ │ -000523a0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -000523b0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -000523c0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -000523d0: 7365 2220 6964 3d22 6964 6d31 3037 3838  se" id="idm10788
│ │ │ -000523e0: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b63  "><pre><code>.[c
│ │ │ -000523f0: 7573 746f 6d69 7a61 7469 6f6e 732e 7365  ustomizations.se
│ │ │ -00052400: 7276 6963 6573 5d0a 656e 6162 6c65 6420  rvices].enabled 
│ │ │ -00052410: 3d20 5b22 7379 736c 6f67 2d6e 6722 5d0a  = ["syslog-ng"].
│ │ │ -00052420: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00052430: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00052440: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00052450: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00052460: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00052470: 3d22 2369 646d 3130 3738 3922 2074 6162  ="#idm10789" tab
│ │ │ -00052480: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -00052490: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -000524a0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -000524b0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -000524c0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -000524d0: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -000524e0: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -000524f0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00052500: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00052510: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00052520: 3d22 6964 6d31 3037 3839 223e 3c74 6162  ="idm10789"><tab
│ │ │ -00052530: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00052540: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00052550: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00052560: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00052570: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00052580: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00052590: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -000525a0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -000525b0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -000525c0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -000525d0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -000525e0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -000525f0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00052600: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -00052610: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00052620: 6f64 653e 696e 636c 7564 6520 656e 6162  ode>include enab
│ │ │ -00052630: 6c65 5f73 7973 6c6f 672d 6e67 0a0a 636c  le_syslog-ng..cl
│ │ │ -00052640: 6173 7320 656e 6162 6c65 5f73 7973 6c6f  ass enable_syslo
│ │ │ -00052650: 672d 6e67 207b 0a20 2073 6572 7669 6365  g-ng {.  service
│ │ │ -00052660: 207b 2773 7973 6c6f 672d 6e67 273a 0a20   {'syslog-ng':. 
│ │ │ -00052670: 2020 2065 6e61 626c 6520 3d26 6774 3b20     enable =&gt; 
│ │ │ -00052680: 7472 7565 2c0a 2020 2020 656e 7375 7265  true,.    ensure
│ │ │ -00052690: 203d 2667 743b 2027 7275 6e6e 696e 6727   =&gt; 'running'
│ │ │ -000526a0: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │ -000526b0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -000526c0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -000526d0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -000526e0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -000526f0: 612d 7461 7267 6574 3d22 2369 646d 3130  a-target="#idm10
│ │ │ -00052700: 3739 3022 2074 6162 696e 6465 783d 2230  790" tabindex="0
│ │ │ -00052710: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00052720: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00052730: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00052740: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -00052750: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00052760: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ -00052770: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00052780: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00052790: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -000527a0: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ -000527b0: 3739 3022 3e3c 7461 626c 6520 636c 6173  790"><table clas
│ │ │ -000527c0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -000527d0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -000527e0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -000527f0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00052800: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00052810: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00052820: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00052830: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00052840: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00052850: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -00052860: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -00052870: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -00052880: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ -00052890: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -000528a0: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ -000528b0: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ -000528c0: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ -000528d0: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ -000528e0: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ -000528f0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -00052900: 542d 3830 302d 3533 2d41 552d 3428 3129  T-800-53-AU-4(1)
│ │ │ -00052910: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00052920: 2d43 4d2d 3628 6129 0a20 202d 2065 6e61  -CM-6(a).  - ena
│ │ │ -00052930: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -00052940: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00052950: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00052960: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ -00052970: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ -00052980: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -00052990: 7365 7276 6963 655f 7379 736c 6f67 6e67  service_syslogng
│ │ │ -000529a0: 5f65 6e61 626c 6564 0a0a 2d20 6e61 6d65  _enabled..- name
│ │ │ -000529b0: 3a20 456e 6162 6c65 2073 7973 6c6f 672d  : Enable syslog-
│ │ │ -000529c0: 6e67 2053 6572 7669 6365 202d 2045 6e61  ng Service - Ena
│ │ │ -000529d0: 626c 6520 7365 7276 6963 6520 7379 736c  ble service sysl
│ │ │ -000529e0: 6f67 2d6e 670a 2020 626c 6f63 6b3a 0a0a  og-ng.  block:..
│ │ │ -000529f0: 2020 2d20 6e61 6d65 3a20 4761 7468 6572    - name: Gather
│ │ │ -00052a00: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ -00052a10: 7473 0a20 2020 2070 6163 6b61 6765 5f66  ts.    package_f
│ │ │ -00052a20: 6163 7473 3a0a 2020 2020 2020 6d61 6e61  acts:.      mana
│ │ │ -00052a30: 6765 723a 2061 7574 6f0a 0a20 202d 206e  ger: auto..  - n
│ │ │ -00052a40: 616d 653a 2045 6e61 626c 6520 7379 736c  ame: Enable sysl
│ │ │ -00052a50: 6f67 2d6e 6720 5365 7276 6963 6520 2d20  og-ng Service - 
│ │ │ -00052a60: 456e 6162 6c65 2053 6572 7669 6365 2073  Enable Service s
│ │ │ -00052a70: 7973 6c6f 672d 6e67 0a20 2020 2061 6e73  yslog-ng.    ans
│ │ │ -00052a80: 6962 6c65 2e62 7569 6c74 696e 2e73 7973  ible.builtin.sys
│ │ │ -00052a90: 7465 6d64 3a0a 2020 2020 2020 6e61 6d65  temd:.      name
│ │ │ -00052aa0: 3a20 7379 736c 6f67 2d6e 670a 2020 2020  : syslog-ng.    
│ │ │ -00052ab0: 2020 656e 6162 6c65 643a 2074 7275 650a    enabled: true.
│ │ │ -00052ac0: 2020 2020 2020 7374 6174 653a 2073 7461        state: sta
│ │ │ -00052ad0: 7274 6564 0a20 2020 2020 206d 6173 6b65  rted.      maske
│ │ │ -00052ae0: 643a 2066 616c 7365 0a20 2020 2077 6865  d: false.    whe
│ │ │ -00052af0: 6e3a 0a20 2020 202d 2027 2273 7973 6c6f  n:.    - '"syslo
│ │ │ -00052b00: 672d 6e67 2220 696e 2061 6e73 6962 6c65  g-ng" in ansible
│ │ │ -00052b10: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ -00052b20: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ -00052b30: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ -00052b40: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -00052b50: 270a 2020 7461 6773 3a0a 2020 2d20 4e49  '.  tags:.  - NI
│ │ │ -00052b60: 5354 2d38 3030 2d35 332d 4155 2d34 2831  ST-800-53-AU-4(1
│ │ │ -00052b70: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00052b80: 332d 434d 2d36 2861 290a 2020 2d20 656e  3-CM-6(a).  - en
│ │ │ -00052b90: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -00052ba0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -00052bb0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -00052bc0: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -00052bd0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -00052be0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -00052bf0: 2073 6572 7669 6365 5f73 7973 6c6f 676e   service_syslogn
│ │ │ -00052c00: 675f 656e 6162 6c65 640a 3c2f 636f 6465  g_enabled.</code
│ │ │ +00052380: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ +00052390: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ +000523a0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +000523b0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +000523c0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +000523d0: 6d31 3037 3838 223e 3c74 6162 6c65 2063  m10788"><table c
│ │ │ +000523e0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +000523f0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00052400: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00052410: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00052420: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00052430: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00052440: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00052450: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00052460: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00052470: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00052480: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00052490: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +000524a0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +000524b0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +000524c0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +000524d0: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ +000524e0: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ +000524f0: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ +00052500: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ +00052510: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ +00052520: 4e49 5354 2d38 3030 2d35 332d 4155 2d34  NIST-800-53-AU-4
│ │ │ +00052530: 2831 290a 2020 2d20 4e49 5354 2d38 3030  (1).  - NIST-800
│ │ │ +00052540: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +00052550: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +00052560: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +00052570: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +00052580: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +00052590: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +000525a0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +000525b0: 202d 2073 6572 7669 6365 5f73 7973 6c6f   - service_syslo
│ │ │ +000525c0: 676e 675f 656e 6162 6c65 640a 0a2d 206e  gng_enabled..- n
│ │ │ +000525d0: 616d 653a 2045 6e61 626c 6520 7379 736c  ame: Enable sysl
│ │ │ +000525e0: 6f67 2d6e 6720 5365 7276 6963 6520 2d20  og-ng Service - 
│ │ │ +000525f0: 456e 6162 6c65 2073 6572 7669 6365 2073  Enable service s
│ │ │ +00052600: 7973 6c6f 672d 6e67 0a20 2062 6c6f 636b  yslog-ng.  block
│ │ │ +00052610: 3a0a 0a20 202d 206e 616d 653a 2047 6174  :..  - name: Gat
│ │ │ +00052620: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ +00052630: 6661 6374 730a 2020 2020 7061 636b 6167  facts.    packag
│ │ │ +00052640: 655f 6661 6374 733a 0a20 2020 2020 206d  e_facts:.      m
│ │ │ +00052650: 616e 6167 6572 3a20 6175 746f 0a0a 2020  anager: auto..  
│ │ │ +00052660: 2d20 6e61 6d65 3a20 456e 6162 6c65 2073  - name: Enable s
│ │ │ +00052670: 7973 6c6f 672d 6e67 2053 6572 7669 6365  yslog-ng Service
│ │ │ +00052680: 202d 2045 6e61 626c 6520 5365 7276 6963   - Enable Servic
│ │ │ +00052690: 6520 7379 736c 6f67 2d6e 670a 2020 2020  e syslog-ng.    
│ │ │ +000526a0: 616e 7369 626c 652e 6275 696c 7469 6e2e  ansible.builtin.
│ │ │ +000526b0: 7379 7374 656d 643a 0a20 2020 2020 206e  systemd:.      n
│ │ │ +000526c0: 616d 653a 2073 7973 6c6f 672d 6e67 0a20  ame: syslog-ng. 
│ │ │ +000526d0: 2020 2020 2065 6e61 626c 6564 3a20 7472       enabled: tr
│ │ │ +000526e0: 7565 0a20 2020 2020 2073 7461 7465 3a20  ue.      state: 
│ │ │ +000526f0: 7374 6172 7465 640a 2020 2020 2020 6d61  started.      ma
│ │ │ +00052700: 736b 6564 3a20 6661 6c73 650a 2020 2020  sked: false.    
│ │ │ +00052710: 7768 656e 3a0a 2020 2020 2d20 2722 7379  when:.    - '"sy
│ │ │ +00052720: 736c 6f67 2d6e 6722 2069 6e20 616e 7369  slog-ng" in ansi
│ │ │ +00052730: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ +00052740: 6573 270a 2020 7768 656e 3a20 2722 6c69  es'.  when: '"li
│ │ │ +00052750: 6e75 782d 6261 7365 2220 696e 2061 6e73  nux-base" in ans
│ │ │ +00052760: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ +00052770: 6765 7327 0a20 2074 6167 733a 0a20 202d  ges'.  tags:.  -
│ │ │ +00052780: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +00052790: 3428 3129 0a20 202d 204e 4953 542d 3830  4(1).  - NIST-80
│ │ │ +000527a0: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +000527b0: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ +000527c0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +000527d0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +000527e0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ +000527f0: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ +00052800: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +00052810: 2020 2d20 7365 7276 6963 655f 7379 736c    - service_sysl
│ │ │ +00052820: 6f67 6e67 5f65 6e61 626c 6564 0a3c 2f63  ogng_enabled.</c
│ │ │ +00052830: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +00052840: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +00052850: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +00052860: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +00052870: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +00052880: 6964 6d31 3037 3839 2220 7461 6269 6e64  idm10789" tabind
│ │ │ +00052890: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +000528a0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +000528b0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +000528c0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +000528d0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +000528e0: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ +000528f0: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ +00052900: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00052910: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00052920: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00052930: 646d 3130 3738 3922 3e3c 7461 626c 6520  dm10789"><table 
│ │ │ +00052940: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +00052950: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +00052960: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +00052970: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +00052980: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +00052990: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +000529a0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +000529b0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +000529c0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +000529d0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +000529e0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +000529f0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +00052a00: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ +00052a10: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +00052a20: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +00052a30: 3e69 6e63 6c75 6465 2065 6e61 626c 655f  >include enable_
│ │ │ +00052a40: 7379 736c 6f67 2d6e 670a 0a63 6c61 7373  syslog-ng..class
│ │ │ +00052a50: 2065 6e61 626c 655f 7379 736c 6f67 2d6e   enable_syslog-n
│ │ │ +00052a60: 6720 7b0a 2020 7365 7276 6963 6520 7b27  g {.  service {'
│ │ │ +00052a70: 7379 736c 6f67 2d6e 6727 3a0a 2020 2020  syslog-ng':.    
│ │ │ +00052a80: 656e 6162 6c65 203d 2667 743b 2074 7275  enable =&gt; tru
│ │ │ +00052a90: 652c 0a20 2020 2065 6e73 7572 6520 3d26  e,.    ensure =&
│ │ │ +00052aa0: 6774 3b20 2772 756e 6e69 6e67 272c 0a20  gt; 'running',. 
│ │ │ +00052ab0: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ +00052ac0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00052ad0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00052ae0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00052af0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00052b00: 6172 6765 743d 2223 6964 6d31 3037 3930  arget="#idm10790
│ │ │ +00052b10: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00052b20: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00052b30: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00052b40: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00052b50: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00052b60: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +00052b70: 696f 6e20 4f53 4275 696c 6420 426c 7565  ion OSBuild Blue
│ │ │ +00052b80: 7072 696e 7420 736e 6970 7065 7420 e287  print snippet ..
│ │ │ +00052b90: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00052ba0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00052bb0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00052bc0: 3d22 6964 6d31 3037 3930 223e 3c70 7265  ="idm10790"><pre
│ │ │ +00052bd0: 3e3c 636f 6465 3e0a 5b63 7573 746f 6d69  ><code>.[customi
│ │ │ +00052be0: 7a61 7469 6f6e 732e 7365 7276 6963 6573  zations.services
│ │ │ +00052bf0: 5d0a 656e 6162 6c65 6420 3d20 5b22 7379  ].enabled = ["sy
│ │ │ +00052c00: 736c 6f67 2d6e 6722 5d0a 3c2f 636f 6465  slog-ng"].</code
│ │ │  00052c10: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 2f64  ></pre></div></d
│ │ │  00052c20: 6976 3e3c 2f74 643e 3c2f 7472 3e3c 2f74  iv></td></tr></t
│ │ │  00052c30: 626f 6479 3e3c 2f74 6162 6c65 3e3c 2f74  body></table></t
│ │ │  00052c40: 643e 3c2f 7472 3e3c 7472 2064 6174 612d  d></tr><tr data-
│ │ │  00052c50: 7474 2d69 643d 2278 6363 6466 5f6f 7267  tt-id="xccdf_org
│ │ │  00052c60: 2e73 7367 7072 6f6a 6563 742e 636f 6e74  .ssgproject.cont
│ │ │  00052c70: 656e 745f 7275 6c65 5f70 6163 6b61 6765  ent_rule_package
│ │ │ @@ -21394,128 +21394,128 @@
│ │ │  00053910: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │  00053920: 3031 3134 2220 7461 6269 6e64 6578 3d22  0114" tabindex="
│ │ │  00053930: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │  00053940: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │  00053950: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │  00053960: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │  00053970: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00053980: 6469 6174 696f 6e20 4f53 4275 696c 6420  diation OSBuild 
│ │ │ -00053990: 426c 7565 7072 696e 7420 736e 6970 7065  Blueprint snippe
│ │ │ -000539a0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -000539b0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -000539c0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -000539d0: 2220 6964 3d22 6964 6d31 3031 3134 223e  " id="idm10114">
│ │ │ -000539e0: 3c70 7265 3e3c 636f 6465 3e0a 5b5b 7061  <pre><code>.[[pa
│ │ │ -000539f0: 636b 6167 6573 5d5d 0a6e 616d 6520 3d20  ckages]].name = 
│ │ │ -00053a00: 2272 7379 736c 6f67 220a 7665 7273 696f  "rsyslog".versio
│ │ │ -00053a10: 6e20 3d20 222a 220a 3c2f 636f 6465 3e3c  n = "*".</code><
│ │ │ -00053a20: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -00053a30: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -00053a40: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -00053a50: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -00053a60: 612d 7461 7267 6574 3d22 2369 646d 3130  a-target="#idm10
│ │ │ -00053a70: 3131 3522 2074 6162 696e 6465 783d 2230  115" tabindex="0
│ │ │ -00053a80: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00053a90: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00053aa0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00053ab0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -00053ac0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00053ad0: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ -00053ae0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -00053af0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -00053b00: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -00053b10: 6170 7365 2220 6964 3d22 6964 6d31 3031  apse" id="idm101
│ │ │ -00053b20: 3135 223e 3c74 6162 6c65 2063 6c61 7373  15"><table class
│ │ │ -00053b30: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -00053b40: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -00053b50: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -00053b60: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -00053b70: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -00053b80: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00053b90: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -00053ba0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -00053bb0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00053bc0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -00053bd0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -00053be0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -00053bf0: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ -00053c00: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -00053c10: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ -00053c20: 7564 6520 696e 7374 616c 6c5f 7273 7973  ude install_rsys
│ │ │ -00053c30: 6c6f 670a 0a63 6c61 7373 2069 6e73 7461  log..class insta
│ │ │ -00053c40: 6c6c 5f72 7379 736c 6f67 207b 0a20 2070  ll_rsyslog {.  p
│ │ │ -00053c50: 6163 6b61 6765 207b 2027 7273 7973 6c6f  ackage { 'rsyslo
│ │ │ -00053c60: 6727 3a0a 2020 2020 656e 7375 7265 203d  g':.    ensure =
│ │ │ -00053c70: 2667 743b 2027 696e 7374 616c 6c65 6427  &gt; 'installed'
│ │ │ -00053c80: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │ -00053c90: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -00053ca0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -00053cb0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -00053cc0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -00053cd0: 612d 7461 7267 6574 3d22 2369 646d 3130  a-target="#idm10
│ │ │ -00053ce0: 3131 3622 2074 6162 696e 6465 783d 2230  116" tabindex="0
│ │ │ -00053cf0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00053d00: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00053d10: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00053d20: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -00053d30: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00053d40: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ -00053d50: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00053d60: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00053d70: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -00053d80: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ -00053d90: 3131 3622 3e3c 7461 626c 6520 636c 6173  116"><table clas
│ │ │ -00053da0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -00053db0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -00053dc0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -00053dd0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00053de0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00053df0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00053e00: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00053e10: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00053e20: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00053e30: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -00053e40: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -00053e50: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -00053e60: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ -00053e70: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -00053e80: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ -00053e90: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ -00053ea0: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ -00053eb0: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ -00053ec0: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ -00053ed0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -00053ee0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -00053ef0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ -00053f00: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -00053f10: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -00053f20: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ -00053f30: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ -00053f40: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -00053f50: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ -00053f60: 7273 7973 6c6f 675f 696e 7374 616c 6c65  rsyslog_installe
│ │ │ -00053f70: 640a 0a2d 206e 616d 653a 2045 6e73 7572  d..- name: Ensur
│ │ │ -00053f80: 6520 7273 7973 6c6f 6720 6973 2069 6e73  e rsyslog is ins
│ │ │ -00053f90: 7461 6c6c 6564 0a20 2070 6163 6b61 6765  talled.  package
│ │ │ -00053fa0: 3a0a 2020 2020 6e61 6d65 3a20 7273 7973  :.    name: rsys
│ │ │ -00053fb0: 6c6f 670a 2020 2020 7374 6174 653a 2070  log.    state: p
│ │ │ -00053fc0: 7265 7365 6e74 0a20 2077 6865 6e3a 2027  resent.  when: '
│ │ │ -00053fd0: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ -00053fe0: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ -00053ff0: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ -00054000: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00054010: 434d 2d36 2861 290a 2020 2d20 656e 6162  CM-6(a).  - enab
│ │ │ -00054020: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00054030: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -00054040: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -00054050: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ -00054060: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ -00054070: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -00054080: 6163 6b61 6765 5f72 7379 736c 6f67 5f69  ackage_rsyslog_i
│ │ │ -00054090: 6e73 7461 6c6c 6564 0a3c 2f63 6f64 653e  nstalled.</code>
│ │ │ +00053980: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ +00053990: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +000539a0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +000539b0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +000539c0: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ +000539d0: 3031 3134 223e 3c74 6162 6c65 2063 6c61  0114"><table cla
│ │ │ +000539e0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +000539f0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +00053a00: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +00053a10: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +00053a20: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +00053a30: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00053a40: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +00053a50: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +00053a60: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00053a70: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +00053a80: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +00053a90: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +00053aa0: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ +00053ab0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00053ac0: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ +00053ad0: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ +00053ae0: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ +00053af0: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ +00053b00: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ +00053b10: 6f0a 2020 7461 6773 3a0a 2020 2d20 4e49  o.  tags:.  - NI
│ │ │ +00053b20: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +00053b30: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ +00053b40: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +00053b50: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +00053b60: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +00053b70: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +00053b80: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +00053b90: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +00053ba0: 5f72 7379 736c 6f67 5f69 6e73 7461 6c6c  _rsyslog_install
│ │ │ +00053bb0: 6564 0a0a 2d20 6e61 6d65 3a20 456e 7375  ed..- name: Ensu
│ │ │ +00053bc0: 7265 2072 7379 736c 6f67 2069 7320 696e  re rsyslog is in
│ │ │ +00053bd0: 7374 616c 6c65 640a 2020 7061 636b 6167  stalled.  packag
│ │ │ +00053be0: 653a 0a20 2020 206e 616d 653a 2072 7379  e:.    name: rsy
│ │ │ +00053bf0: 736c 6f67 0a20 2020 2073 7461 7465 3a20  slog.    state: 
│ │ │ +00053c00: 7072 6573 656e 740a 2020 7768 656e 3a20  present.  when: 
│ │ │ +00053c10: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ +00053c20: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ +00053c30: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ +00053c40: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00053c50: 2d43 4d2d 3628 6129 0a20 202d 2065 6e61  -CM-6(a).  - ena
│ │ │ +00053c60: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +00053c70: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +00053c80: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +00053c90: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ +00053ca0: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +00053cb0: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +00053cc0: 7061 636b 6167 655f 7273 7973 6c6f 675f  package_rsyslog_
│ │ │ +00053cd0: 696e 7374 616c 6c65 640a 3c2f 636f 6465  installed.</code
│ │ │ +00053ce0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +00053cf0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +00053d00: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +00053d10: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +00053d20: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +00053d30: 3130 3131 3522 2074 6162 696e 6465 783d  10115" tabindex=
│ │ │ +00053d40: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00053d50: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00053d60: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +00053d70: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +00053d80: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +00053d90: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ +00053da0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00053db0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00053dc0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00053dd0: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ +00053de0: 3031 3135 223e 3c74 6162 6c65 2063 6c61  0115"><table cla
│ │ │ +00053df0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +00053e00: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +00053e10: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +00053e20: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +00053e30: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +00053e40: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00053e50: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +00053e60: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +00053e70: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00053e80: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +00053e90: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +00053ea0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +00053eb0: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ +00053ec0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00053ed0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +00053ee0: 636c 7564 6520 696e 7374 616c 6c5f 7273  clude install_rs
│ │ │ +00053ef0: 7973 6c6f 670a 0a63 6c61 7373 2069 6e73  yslog..class ins
│ │ │ +00053f00: 7461 6c6c 5f72 7379 736c 6f67 207b 0a20  tall_rsyslog {. 
│ │ │ +00053f10: 2070 6163 6b61 6765 207b 2027 7273 7973   package { 'rsys
│ │ │ +00053f20: 6c6f 6727 3a0a 2020 2020 656e 7375 7265  log':.    ensure
│ │ │ +00053f30: 203d 2667 743b 2027 696e 7374 616c 6c65   =&gt; 'installe
│ │ │ +00053f40: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │ +00053f50: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +00053f60: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +00053f70: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +00053f80: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +00053f90: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +00053fa0: 3130 3131 3622 2074 6162 696e 6465 783d  10116" tabindex=
│ │ │ +00053fb0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00053fc0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00053fd0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +00053fe0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +00053ff0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +00054000: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ +00054010: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ +00054020: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00054030: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00054040: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00054050: 6522 2069 643d 2269 646d 3130 3131 3622  e" id="idm10116"
│ │ │ +00054060: 3e3c 7072 653e 3c63 6f64 653e 0a5b 5b70  ><pre><code>.[[p
│ │ │ +00054070: 6163 6b61 6765 735d 5d0a 6e61 6d65 203d  ackages]].name =
│ │ │ +00054080: 2022 7273 7973 6c6f 6722 0a76 6572 7369   "rsyslog".versi
│ │ │ +00054090: 6f6e 203d 2022 2a22 0a3c 2f63 6f64 653e  on = "*".</code>
│ │ │  000540a0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │  000540b0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │  000540c0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │  000540d0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │  000540e0: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │  000540f0: 3031 3137 2220 7461 6269 6e64 6578 3d22  0117" tabindex="
│ │ │  00054100: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ @@ -21795,150 +21795,150 @@
│ │ │  00055220: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  00055230: 6964 6d31 3032 3030 2220 7461 6269 6e64  idm10200" tabind
│ │ │  00055240: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │  00055250: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │  00055260: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │  00055270: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │  00055280: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -00055290: 5265 6d65 6469 6174 696f 6e20 4f53 4275  Remediation OSBu
│ │ │ -000552a0: 696c 6420 426c 7565 7072 696e 7420 736e  ild Blueprint sn
│ │ │ -000552b0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -000552c0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -000552d0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -000552e0: 6170 7365 2220 6964 3d22 6964 6d31 3032  apse" id="idm102
│ │ │ -000552f0: 3030 223e 3c70 7265 3e3c 636f 6465 3e0a  00"><pre><code>.
│ │ │ -00055300: 5b63 7573 746f 6d69 7a61 7469 6f6e 732e  [customizations.
│ │ │ -00055310: 7365 7276 6963 6573 5d0a 656e 6162 6c65  services].enable
│ │ │ -00055320: 6420 3d20 5b22 7273 7973 6c6f 6722 5d0a  d = ["rsyslog"].
│ │ │ -00055330: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00055340: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00055350: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00055360: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00055370: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00055380: 3d22 2369 646d 3130 3230 3122 2074 6162  ="#idm10201" tab
│ │ │ -00055390: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -000553a0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -000553b0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -000553c0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -000553d0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -000553e0: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -000553f0: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -00055400: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00055410: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00055420: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00055430: 3d22 6964 6d31 3032 3031 223e 3c74 6162  ="idm10201"><tab
│ │ │ -00055440: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00055450: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00055460: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00055470: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00055480: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00055490: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -000554a0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -000554b0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -000554c0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -000554d0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -000554e0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -000554f0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -00055500: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00055510: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -00055520: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00055530: 6f64 653e 696e 636c 7564 6520 656e 6162  ode>include enab
│ │ │ -00055540: 6c65 5f72 7379 736c 6f67 0a0a 636c 6173  le_rsyslog..clas
│ │ │ -00055550: 7320 656e 6162 6c65 5f72 7379 736c 6f67  s enable_rsyslog
│ │ │ -00055560: 207b 0a20 2073 6572 7669 6365 207b 2772   {.  service {'r
│ │ │ -00055570: 7379 736c 6f67 273a 0a20 2020 2065 6e61  syslog':.    ena
│ │ │ -00055580: 626c 6520 3d26 6774 3b20 7472 7565 2c0a  ble =&gt; true,.
│ │ │ -00055590: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ -000555a0: 2027 7275 6e6e 696e 6727 2c0a 2020 7d0a   'running',.  }.
│ │ │ -000555b0: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │ -000555c0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -000555d0: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -000555e0: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -000555f0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -00055600: 6574 3d22 2369 646d 3130 3230 3222 2074  et="#idm10202" t
│ │ │ -00055610: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -00055620: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -00055630: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -00055640: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -00055650: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -00055660: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00055670: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ -00055680: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00055690: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -000556a0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -000556b0: 2069 643d 2269 646d 3130 3230 3222 3e3c   id="idm10202"><
│ │ │ -000556c0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -000556d0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -000556e0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -000556f0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00055700: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -00055710: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -00055720: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00055730: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -00055740: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00055750: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -00055760: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -00055770: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00055780: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -00055790: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -000557a0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -000557b0: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ -000557c0: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ -000557d0: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ -000557e0: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ -000557f0: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ -00055800: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -00055810: 3533 2d41 552d 3428 3129 0a20 202d 204e  53-AU-4(1).  - N
│ │ │ -00055820: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -00055830: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ -00055840: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -00055850: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -00055860: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -00055870: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -00055880: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -00055890: 6565 6465 640a 2020 2d20 7365 7276 6963  eeded.  - servic
│ │ │ -000558a0: 655f 7273 7973 6c6f 675f 656e 6162 6c65  e_rsyslog_enable
│ │ │ -000558b0: 640a 0a2d 206e 616d 653a 2045 6e61 626c  d..- name: Enabl
│ │ │ -000558c0: 6520 7273 7973 6c6f 6720 5365 7276 6963  e rsyslog Servic
│ │ │ -000558d0: 6520 2d20 456e 6162 6c65 2073 6572 7669  e - Enable servi
│ │ │ -000558e0: 6365 2072 7379 736c 6f67 0a20 2062 6c6f  ce rsyslog.  blo
│ │ │ -000558f0: 636b 3a0a 0a20 202d 206e 616d 653a 2047  ck:..  - name: G
│ │ │ -00055900: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ -00055910: 6520 6661 6374 730a 2020 2020 7061 636b  e facts.    pack
│ │ │ -00055920: 6167 655f 6661 6374 733a 0a20 2020 2020  age_facts:.     
│ │ │ -00055930: 206d 616e 6167 6572 3a20 6175 746f 0a0a   manager: auto..
│ │ │ -00055940: 2020 2d20 6e61 6d65 3a20 456e 6162 6c65    - name: Enable
│ │ │ -00055950: 2072 7379 736c 6f67 2053 6572 7669 6365   rsyslog Service
│ │ │ -00055960: 202d 2045 6e61 626c 6520 5365 7276 6963   - Enable Servic
│ │ │ -00055970: 6520 7273 7973 6c6f 670a 2020 2020 616e  e rsyslog.    an
│ │ │ -00055980: 7369 626c 652e 6275 696c 7469 6e2e 7379  sible.builtin.sy
│ │ │ -00055990: 7374 656d 643a 0a20 2020 2020 206e 616d  stemd:.      nam
│ │ │ -000559a0: 653a 2072 7379 736c 6f67 0a20 2020 2020  e: rsyslog.     
│ │ │ -000559b0: 2065 6e61 626c 6564 3a20 7472 7565 0a20   enabled: true. 
│ │ │ -000559c0: 2020 2020 2073 7461 7465 3a20 7374 6172       state: star
│ │ │ -000559d0: 7465 640a 2020 2020 2020 6d61 736b 6564  ted.      masked
│ │ │ -000559e0: 3a20 6661 6c73 650a 2020 2020 7768 656e  : false.    when
│ │ │ -000559f0: 3a0a 2020 2020 2d20 2722 7273 7973 6c6f  :.    - '"rsyslo
│ │ │ -00055a00: 6722 2069 6e20 616e 7369 626c 655f 6661  g" in ansible_fa
│ │ │ -00055a10: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -00055a20: 7768 656e 3a20 2722 6c69 6e75 782d 6261  when: '"linux-ba
│ │ │ -00055a30: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ -00055a40: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -00055a50: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -00055a60: 3830 302d 3533 2d41 552d 3428 3129 0a20  800-53-AU-4(1). 
│ │ │ -00055a70: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -00055a80: 4d2d 3628 6129 0a20 202d 2065 6e61 626c  M-6(a).  - enabl
│ │ │ -00055a90: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -00055aa0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -00055ab0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -00055ac0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -00055ad0: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -00055ae0: 6f74 5f6e 6565 6465 640a 2020 2d20 7365  ot_needed.  - se
│ │ │ -00055af0: 7276 6963 655f 7273 7973 6c6f 675f 656e  rvice_rsyslog_en
│ │ │ -00055b00: 6162 6c65 640a 3c2f 636f 6465 3e3c 2f70  abled.</code></p
│ │ │ +00055290: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ +000552a0: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ +000552b0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +000552c0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +000552d0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +000552e0: 6964 6d31 3032 3030 223e 3c74 6162 6c65  idm10200"><table
│ │ │ +000552f0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00055300: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00055310: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00055320: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00055330: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00055340: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00055350: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00055360: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00055370: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00055380: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00055390: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +000553a0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +000553b0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +000553c0: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +000553d0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +000553e0: 653e 2d20 6e61 6d65 3a20 4761 7468 6572  e>- name: Gather
│ │ │ +000553f0: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ +00055400: 7473 0a20 2070 6163 6b61 6765 5f66 6163  ts.  package_fac
│ │ │ +00055410: 7473 3a0a 2020 2020 6d61 6e61 6765 723a  ts:.    manager:
│ │ │ +00055420: 2061 7574 6f0a 2020 7461 6773 3a0a 2020   auto.  tags:.  
│ │ │ +00055430: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +00055440: 2d34 2831 290a 2020 2d20 4e49 5354 2d38  -4(1).  - NIST-8
│ │ │ +00055450: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +00055460: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +00055470: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00055480: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00055490: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +000554a0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +000554b0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +000554c0: 0a20 202d 2073 6572 7669 6365 5f72 7379  .  - service_rsy
│ │ │ +000554d0: 736c 6f67 5f65 6e61 626c 6564 0a0a 2d20  slog_enabled..- 
│ │ │ +000554e0: 6e61 6d65 3a20 456e 6162 6c65 2072 7379  name: Enable rsy
│ │ │ +000554f0: 736c 6f67 2053 6572 7669 6365 202d 2045  slog Service - E
│ │ │ +00055500: 6e61 626c 6520 7365 7276 6963 6520 7273  nable service rs
│ │ │ +00055510: 7973 6c6f 670a 2020 626c 6f63 6b3a 0a0a  yslog.  block:..
│ │ │ +00055520: 2020 2d20 6e61 6d65 3a20 4761 7468 6572    - name: Gather
│ │ │ +00055530: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ +00055540: 7473 0a20 2020 2070 6163 6b61 6765 5f66  ts.    package_f
│ │ │ +00055550: 6163 7473 3a0a 2020 2020 2020 6d61 6e61  acts:.      mana
│ │ │ +00055560: 6765 723a 2061 7574 6f0a 0a20 202d 206e  ger: auto..  - n
│ │ │ +00055570: 616d 653a 2045 6e61 626c 6520 7273 7973  ame: Enable rsys
│ │ │ +00055580: 6c6f 6720 5365 7276 6963 6520 2d20 456e  log Service - En
│ │ │ +00055590: 6162 6c65 2053 6572 7669 6365 2072 7379  able Service rsy
│ │ │ +000555a0: 736c 6f67 0a20 2020 2061 6e73 6962 6c65  slog.    ansible
│ │ │ +000555b0: 2e62 7569 6c74 696e 2e73 7973 7465 6d64  .builtin.systemd
│ │ │ +000555c0: 3a0a 2020 2020 2020 6e61 6d65 3a20 7273  :.      name: rs
│ │ │ +000555d0: 7973 6c6f 670a 2020 2020 2020 656e 6162  yslog.      enab
│ │ │ +000555e0: 6c65 643a 2074 7275 650a 2020 2020 2020  led: true.      
│ │ │ +000555f0: 7374 6174 653a 2073 7461 7274 6564 0a20  state: started. 
│ │ │ +00055600: 2020 2020 206d 6173 6b65 643a 2066 616c       masked: fal
│ │ │ +00055610: 7365 0a20 2020 2077 6865 6e3a 0a20 2020  se.    when:.   
│ │ │ +00055620: 202d 2027 2272 7379 736c 6f67 2220 696e   - '"rsyslog" in
│ │ │ +00055630: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ +00055640: 6163 6b61 6765 7327 0a20 2077 6865 6e3a  ackages'.  when:
│ │ │ +00055650: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ +00055660: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ +00055670: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ +00055680: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +00055690: 332d 4155 2d34 2831 290a 2020 2d20 4e49  3-AU-4(1).  - NI
│ │ │ +000556a0: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +000556b0: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ +000556c0: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +000556d0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +000556e0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +000556f0: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +00055700: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +00055710: 6564 6564 0a20 202d 2073 6572 7669 6365  eded.  - service
│ │ │ +00055720: 5f72 7379 736c 6f67 5f65 6e61 626c 6564  _rsyslog_enabled
│ │ │ +00055730: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +00055740: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +00055750: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +00055760: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +00055770: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +00055780: 743d 2223 6964 6d31 3032 3031 2220 7461  t="#idm10201" ta
│ │ │ +00055790: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +000557a0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +000557b0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +000557c0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +000557d0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +000557e0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +000557f0: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ +00055800: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +00055810: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +00055820: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +00055830: 643d 2269 646d 3130 3230 3122 3e3c 7461  d="idm10201"><ta
│ │ │ +00055840: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +00055850: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +00055860: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +00055870: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00055880: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +00055890: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +000558a0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +000558b0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +000558c0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +000558d0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +000558e0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +000558f0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00055900: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +00055910: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ +00055920: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +00055930: 636f 6465 3e69 6e63 6c75 6465 2065 6e61  code>include ena
│ │ │ +00055940: 626c 655f 7273 7973 6c6f 670a 0a63 6c61  ble_rsyslog..cla
│ │ │ +00055950: 7373 2065 6e61 626c 655f 7273 7973 6c6f  ss enable_rsyslo
│ │ │ +00055960: 6720 7b0a 2020 7365 7276 6963 6520 7b27  g {.  service {'
│ │ │ +00055970: 7273 7973 6c6f 6727 3a0a 2020 2020 656e  rsyslog':.    en
│ │ │ +00055980: 6162 6c65 203d 2667 743b 2074 7275 652c  able =&gt; true,
│ │ │ +00055990: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +000559a0: 3b20 2772 756e 6e69 6e67 272c 0a20 207d  ; 'running',.  }
│ │ │ +000559b0: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ +000559c0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +000559d0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +000559e0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +000559f0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00055a00: 6765 743d 2223 6964 6d31 3032 3032 2220  get="#idm10202" 
│ │ │ +00055a10: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +00055a20: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +00055a30: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +00055a40: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +00055a50: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +00055a60: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +00055a70: 6e20 4f53 4275 696c 6420 426c 7565 7072  n OSBuild Bluepr
│ │ │ +00055a80: 696e 7420 736e 6970 7065 7420 e287 b23c  int snippet ...<
│ │ │ +00055a90: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00055aa0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00055ab0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00055ac0: 6964 6d31 3032 3032 223e 3c70 7265 3e3c  idm10202"><pre><
│ │ │ +00055ad0: 636f 6465 3e0a 5b63 7573 746f 6d69 7a61  code>.[customiza
│ │ │ +00055ae0: 7469 6f6e 732e 7365 7276 6963 6573 5d0a  tions.services].
│ │ │ +00055af0: 656e 6162 6c65 6420 3d20 5b22 7273 7973  enabled = ["rsys
│ │ │ +00055b00: 6c6f 6722 5d0a 3c2f 636f 6465 3e3c 2f70  log"].</code></p
│ │ │  00055b10: 7265 3e3c 2f64 6976 3e3c 2f64 6976 3e3c  re></div></div><
│ │ │  00055b20: 2f74 643e 3c2f 7472 3e3c 2f74 626f 6479  /td></tr></tbody
│ │ │  00055b30: 3e3c 2f74 6162 6c65 3e3c 2f74 643e 3c2f  ></table></td></
│ │ │  00055b40: 7472 3e3c 7472 2064 6174 612d 7474 2d69  tr><tr data-tt-i
│ │ │  00055b50: 643d 2263 6869 6c64 7265 6e2d 7863 6364  d="children-xccd
│ │ │  00055b60: 665f 6f72 672e 7373 6770 726f 6a65 6374  f_org.ssgproject
│ │ │  00055b70: 2e63 6f6e 7465 6e74 5f67 726f 7570 5f70  .content_group_p
│ │ │ @@ -29851,95 +29851,95 @@
│ │ │  000749a0: 743d 2223 6964 6d31 3936 3337 2220 7461  t="#idm19637" ta
│ │ │  000749b0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  000749c0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │  000749d0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │  000749e0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │  000749f0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │  00074a00: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00074a10: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ -00074a20: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00074a30: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00074a40: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00074a50: 643d 2269 646d 3139 3633 3722 3e3c 7461  d="idm19637"><ta
│ │ │ -00074a60: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00074a70: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00074a80: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00074a90: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00074aa0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -00074ab0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -00074ac0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00074ad0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -00074ae0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00074af0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -00074b00: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -00074b10: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00074b20: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -00074b30: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -00074b40: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00074b50: 3c63 6f64 653e 696e 636c 7564 6520 7265  <code>include re
│ │ │ -00074b60: 6d6f 7665 5f69 6e65 7475 7469 6c73 2d74  move_inetutils-t
│ │ │ -00074b70: 656c 6e65 7464 0a0a 636c 6173 7320 7265  elnetd..class re
│ │ │ -00074b80: 6d6f 7665 5f69 6e65 7475 7469 6c73 2d74  move_inetutils-t
│ │ │ -00074b90: 656c 6e65 7464 207b 0a20 2070 6163 6b61  elnetd {.  packa
│ │ │ -00074ba0: 6765 207b 2027 696e 6574 7574 696c 732d  ge { 'inetutils-
│ │ │ -00074bb0: 7465 6c6e 6574 6427 3a0a 2020 2020 656e  telnetd':.    en
│ │ │ -00074bc0: 7375 7265 203d 2667 743b 2027 7075 7267  sure =&gt; 'purg
│ │ │ -00074bd0: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ -00074be0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -00074bf0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -00074c00: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -00074c10: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -00074c20: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -00074c30: 6d31 3936 3338 2220 7461 6269 6e64 6578  m19638" tabindex
│ │ │ -00074c40: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00074c50: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00074c60: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00074c70: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00074c80: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00074c90: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -00074ca0: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -00074cb0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00074cc0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00074cd0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00074ce0: 6d31 3936 3338 223e 3c74 6162 6c65 2063  m19638"><table c
│ │ │ -00074cf0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00074d00: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00074d10: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00074d20: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00074d30: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00074d40: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00074d50: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00074d60: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00074d70: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00074d80: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00074d90: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00074da0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00074db0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -00074dc0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00074dd0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00074de0: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ -00074df0: 696e 6574 7574 696c 732d 7465 6c6e 6574  inetutils-telnet
│ │ │ -00074e00: 6420 6973 2072 656d 6f76 6564 0a20 2070  d is removed.  p
│ │ │ -00074e10: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -00074e20: 3a20 696e 6574 7574 696c 732d 7465 6c6e  : inetutils-teln
│ │ │ -00074e30: 6574 640a 2020 2020 7374 6174 653a 2061  etd.    state: a
│ │ │ -00074e40: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ -00074e50: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00074e60: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ -00074e70: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ -00074e80: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00074e90: 2d37 2862 290a 2020 2d20 6469 7361 626c  -7(b).  - disabl
│ │ │ -00074ea0: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ -00074eb0: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ -00074ec0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00074ed0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00074ee0: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ -00074ef0: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -00074f00: 6167 655f 696e 6574 7574 696c 732d 7465  age_inetutils-te
│ │ │ -00074f10: 6c6e 6574 645f 7265 6d6f 7665 640a 3c2f  lnetd_removed.</
│ │ │ +00074a10: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ +00074a20: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00074a30: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00074a40: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00074a50: 6964 3d22 6964 6d31 3936 3337 223e 3c74  id="idm19637"><t
│ │ │ +00074a60: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +00074a70: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00074a80: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +00074a90: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00074aa0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00074ab0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00074ac0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00074ad0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +00074ae0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00074af0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +00074b00: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +00074b10: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00074b20: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00074b30: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +00074b40: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00074b50: 3e3c 636f 6465 3e2d 206e 616d 653a 2045  ><code>- name: E
│ │ │ +00074b60: 6e73 7572 6520 696e 6574 7574 696c 732d  nsure inetutils-
│ │ │ +00074b70: 7465 6c6e 6574 6420 6973 2072 656d 6f76  telnetd is remov
│ │ │ +00074b80: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +00074b90: 2020 6e61 6d65 3a20 696e 6574 7574 696c    name: inetutil
│ │ │ +00074ba0: 732d 7465 6c6e 6574 640a 2020 2020 7374  s-telnetd.    st
│ │ │ +00074bb0: 6174 653a 2061 6273 656e 740a 2020 7461  ate: absent.  ta
│ │ │ +00074bc0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +00074bd0: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +00074be0: 4e49 5354 2d38 3030 2d35 332d 434d 2d37  NIST-800-53-CM-7
│ │ │ +00074bf0: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ +00074c00: 2d35 332d 434d 2d37 2862 290a 2020 2d20  -53-CM-7(b).  - 
│ │ │ +00074c10: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ +00074c20: 0a20 202d 2068 6967 685f 7365 7665 7269  .  - high_severi
│ │ │ +00074c30: 7479 0a20 202d 206c 6f77 5f63 6f6d 706c  ty.  - low_compl
│ │ │ +00074c40: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +00074c50: 7372 7570 7469 6f6e 0a20 202d 206e 6f5f  sruption.  - no_
│ │ │ +00074c60: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +00074c70: 2d20 7061 636b 6167 655f 696e 6574 7574  - package_inetut
│ │ │ +00074c80: 696c 732d 7465 6c6e 6574 645f 7265 6d6f  ils-telnetd_remo
│ │ │ +00074c90: 7665 640a 3c2f 636f 6465 3e3c 2f70 7265  ved.</code></pre
│ │ │ +00074ca0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +00074cb0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +00074cc0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +00074cd0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +00074ce0: 7267 6574 3d22 2369 646d 3139 3633 3822  rget="#idm19638"
│ │ │ +00074cf0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00074d00: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00074d10: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00074d20: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00074d30: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00074d40: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +00074d50: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +00074d60: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00074d70: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00074d80: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00074d90: 2220 6964 3d22 6964 6d31 3936 3338 223e  " id="idm19638">
│ │ │ +00074da0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00074db0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00074dc0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00074dd0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00074de0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00074df0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00074e00: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00074e10: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00074e20: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00074e30: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00074e40: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00074e50: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00074e60: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00074e70: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +00074e80: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00074e90: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +00074ea0: 2072 656d 6f76 655f 696e 6574 7574 696c   remove_inetutil
│ │ │ +00074eb0: 732d 7465 6c6e 6574 640a 0a63 6c61 7373  s-telnetd..class
│ │ │ +00074ec0: 2072 656d 6f76 655f 696e 6574 7574 696c   remove_inetutil
│ │ │ +00074ed0: 732d 7465 6c6e 6574 6420 7b0a 2020 7061  s-telnetd {.  pa
│ │ │ +00074ee0: 636b 6167 6520 7b20 2769 6e65 7475 7469  ckage { 'inetuti
│ │ │ +00074ef0: 6c73 2d74 656c 6e65 7464 273a 0a20 2020  ls-telnetd':.   
│ │ │ +00074f00: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ +00074f10: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │  00074f20: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │  00074f30: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │  00074f40: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │  00074f50: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │  00074f60: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  00074f70: 2369 646d 3139 3633 3922 2074 6162 696e  #idm19639" tabin
│ │ │  00074f80: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ @@ -30085,86 +30085,86 @@
│ │ │  00075840: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  00075850: 3d22 2369 646d 3139 3634 3622 2074 6162  ="#idm19646" tab
│ │ │  00075860: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │  00075870: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │  00075880: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │  00075890: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │  000758a0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -000758b0: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -000758c0: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -000758d0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -000758e0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -000758f0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00075900: 3d22 6964 6d31 3936 3436 223e 3c74 6162  ="idm19646"><tab
│ │ │ -00075910: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00075920: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00075930: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00075940: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00075950: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00075960: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00075970: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00075980: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -00075990: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -000759a0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -000759b0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -000759c0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -000759d0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -000759e0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -000759f0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -00075a00: 636f 6465 3e69 6e63 6c75 6465 2072 656d  code>include rem
│ │ │ -00075a10: 6f76 655f 6e69 730a 0a63 6c61 7373 2072  ove_nis..class r
│ │ │ -00075a20: 656d 6f76 655f 6e69 7320 7b0a 2020 7061  emove_nis {.  pa
│ │ │ -00075a30: 636b 6167 6520 7b20 276e 6973 273a 0a20  ckage { 'nis':. 
│ │ │ -00075a40: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -00075a50: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │ -00075a60: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00075a70: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00075a80: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00075a90: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00075aa0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00075ab0: 3d22 2369 646d 3139 3634 3722 2074 6162  ="#idm19647" tab
│ │ │ -00075ac0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -00075ad0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -00075ae0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -00075af0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -00075b00: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -00075b10: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ -00075b20: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ -00075b30: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00075b40: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00075b50: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00075b60: 643d 2269 646d 3139 3634 3722 3e3c 7461  d="idm19647"><ta
│ │ │ -00075b70: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00075b80: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00075b90: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00075ba0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00075bb0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -00075bc0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -00075bd0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00075be0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -00075bf0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00075c00: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -00075c10: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -00075c20: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00075c30: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -00075c40: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -00075c50: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00075c60: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ -00075c70: 7375 7265 206e 6973 2069 7320 7265 6d6f  sure nis is remo
│ │ │ -00075c80: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ -00075c90: 2020 206e 616d 653a 206e 6973 0a20 2020     name: nis.   
│ │ │ -00075ca0: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ -00075cb0: 2074 6167 733a 0a20 202d 2064 6973 6162   tags:.  - disab
│ │ │ -00075cc0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00075cd0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -00075ce0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -00075cf0: 6e0a 2020 2d20 6c6f 775f 7365 7665 7269  n.  - low_severi
│ │ │ -00075d00: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -00075d10: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -00075d20: 6167 655f 6e69 735f 7265 6d6f 7665 640a  age_nis_removed.
│ │ │ +000758b0: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ +000758c0: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ +000758d0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +000758e0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +000758f0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +00075900: 643d 2269 646d 3139 3634 3622 3e3c 7461  d="idm19646"><ta
│ │ │ +00075910: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +00075920: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +00075930: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +00075940: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00075950: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +00075960: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +00075970: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00075980: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +00075990: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +000759a0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +000759b0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +000759c0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +000759d0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +000759e0: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +000759f0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +00075a00: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ +00075a10: 7375 7265 206e 6973 2069 7320 7265 6d6f  sure nis is remo
│ │ │ +00075a20: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ +00075a30: 2020 206e 616d 653a 206e 6973 0a20 2020     name: nis.   
│ │ │ +00075a40: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ +00075a50: 2074 6167 733a 0a20 202d 2064 6973 6162   tags:.  - disab
│ │ │ +00075a60: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +00075a70: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +00075a80: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +00075a90: 6e0a 2020 2d20 6c6f 775f 7365 7665 7269  n.  - low_severi
│ │ │ +00075aa0: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +00075ab0: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +00075ac0: 6167 655f 6e69 735f 7265 6d6f 7665 640a  age_nis_removed.
│ │ │ +00075ad0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +00075ae0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +00075af0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +00075b00: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00075b10: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +00075b20: 3d22 2369 646d 3139 3634 3722 2074 6162  ="#idm19647" tab
│ │ │ +00075b30: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +00075b40: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +00075b50: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +00075b60: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +00075b70: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +00075b80: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ +00075b90: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ +00075ba0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00075bb0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00075bc0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00075bd0: 3d22 6964 6d31 3936 3437 223e 3c74 6162  ="idm19647"><tab
│ │ │ +00075be0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00075bf0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00075c00: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00075c10: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00075c20: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00075c30: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00075c40: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +00075c50: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +00075c60: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00075c70: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +00075c80: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +00075c90: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +00075ca0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +00075cb0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ +00075cc0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +00075cd0: 636f 6465 3e69 6e63 6c75 6465 2072 656d  code>include rem
│ │ │ +00075ce0: 6f76 655f 6e69 730a 0a63 6c61 7373 2072  ove_nis..class r
│ │ │ +00075cf0: 656d 6f76 655f 6e69 7320 7b0a 2020 7061  emove_nis {.  pa
│ │ │ +00075d00: 636b 6167 6520 7b20 276e 6973 273a 0a20  ckage { 'nis':. 
│ │ │ +00075d10: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ +00075d20: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │  00075d30: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  00075d40: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │  00075d50: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │  00075d60: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │  00075d70: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  00075d80: 3d22 2369 646d 3139 3634 3822 2074 6162  ="#idm19648" tab
│ │ │  00075d90: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ @@ -30309,87 +30309,87 @@
│ │ │  00076640: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │  00076650: 3936 3535 2220 7461 6269 6e64 6578 3d22  9655" tabindex="
│ │ │  00076660: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │  00076670: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │  00076680: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │  00076690: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │  000766a0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -000766b0: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ -000766c0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -000766d0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -000766e0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -000766f0: 6c61 7073 6522 2069 643d 2269 646d 3139  lapse" id="idm19
│ │ │ -00076700: 3635 3522 3e3c 7461 626c 6520 636c 6173  655"><table clas
│ │ │ -00076710: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -00076720: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -00076730: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -00076740: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00076750: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00076760: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00076770: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00076780: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00076790: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -000767a0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -000767b0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -000767c0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -000767d0: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ -000767e0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -000767f0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -00076800: 636c 7564 6520 7265 6d6f 7665 5f6e 7470  clude remove_ntp
│ │ │ -00076810: 6461 7465 0a0a 636c 6173 7320 7265 6d6f  date..class remo
│ │ │ -00076820: 7665 5f6e 7470 6461 7465 207b 0a20 2070  ve_ntpdate {.  p
│ │ │ -00076830: 6163 6b61 6765 207b 2027 6e74 7064 6174  ackage { 'ntpdat
│ │ │ -00076840: 6527 3a0a 2020 2020 656e 7375 7265 203d  e':.    ensure =
│ │ │ -00076850: 2667 743b 2027 7075 7267 6564 272c 0a20  &gt; 'purged',. 
│ │ │ -00076860: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -00076870: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -00076880: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -00076890: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -000768a0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -000768b0: 6172 6765 743d 2223 6964 6d31 3936 3536  arget="#idm19656
│ │ │ -000768c0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -000768d0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -000768e0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -000768f0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -00076900: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -00076910: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00076920: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -00076930: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00076940: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00076950: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00076960: 7365 2220 6964 3d22 6964 6d31 3936 3536  se" id="idm19656
│ │ │ -00076970: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00076980: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00076990: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -000769a0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -000769b0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -000769c0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -000769d0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -000769e0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -000769f0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00076a00: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00076a10: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00076a20: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00076a30: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00076a40: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -00076a50: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00076a60: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ -00076a70: 653a 2045 6e73 7572 6520 6e74 7064 6174  e: Ensure ntpdat
│ │ │ -00076a80: 6520 6973 2072 656d 6f76 6564 0a20 2070  e is removed.  p
│ │ │ -00076a90: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -00076aa0: 3a20 6e74 7064 6174 650a 2020 2020 7374  : ntpdate.    st
│ │ │ -00076ab0: 6174 653a 2061 6273 656e 740a 2020 7461  ate: absent.  ta
│ │ │ -00076ac0: 6773 3a0a 2020 2d20 6469 7361 626c 655f  gs:.  - disable_
│ │ │ -00076ad0: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -00076ae0: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -00076af0: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -00076b00: 202d 206c 6f77 5f73 6576 6572 6974 790a   - low_severity.
│ │ │ -00076b10: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -00076b20: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -00076b30: 5f6e 7470 6461 7465 5f72 656d 6f76 6564  _ntpdate_removed
│ │ │ +000766b0: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ +000766c0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +000766d0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +000766e0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +000766f0: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ +00076700: 3936 3535 223e 3c74 6162 6c65 2063 6c61  9655"><table cla
│ │ │ +00076710: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +00076720: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +00076730: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +00076740: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +00076750: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +00076760: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00076770: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +00076780: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +00076790: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +000767a0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +000767b0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +000767c0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +000767d0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ +000767e0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +000767f0: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ +00076800: 206e 616d 653a 2045 6e73 7572 6520 6e74   name: Ensure nt
│ │ │ +00076810: 7064 6174 6520 6973 2072 656d 6f76 6564  pdate is removed
│ │ │ +00076820: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ +00076830: 6e61 6d65 3a20 6e74 7064 6174 650a 2020  name: ntpdate.  
│ │ │ +00076840: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ +00076850: 2020 7461 6773 3a0a 2020 2d20 6469 7361    tags:.  - disa
│ │ │ +00076860: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +00076870: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +00076880: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +00076890: 6f6e 0a20 202d 206c 6f77 5f73 6576 6572  on.  - low_sever
│ │ │ +000768a0: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ +000768b0: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ +000768c0: 6b61 6765 5f6e 7470 6461 7465 5f72 656d  kage_ntpdate_rem
│ │ │ +000768d0: 6f76 6564 0a3c 2f63 6f64 653e 3c2f 7072  oved.</code></pr
│ │ │ +000768e0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +000768f0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00076900: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00076910: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00076920: 6172 6765 743d 2223 6964 6d31 3936 3536  arget="#idm19656
│ │ │ +00076930: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00076940: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00076950: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00076960: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00076970: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00076980: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +00076990: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +000769a0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +000769b0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +000769c0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +000769d0: 6522 2069 643d 2269 646d 3139 3635 3622  e" id="idm19656"
│ │ │ +000769e0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +000769f0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00076a00: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00076a10: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00076a20: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00076a30: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00076a40: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00076a50: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00076a60: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00076a70: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00076a80: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00076a90: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00076aa0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00076ab0: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +00076ac0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00076ad0: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +00076ae0: 6520 7265 6d6f 7665 5f6e 7470 6461 7465  e remove_ntpdate
│ │ │ +00076af0: 0a0a 636c 6173 7320 7265 6d6f 7665 5f6e  ..class remove_n
│ │ │ +00076b00: 7470 6461 7465 207b 0a20 2070 6163 6b61  tpdate {.  packa
│ │ │ +00076b10: 6765 207b 2027 6e74 7064 6174 6527 3a0a  ge { 'ntpdate':.
│ │ │ +00076b20: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ +00076b30: 2027 7075 7267 6564 272c 0a20 207d 0a7d   'purged',.  }.}
│ │ │  00076b40: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │  00076b50: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │  00076b60: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │  00076b70: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │  00076b80: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │  00076b90: 743d 2223 6964 6d31 3936 3537 2220 7461  t="#idm19657" ta
│ │ │  00076ba0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ @@ -30651,93 +30651,93 @@
│ │ │  00077ba0: 7267 6574 3d22 2369 646d 3139 3735 3622  rget="#idm19756"
│ │ │  00077bb0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  00077bc0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  00077bd0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  00077be0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  00077bf0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  00077c00: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00077c10: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ -00077c20: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -00077c30: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00077c40: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00077c50: 2220 6964 3d22 6964 6d31 3937 3536 223e  " id="idm19756">
│ │ │ -00077c60: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00077c70: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00077c80: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00077c90: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00077ca0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00077cb0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00077cc0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00077cd0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -00077ce0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00077cf0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00077d00: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00077d10: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00077d20: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00077d30: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -00077d40: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00077d50: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ -00077d60: 2072 656d 6f76 655f 7465 6c6e 6574 642d   remove_telnetd-
│ │ │ -00077d70: 7373 6c0a 0a63 6c61 7373 2072 656d 6f76  ssl..class remov
│ │ │ -00077d80: 655f 7465 6c6e 6574 642d 7373 6c20 7b0a  e_telnetd-ssl {.
│ │ │ -00077d90: 2020 7061 636b 6167 6520 7b20 2774 656c    package { 'tel
│ │ │ -00077da0: 6e65 7464 2d73 736c 273a 0a20 2020 2065  netd-ssl':.    e
│ │ │ -00077db0: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ -00077dc0: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │ -00077dd0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -00077de0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -00077df0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -00077e00: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -00077e10: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00077e20: 646d 3139 3735 3722 2074 6162 696e 6465  dm19757" tabinde
│ │ │ -00077e30: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -00077e40: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -00077e50: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -00077e60: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -00077e70: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00077e80: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -00077e90: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -00077ea0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -00077eb0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -00077ec0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -00077ed0: 646d 3139 3735 3722 3e3c 7461 626c 6520  dm19757"><table 
│ │ │ -00077ee0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -00077ef0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -00077f00: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -00077f10: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -00077f20: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -00077f30: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00077f40: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -00077f50: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -00077f60: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00077f70: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -00077f80: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -00077f90: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -00077fa0: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -00077fb0: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -00077fc0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -00077fd0: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ -00077fe0: 2074 656c 6e65 7464 2d73 736c 2069 7320   telnetd-ssl is 
│ │ │ -00077ff0: 7265 6d6f 7665 640a 2020 7061 636b 6167  removed.  packag
│ │ │ -00078000: 653a 0a20 2020 206e 616d 653a 2074 656c  e:.    name: tel
│ │ │ -00078010: 6e65 7464 2d73 736c 0a20 2020 2073 7461  netd-ssl.    sta
│ │ │ -00078020: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ -00078030: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -00078040: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ -00078050: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ -00078060: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ -00078070: 3533 2d43 4d2d 3728 6229 0a20 202d 2064  53-CM-7(b).  - d
│ │ │ -00078080: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ -00078090: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ -000780a0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -000780b0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -000780c0: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ -000780d0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -000780e0: 2070 6163 6b61 6765 5f74 656c 6e65 7464   package_telnetd
│ │ │ -000780f0: 2d73 736c 5f72 656d 6f76 6564 0a3c 2f63  -ssl_removed.</c
│ │ │ +00077c10: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +00077c20: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00077c30: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00077c40: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00077c50: 6522 2069 643d 2269 646d 3139 3735 3622  e" id="idm19756"
│ │ │ +00077c60: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00077c70: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00077c80: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00077c90: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00077ca0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00077cb0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00077cc0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00077cd0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00077ce0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00077cf0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00077d00: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00077d10: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00077d20: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00077d30: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +00077d40: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00077d50: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +00077d60: 3a20 456e 7375 7265 2074 656c 6e65 7464  : Ensure telnetd
│ │ │ +00077d70: 2d73 736c 2069 7320 7265 6d6f 7665 640a  -ssl is removed.
│ │ │ +00077d80: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ +00077d90: 616d 653a 2074 656c 6e65 7464 2d73 736c  ame: telnetd-ssl
│ │ │ +00077da0: 0a20 2020 2073 7461 7465 3a20 6162 7365  .    state: abse
│ │ │ +00077db0: 6e74 0a20 2074 6167 733a 0a20 202d 204e  nt.  tags:.  - N
│ │ │ +00077dc0: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +00077dd0: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +00077de0: 3533 2d43 4d2d 3728 6129 0a20 202d 204e  53-CM-7(a).  - N
│ │ │ +00077df0: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ +00077e00: 6229 0a20 202d 2064 6973 6162 6c65 5f73  b).  - disable_s
│ │ │ +00077e10: 7472 6174 6567 790a 2020 2d20 6869 6768  trategy.  - high
│ │ │ +00077e20: 5f73 6576 6572 6974 790a 2020 2d20 6c6f  _severity.  - lo
│ │ │ +00077e30: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +00077e40: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +00077e50: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +00077e60: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ +00077e70: 5f74 656c 6e65 7464 2d73 736c 5f72 656d  _telnetd-ssl_rem
│ │ │ +00077e80: 6f76 6564 0a3c 2f63 6f64 653e 3c2f 7072  oved.</code></pr
│ │ │ +00077e90: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00077ea0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00077eb0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00077ec0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00077ed0: 6172 6765 743d 2223 6964 6d31 3937 3537  arget="#idm19757
│ │ │ +00077ee0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00077ef0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00077f00: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00077f10: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00077f20: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00077f30: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +00077f40: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +00077f50: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00077f60: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00077f70: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00077f80: 6522 2069 643d 2269 646d 3139 3735 3722  e" id="idm19757"
│ │ │ +00077f90: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00077fa0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00077fb0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00077fc0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00077fd0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00077fe0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00077ff0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00078000: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00078010: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00078020: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00078030: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00078040: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00078050: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00078060: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +00078070: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00078080: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +00078090: 6520 7265 6d6f 7665 5f74 656c 6e65 7464  e remove_telnetd
│ │ │ +000780a0: 2d73 736c 0a0a 636c 6173 7320 7265 6d6f  -ssl..class remo
│ │ │ +000780b0: 7665 5f74 656c 6e65 7464 2d73 736c 207b  ve_telnetd-ssl {
│ │ │ +000780c0: 0a20 2070 6163 6b61 6765 207b 2027 7465  .  package { 'te
│ │ │ +000780d0: 6c6e 6574 642d 7373 6c27 3a0a 2020 2020  lnetd-ssl':.    
│ │ │ +000780e0: 656e 7375 7265 203d 2667 743b 2027 7075  ensure =&gt; 'pu
│ │ │ +000780f0: 7267 6564 272c 0a20 207d 0a7d 0a3c 2f63  rged',.  }.}.</c
│ │ │  00078100: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │  00078110: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │  00078120: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │  00078130: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │  00078140: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  00078150: 6964 6d31 3937 3538 2220 7461 6269 6e64  idm19758" tabind
│ │ │  00078160: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ @@ -30999,92 +30999,92 @@
│ │ │  00079160: 7267 6574 3d22 2369 646d 3139 3835 3622  rget="#idm19856"
│ │ │  00079170: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  00079180: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  00079190: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  000791a0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  000791b0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  000791c0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -000791d0: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ -000791e0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -000791f0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00079200: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00079210: 2220 6964 3d22 6964 6d31 3938 3536 223e  " id="idm19856">
│ │ │ -00079220: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00079230: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00079240: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00079250: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00079260: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00079270: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00079280: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00079290: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -000792a0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -000792b0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -000792c0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -000792d0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -000792e0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -000792f0: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -00079300: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00079310: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ -00079320: 2072 656d 6f76 655f 7465 6c6e 6574 640a   remove_telnetd.
│ │ │ -00079330: 0a63 6c61 7373 2072 656d 6f76 655f 7465  .class remove_te
│ │ │ -00079340: 6c6e 6574 6420 7b0a 2020 7061 636b 6167  lnetd {.  packag
│ │ │ -00079350: 6520 7b20 2774 656c 6e65 7464 273a 0a20  e { 'telnetd':. 
│ │ │ -00079360: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -00079370: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │ -00079380: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00079390: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -000793a0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -000793b0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -000793c0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -000793d0: 3d22 2369 646d 3139 3835 3722 2074 6162  ="#idm19857" tab
│ │ │ -000793e0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -000793f0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -00079400: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -00079410: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -00079420: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -00079430: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ -00079440: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ -00079450: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00079460: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00079470: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00079480: 643d 2269 646d 3139 3835 3722 3e3c 7461  d="idm19857"><ta
│ │ │ -00079490: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -000794a0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -000794b0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -000794c0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -000794d0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -000794e0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -000794f0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00079500: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -00079510: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00079520: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -00079530: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -00079540: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00079550: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -00079560: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -00079570: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00079580: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ -00079590: 7375 7265 2074 656c 6e65 7464 2069 7320  sure telnetd is 
│ │ │ -000795a0: 7265 6d6f 7665 640a 2020 7061 636b 6167  removed.  packag
│ │ │ -000795b0: 653a 0a20 2020 206e 616d 653a 2074 656c  e:.    name: tel
│ │ │ -000795c0: 6e65 7464 0a20 2020 2073 7461 7465 3a20  netd.    state: 
│ │ │ -000795d0: 6162 7365 6e74 0a20 2074 6167 733a 0a20  absent.  tags:. 
│ │ │ -000795e0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -000795f0: 4d2d 3628 6129 0a20 202d 204e 4953 542d  M-6(a).  - NIST-
│ │ │ -00079600: 3830 302d 3533 2d43 4d2d 3728 6129 0a20  800-53-CM-7(a). 
│ │ │ -00079610: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -00079620: 4d2d 3728 6229 0a20 202d 2064 6973 6162  M-7(b).  - disab
│ │ │ -00079630: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00079640: 6869 6768 5f73 6576 6572 6974 790a 2020  high_severity.  
│ │ │ -00079650: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -00079660: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -00079670: 696f 6e0a 2020 2d20 6e6f 5f72 6562 6f6f  ion.  - no_reboo
│ │ │ -00079680: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -00079690: 6b61 6765 5f74 656c 6e65 7464 5f72 656d  kage_telnetd_rem
│ │ │ -000796a0: 6f76 6564 0a3c 2f63 6f64 653e 3c2f 7072  oved.</code></pr
│ │ │ +000791d0: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +000791e0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +000791f0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00079200: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00079210: 6522 2069 643d 2269 646d 3139 3835 3622  e" id="idm19856"
│ │ │ +00079220: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00079230: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00079240: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00079250: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00079260: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00079270: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00079280: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00079290: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +000792a0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +000792b0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +000792c0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +000792d0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +000792e0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +000792f0: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +00079300: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00079310: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +00079320: 3a20 456e 7375 7265 2074 656c 6e65 7464  : Ensure telnetd
│ │ │ +00079330: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ +00079340: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ +00079350: 2074 656c 6e65 7464 0a20 2020 2073 7461   telnetd.    sta
│ │ │ +00079360: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ +00079370: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +00079380: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ +00079390: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ +000793a0: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +000793b0: 3533 2d43 4d2d 3728 6229 0a20 202d 2064  53-CM-7(b).  - d
│ │ │ +000793c0: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ +000793d0: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ +000793e0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +000793f0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00079400: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ +00079410: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +00079420: 2070 6163 6b61 6765 5f74 656c 6e65 7464   package_telnetd
│ │ │ +00079430: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ +00079440: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +00079450: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +00079460: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +00079470: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +00079480: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ +00079490: 3938 3537 2220 7461 6269 6e64 6578 3d22  9857" tabindex="
│ │ │ +000794a0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +000794b0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +000794c0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +000794d0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +000794e0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +000794f0: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +00079500: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00079510: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00079520: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00079530: 6c61 7073 6522 2069 643d 2269 646d 3139  lapse" id="idm19
│ │ │ +00079540: 3835 3722 3e3c 7461 626c 6520 636c 6173  857"><table clas
│ │ │ +00079550: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00079560: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00079570: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00079580: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00079590: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +000795a0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +000795b0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +000795c0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +000795d0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +000795e0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +000795f0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00079600: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00079610: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +00079620: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00079630: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +00079640: 636c 7564 6520 7265 6d6f 7665 5f74 656c  clude remove_tel
│ │ │ +00079650: 6e65 7464 0a0a 636c 6173 7320 7265 6d6f  netd..class remo
│ │ │ +00079660: 7665 5f74 656c 6e65 7464 207b 0a20 2070  ve_telnetd {.  p
│ │ │ +00079670: 6163 6b61 6765 207b 2027 7465 6c6e 6574  ackage { 'telnet
│ │ │ +00079680: 6427 3a0a 2020 2020 656e 7375 7265 203d  d':.    ensure =
│ │ │ +00079690: 2667 743b 2027 7075 7267 6564 272c 0a20  &gt; 'purged',. 
│ │ │ +000796a0: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │  000796b0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │  000796c0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │  000796d0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │  000796e0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │  000796f0: 6172 6765 743d 2223 6964 6d31 3938 3538  arget="#idm19858
│ │ │  00079700: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │  00079710: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ @@ -31580,129 +31580,129 @@
│ │ │  0007b5b0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  0007b5c0: 3d22 2369 646d 3230 3531 3922 2074 6162  ="#idm20519" tab
│ │ │  0007b5d0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │  0007b5e0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │  0007b5f0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │  0007b600: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │  0007b610: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -0007b620: 2122 3e52 656d 6564 6961 7469 6f6e 204f  !">Remediation O
│ │ │ -0007b630: 5342 7569 6c64 2042 6c75 6570 7269 6e74  SBuild Blueprint
│ │ │ -0007b640: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -0007b650: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -0007b660: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -0007b670: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -0007b680: 3230 3531 3922 3e3c 7072 653e 3c63 6f64  20519"><pre><cod
│ │ │ -0007b690: 653e 0a5b 5b70 6163 6b61 6765 735d 5d0a  e>.[[packages]].
│ │ │ -0007b6a0: 6e61 6d65 203d 2022 6e74 7022 0a76 6572  name = "ntp".ver
│ │ │ -0007b6b0: 7369 6f6e 203d 2022 2a22 0a3c 2f63 6f64  sion = "*".</cod
│ │ │ -0007b6c0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -0007b6d0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -0007b6e0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -0007b6f0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -0007b700: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -0007b710: 6d32 3035 3230 2220 7461 6269 6e64 6578  m20520" tabindex
│ │ │ -0007b720: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -0007b730: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -0007b740: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -0007b750: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -0007b760: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -0007b770: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ -0007b780: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -0007b790: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -0007b7a0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -0007b7b0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -0007b7c0: 3230 3532 3022 3e3c 7461 626c 6520 636c  20520"><table cl
│ │ │ -0007b7d0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -0007b7e0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -0007b7f0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -0007b800: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -0007b810: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -0007b820: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0007b830: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -0007b840: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -0007b850: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0007b860: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -0007b870: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -0007b880: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -0007b890: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -0007b8a0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -0007b8b0: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ -0007b8c0: 6e63 6c75 6465 2069 6e73 7461 6c6c 5f6e  nclude install_n
│ │ │ -0007b8d0: 7470 0a0a 636c 6173 7320 696e 7374 616c  tp..class instal
│ │ │ -0007b8e0: 6c5f 6e74 7020 7b0a 2020 7061 636b 6167  l_ntp {.  packag
│ │ │ -0007b8f0: 6520 7b20 276e 7470 273a 0a20 2020 2065  e { 'ntp':.    e
│ │ │ -0007b900: 6e73 7572 6520 3d26 6774 3b20 2769 6e73  nsure =&gt; 'ins
│ │ │ -0007b910: 7461 6c6c 6564 272c 0a20 207d 0a7d 0a3c  talled',.  }.}.<
│ │ │ -0007b920: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -0007b930: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -0007b940: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -0007b950: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -0007b960: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -0007b970: 2223 6964 6d32 3035 3231 2220 7461 6269  "#idm20521" tabi
│ │ │ -0007b980: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -0007b990: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -0007b9a0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -0007b9b0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -0007b9c0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -0007b9d0: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -0007b9e0: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -0007b9f0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -0007ba00: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -0007ba10: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -0007ba20: 3d22 6964 6d32 3035 3231 223e 3c74 6162  ="idm20521"><tab
│ │ │ -0007ba30: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -0007ba40: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -0007ba50: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -0007ba60: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -0007ba70: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -0007ba80: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0007ba90: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -0007baa0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -0007bab0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -0007bac0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -0007bad0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -0007bae0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -0007baf0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -0007bb00: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -0007bb10: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -0007bb20: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ -0007bb30: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ -0007bb40: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ -0007bb50: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ -0007bb60: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ -0007bb70: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0007bb80: 434d 2d36 2861 290a 2020 2d20 5043 492d  CM-6(a).  - PCI-
│ │ │ -0007bb90: 4453 532d 5265 712d 3130 2e34 0a20 202d  DSS-Req-10.4.  -
│ │ │ -0007bba0: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -0007bbb0: 0a20 202d 2068 6967 685f 7365 7665 7269  .  - high_severi
│ │ │ -0007bbc0: 7479 0a20 202d 206c 6f77 5f63 6f6d 706c  ty.  - low_compl
│ │ │ -0007bbd0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -0007bbe0: 7372 7570 7469 6f6e 0a20 202d 206e 6f5f  sruption.  - no_
│ │ │ -0007bbf0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -0007bc00: 2d20 7061 636b 6167 655f 6e74 705f 696e  - package_ntp_in
│ │ │ -0007bc10: 7374 616c 6c65 640a 0a2d 206e 616d 653a  stalled..- name:
│ │ │ -0007bc20: 2045 6e73 7572 6520 6e74 7020 6973 2069   Ensure ntp is i
│ │ │ -0007bc30: 6e73 7461 6c6c 6564 0a20 2070 6163 6b61  nstalled.  packa
│ │ │ -0007bc40: 6765 3a0a 2020 2020 6e61 6d65 3a20 6e74  ge:.    name: nt
│ │ │ -0007bc50: 700a 2020 2020 7374 6174 653a 2070 7265  p.    state: pre
│ │ │ -0007bc60: 7365 6e74 0a20 2077 6865 6e3a 2027 226c  sent.  when: '"l
│ │ │ -0007bc70: 696e 7578 2d62 6173 6522 2069 6e20 616e  inux-base" in an
│ │ │ -0007bc80: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ -0007bc90: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ -0007bca0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -0007bcb0: 2d36 2861 290a 2020 2d20 5043 492d 4453  -6(a).  - PCI-DS
│ │ │ -0007bcc0: 532d 5265 712d 3130 2e34 0a20 202d 2065  S-Req-10.4.  - e
│ │ │ -0007bcd0: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -0007bce0: 202d 2068 6967 685f 7365 7665 7269 7479   - high_severity
│ │ │ -0007bcf0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -0007bd00: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -0007bd10: 7570 7469 6f6e 0a20 202d 206e 6f5f 7265  uption.  - no_re
│ │ │ -0007bd20: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -0007bd30: 7061 636b 6167 655f 6e74 705f 696e 7374  package_ntp_inst
│ │ │ -0007bd40: 616c 6c65 640a 3c2f 636f 6465 3e3c 2f70  alled.</code></p
│ │ │ +0007b620: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ +0007b630: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ +0007b640: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +0007b650: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +0007b660: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +0007b670: 643d 2269 646d 3230 3531 3922 3e3c 7461  d="idm20519"><ta
│ │ │ +0007b680: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +0007b690: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +0007b6a0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +0007b6b0: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +0007b6c0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +0007b6d0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +0007b6e0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0007b6f0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +0007b700: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0007b710: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +0007b720: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +0007b730: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0007b740: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +0007b750: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ +0007b760: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +0007b770: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ +0007b780: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ +0007b790: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ +0007b7a0: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ +0007b7b0: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ +0007b7c0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0007b7d0: 2d43 4d2d 3628 6129 0a20 202d 2050 4349  -CM-6(a).  - PCI
│ │ │ +0007b7e0: 2d44 5353 2d52 6571 2d31 302e 340a 2020  -DSS-Req-10.4.  
│ │ │ +0007b7f0: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +0007b800: 790a 2020 2d20 6869 6768 5f73 6576 6572  y.  - high_sever
│ │ │ +0007b810: 6974 790a 2020 2d20 6c6f 775f 636f 6d70  ity.  - low_comp
│ │ │ +0007b820: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +0007b830: 6973 7275 7074 696f 6e0a 2020 2d20 6e6f  isruption.  - no
│ │ │ +0007b840: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +0007b850: 202d 2070 6163 6b61 6765 5f6e 7470 5f69   - package_ntp_i
│ │ │ +0007b860: 6e73 7461 6c6c 6564 0a0a 2d20 6e61 6d65  nstalled..- name
│ │ │ +0007b870: 3a20 456e 7375 7265 206e 7470 2069 7320  : Ensure ntp is 
│ │ │ +0007b880: 696e 7374 616c 6c65 640a 2020 7061 636b  installed.  pack
│ │ │ +0007b890: 6167 653a 0a20 2020 206e 616d 653a 206e  age:.    name: n
│ │ │ +0007b8a0: 7470 0a20 2020 2073 7461 7465 3a20 7072  tp.    state: pr
│ │ │ +0007b8b0: 6573 656e 740a 2020 7768 656e 3a20 2722  esent.  when: '"
│ │ │ +0007b8c0: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ +0007b8d0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ +0007b8e0: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ +0007b8f0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +0007b900: 4d2d 3628 6129 0a20 202d 2050 4349 2d44  M-6(a).  - PCI-D
│ │ │ +0007b910: 5353 2d52 6571 2d31 302e 340a 2020 2d20  SS-Req-10.4.  - 
│ │ │ +0007b920: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +0007b930: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ +0007b940: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +0007b950: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +0007b960: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ +0007b970: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +0007b980: 2070 6163 6b61 6765 5f6e 7470 5f69 6e73   package_ntp_ins
│ │ │ +0007b990: 7461 6c6c 6564 0a3c 2f63 6f64 653e 3c2f  talled.</code></
│ │ │ +0007b9a0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +0007b9b0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +0007b9c0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +0007b9d0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +0007b9e0: 2d74 6172 6765 743d 2223 6964 6d32 3035  -target="#idm205
│ │ │ +0007b9f0: 3230 2220 7461 6269 6e64 6578 3d22 3022  20" tabindex="0"
│ │ │ +0007ba00: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +0007ba10: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +0007ba20: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +0007ba30: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +0007ba40: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +0007ba50: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ +0007ba60: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +0007ba70: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +0007ba80: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +0007ba90: 7073 6522 2069 643d 2269 646d 3230 3532  pse" id="idm2052
│ │ │ +0007baa0: 3022 3e3c 7461 626c 6520 636c 6173 733d  0"><table class=
│ │ │ +0007bab0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +0007bac0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +0007bad0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +0007bae0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +0007baf0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +0007bb00: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0007bb10: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +0007bb20: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0007bb30: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +0007bb40: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +0007bb50: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +0007bb60: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +0007bb70: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ +0007bb80: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +0007bb90: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ +0007bba0: 6465 2069 6e73 7461 6c6c 5f6e 7470 0a0a  de install_ntp..
│ │ │ +0007bbb0: 636c 6173 7320 696e 7374 616c 6c5f 6e74  class install_nt
│ │ │ +0007bbc0: 7020 7b0a 2020 7061 636b 6167 6520 7b20  p {.  package { 
│ │ │ +0007bbd0: 276e 7470 273a 0a20 2020 2065 6e73 7572  'ntp':.    ensur
│ │ │ +0007bbe0: 6520 3d26 6774 3b20 2769 6e73 7461 6c6c  e =&gt; 'install
│ │ │ +0007bbf0: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ +0007bc00: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +0007bc10: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +0007bc20: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +0007bc30: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +0007bc40: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +0007bc50: 6d32 3035 3231 2220 7461 6269 6e64 6578  m20521" tabindex
│ │ │ +0007bc60: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +0007bc70: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +0007bc80: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +0007bc90: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +0007bca0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +0007bcb0: 6d65 6469 6174 696f 6e20 4f53 4275 696c  mediation OSBuil
│ │ │ +0007bcc0: 6420 426c 7565 7072 696e 7420 736e 6970  d Blueprint snip
│ │ │ +0007bcd0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +0007bce0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +0007bcf0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +0007bd00: 7365 2220 6964 3d22 6964 6d32 3035 3231  se" id="idm20521
│ │ │ +0007bd10: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b5b  "><pre><code>.[[
│ │ │ +0007bd20: 7061 636b 6167 6573 5d5d 0a6e 616d 6520  packages]].name 
│ │ │ +0007bd30: 3d20 226e 7470 220a 7665 7273 696f 6e20  = "ntp".version 
│ │ │ +0007bd40: 3d20 222a 220a 3c2f 636f 6465 3e3c 2f70  = "*".</code></p
│ │ │  0007bd50: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │  0007bd60: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │  0007bd70: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │  0007bd80: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │  0007bd90: 7461 7267 6574 3d22 2369 646d 3230 3532  target="#idm2052
│ │ │  0007bda0: 3222 2074 6162 696e 6465 783d 2230 2220  2" tabindex="0" 
│ │ │  0007bdb0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ ├── html2text {}
│ │ │ │ @@ -1816,31 +1816,14 @@
│ │ │ │              _d_i_s_a           CCI-001311, CCI-001312
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "syslog-ng"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_syslog-ng
│ │ │ │ -
│ │ │ │ -class install_syslog-ng {
│ │ │ │ -  package { 'syslog-ng':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1863,14 +1846,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_syslogng_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_syslog-ng
│ │ │ │ +
│ │ │ │ +class install_syslog-ng {
│ │ │ │ +  package { 'syslog-ng':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "syslog-ng"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -1900,31 +1900,14 @@
│ │ │ │                             4.4.2.2, 4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["syslog-ng"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_syslog-ng
│ │ │ │ -
│ │ │ │ -class enable_syslog-ng {
│ │ │ │ -  service {'syslog-ng':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1960,14 +1943,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_syslogng_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_syslog-ng
│ │ │ │ +
│ │ │ │ +class enable_syslog-ng {
│ │ │ │ +  service {'syslog-ng':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["syslog-ng"]
│ │ │ │  ****** RRuullee? ?  EEnnssuurree rrssyysslloogg iiss IInnssttaalllleedd ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Rsyslog is installed by default. The rsyslog package can be installed with the
│ │ │ │  following command:
│ │ │ │   $ apt-get install rsyslog
│ │ │ │  Rationale:  The rsyslog package provides the rsyslog daemon, which provides
│ │ │ │              system logging services.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -1980,31 +1980,14 @@
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000479-GPOS-00224, SRG-OS-000051-GPOS-00024,
│ │ │ │                             SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2027,14 +2010,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsyslog_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -2065,31 +2065,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2125,14 +2108,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]
│ │ │ │  Group   File Permissions and Masks   Group contains 5 groups and 17 rules
│ │ │ │  _[_r_e_f_]   Traditional Unix security relies heavily on file and directory
│ │ │ │  permissions to prevent unauthorized users from reading or modifying files to
│ │ │ │  which they should not have access.
│ │ │ │  
│ │ │ │  Several of the commands in this section search filesystems for files or
│ │ │ │  directories with certain characteristics, and are intended to be run on every
│ │ │ │ @@ -3932,26 +3932,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_inetutils-telnetd
│ │ │ │ -
│ │ │ │ -class remove_inetutils-telnetd {
│ │ │ │ -  package { 'inetutils-telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure inetutils-telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -3963,14 +3951,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_inetutils-telnetd_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_inetutils-telnetd
│ │ │ │ +
│ │ │ │ +class remove_inetutils-telnetd {
│ │ │ │ +  package { 'inetutils-telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove inetutils-telnetd
│ │ │ │ @@ -3983,26 +3983,14 @@
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The support for Yellowpages should not be installed unless it is required.
│ │ │ │             NIS is the historical SUN service for central account management,
│ │ │ │  Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │             security constraints, ACL, etc. and should not be used.
│ │ │ │  Severity:  low
│ │ │ │  Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_nis
│ │ │ │ -
│ │ │ │ -class remove_nis {
│ │ │ │ -  package { 'nis':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure nis is removed
│ │ │ │    package:
│ │ │ │ @@ -4011,14 +3999,26 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_nis_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_nis
│ │ │ │ +
│ │ │ │ +class remove_nis {
│ │ │ │ +  package { 'nis':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove nis
│ │ │ │ @@ -4032,26 +4032,14 @@
│ │ │ │  ntpdate is a historical ntp synchronization client for unixes. It sould be
│ │ │ │  uninstalled.
│ │ │ │             ntpdate is an old not security-compliant ntp client. It should be
│ │ │ │  Rationale: replaced by modern ntp clients such as ntpd, able to use
│ │ │ │             cryptographic mechanisms integrated in NTP.
│ │ │ │  Severity:  low
│ │ │ │  Rule ID:   xccdf_org.ssgproject.content_rule_package_ntpdate_removed
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ntpdate
│ │ │ │ -
│ │ │ │ -class remove_ntpdate {
│ │ │ │ -  package { 'ntpdate':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ntpdate is removed
│ │ │ │    package:
│ │ │ │ @@ -4060,14 +4048,26 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ntpdate_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ntpdate
│ │ │ │ +
│ │ │ │ +class remove_ntpdate {
│ │ │ │ +  package { 'ntpdate':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove ntpdate
│ │ │ │ @@ -4098,26 +4098,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd-ssl
│ │ │ │ -
│ │ │ │ -class remove_telnetd-ssl {
│ │ │ │ -  package { 'telnetd-ssl':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd-ssl is removed
│ │ │ │    package:
│ │ │ │ @@ -4129,14 +4117,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd-ssl_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd-ssl
│ │ │ │ +
│ │ │ │ +class remove_telnetd-ssl {
│ │ │ │ +  package { 'telnetd-ssl':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnetd-ssl
│ │ │ │ @@ -4168,26 +4168,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd
│ │ │ │ -
│ │ │ │ -class remove_telnetd {
│ │ │ │ -  package { 'telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -4199,14 +4187,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd
│ │ │ │ +
│ │ │ │ +class remove_telnetd {
│ │ │ │ +  package { 'telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnetd
│ │ │ │ @@ -4281,31 +4281,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "ntp"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_ntp
│ │ │ │ -
│ │ │ │ -class install_ntp {
│ │ │ │ -  package { 'ntp':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4330,14 +4313,31 @@
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ntp_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_ntp
│ │ │ │ +
│ │ │ │ +class install_ntp {
│ │ │ │ +  package { 'ntp':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "ntp"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian12-guide-anssi_np_nt28_high.html
│ │ │ @@ -21244,129 +21244,129 @@
│ │ │  00052fb0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  00052fc0: 2369 646d 3130 3730 3122 2074 6162 696e  #idm10701" tabin
│ │ │  00052fd0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  00052fe0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  00052ff0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  00053000: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  00053010: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00053020: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ -00053030: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ -00053040: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00053050: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00053060: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -00053070: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ -00053080: 3730 3122 3e3c 7072 653e 3c63 6f64 653e  701"><pre><code>
│ │ │ -00053090: 0a5b 5b70 6163 6b61 6765 735d 5d0a 6e61  .[[packages]].na
│ │ │ -000530a0: 6d65 203d 2022 7379 736c 6f67 2d6e 6722  me = "syslog-ng"
│ │ │ -000530b0: 0a76 6572 7369 6f6e 203d 2022 2a22 0a3c  .version = "*".<
│ │ │ -000530c0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -000530d0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -000530e0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -000530f0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -00053100: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -00053110: 2223 6964 6d31 3037 3032 2220 7461 6269  "#idm10702" tabi
│ │ │ -00053120: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -00053130: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -00053140: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -00053150: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -00053160: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00053170: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ -00053180: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ -00053190: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -000531a0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -000531b0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -000531c0: 2269 646d 3130 3730 3222 3e3c 7461 626c  "idm10702"><tabl
│ │ │ -000531d0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -000531e0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -000531f0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00053200: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00053210: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00053220: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00053230: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00053240: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00053250: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00053260: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00053270: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00053280: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00053290: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -000532a0: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -000532b0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -000532c0: 6465 3e69 6e63 6c75 6465 2069 6e73 7461  de>include insta
│ │ │ -000532d0: 6c6c 5f73 7973 6c6f 672d 6e67 0a0a 636c  ll_syslog-ng..cl
│ │ │ -000532e0: 6173 7320 696e 7374 616c 6c5f 7379 736c  ass install_sysl
│ │ │ -000532f0: 6f67 2d6e 6720 7b0a 2020 7061 636b 6167  og-ng {.  packag
│ │ │ -00053300: 6520 7b20 2773 7973 6c6f 672d 6e67 273a  e { 'syslog-ng':
│ │ │ -00053310: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ -00053320: 3b20 2769 6e73 7461 6c6c 6564 272c 0a20  ; 'installed',. 
│ │ │ -00053330: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -00053340: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -00053350: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -00053360: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -00053370: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -00053380: 6172 6765 743d 2223 6964 6d31 3037 3033  arget="#idm10703
│ │ │ -00053390: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -000533a0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -000533b0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -000533c0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -000533d0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -000533e0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -000533f0: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -00053400: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00053410: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00053420: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00053430: 7365 2220 6964 3d22 6964 6d31 3037 3033  se" id="idm10703
│ │ │ -00053440: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00053450: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00053460: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00053470: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00053480: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00053490: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -000534a0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -000534b0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -000534c0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -000534d0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -000534e0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -000534f0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00053500: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00053510: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00053520: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00053530: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -00053540: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ -00053550: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ -00053560: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ -00053570: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ -00053580: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -00053590: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ -000535a0: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -000535b0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -000535c0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -000535d0: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -000535e0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -000535f0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -00053600: 0a20 202d 2070 6163 6b61 6765 5f73 7973  .  - package_sys
│ │ │ -00053610: 6c6f 676e 675f 696e 7374 616c 6c65 640a  logng_installed.
│ │ │ -00053620: 0a2d 206e 616d 653a 2045 6e73 7572 6520  .- name: Ensure 
│ │ │ -00053630: 7379 736c 6f67 2d6e 6720 6973 2069 6e73  syslog-ng is ins
│ │ │ -00053640: 7461 6c6c 6564 0a20 2070 6163 6b61 6765  talled.  package
│ │ │ -00053650: 3a0a 2020 2020 6e61 6d65 3a20 7379 736c  :.    name: sysl
│ │ │ -00053660: 6f67 2d6e 670a 2020 2020 7374 6174 653a  og-ng.    state:
│ │ │ -00053670: 2070 7265 7365 6e74 0a20 2077 6865 6e3a   present.  when:
│ │ │ -00053680: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ -00053690: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ -000536a0: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ -000536b0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -000536c0: 332d 434d 2d36 2861 290a 2020 2d20 656e  3-CM-6(a).  - en
│ │ │ -000536d0: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -000536e0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -000536f0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -00053700: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -00053710: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -00053720: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -00053730: 2070 6163 6b61 6765 5f73 7973 6c6f 676e   package_syslogn
│ │ │ -00053740: 675f 696e 7374 616c 6c65 640a 3c2f 636f  g_installed.</co
│ │ │ +00053020: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +00053030: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +00053040: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00053050: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00053060: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00053070: 2269 646d 3130 3730 3122 3e3c 7461 626c  "idm10701"><tabl
│ │ │ +00053080: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +00053090: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +000530a0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +000530b0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +000530c0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +000530d0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +000530e0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +000530f0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +00053100: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00053110: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +00053120: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +00053130: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +00053140: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00053150: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ +00053160: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00053170: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ +00053180: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ +00053190: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ +000531a0: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ +000531b0: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ +000531c0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +000531d0: 4d2d 3628 6129 0a20 202d 2065 6e61 626c  M-6(a).  - enabl
│ │ │ +000531e0: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +000531f0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +00053200: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +00053210: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ +00053220: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ +00053230: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ +00053240: 636b 6167 655f 7379 736c 6f67 6e67 5f69  ckage_syslogng_i
│ │ │ +00053250: 6e73 7461 6c6c 6564 0a0a 2d20 6e61 6d65  nstalled..- name
│ │ │ +00053260: 3a20 456e 7375 7265 2073 7973 6c6f 672d  : Ensure syslog-
│ │ │ +00053270: 6e67 2069 7320 696e 7374 616c 6c65 640a  ng is installed.
│ │ │ +00053280: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ +00053290: 616d 653a 2073 7973 6c6f 672d 6e67 0a20  ame: syslog-ng. 
│ │ │ +000532a0: 2020 2073 7461 7465 3a20 7072 6573 656e     state: presen
│ │ │ +000532b0: 740a 2020 7768 656e 3a20 2722 6c69 6e75  t.  when: '"linu
│ │ │ +000532c0: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ +000532d0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ +000532e0: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ +000532f0: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +00053300: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ +00053310: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +00053320: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +00053330: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +00053340: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +00053350: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +00053360: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +00053370: 655f 7379 736c 6f67 6e67 5f69 6e73 7461  e_syslogng_insta
│ │ │ +00053380: 6c6c 6564 0a3c 2f63 6f64 653e 3c2f 7072  lled.</code></pr
│ │ │ +00053390: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +000533a0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +000533b0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +000533c0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +000533d0: 6172 6765 743d 2223 6964 6d31 3037 3032  arget="#idm10702
│ │ │ +000533e0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +000533f0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00053400: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00053410: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00053420: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00053430: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +00053440: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +00053450: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00053460: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00053470: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00053480: 6522 2069 643d 2269 646d 3130 3730 3222  e" id="idm10702"
│ │ │ +00053490: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +000534a0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +000534b0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +000534c0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +000534d0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +000534e0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +000534f0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00053500: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00053510: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00053520: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00053530: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00053540: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00053550: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00053560: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +00053570: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00053580: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +00053590: 2069 6e73 7461 6c6c 5f73 7973 6c6f 672d   install_syslog-
│ │ │ +000535a0: 6e67 0a0a 636c 6173 7320 696e 7374 616c  ng..class instal
│ │ │ +000535b0: 6c5f 7379 736c 6f67 2d6e 6720 7b0a 2020  l_syslog-ng {.  
│ │ │ +000535c0: 7061 636b 6167 6520 7b20 2773 7973 6c6f  package { 'syslo
│ │ │ +000535d0: 672d 6e67 273a 0a20 2020 2065 6e73 7572  g-ng':.    ensur
│ │ │ +000535e0: 6520 3d26 6774 3b20 2769 6e73 7461 6c6c  e =&gt; 'install
│ │ │ +000535f0: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ +00053600: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00053610: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00053620: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00053630: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00053640: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00053650: 6d31 3037 3033 2220 7461 6269 6e64 6578  m10703" tabindex
│ │ │ +00053660: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +00053670: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +00053680: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00053690: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +000536a0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +000536b0: 6d65 6469 6174 696f 6e20 4f53 4275 696c  mediation OSBuil
│ │ │ +000536c0: 6420 426c 7565 7072 696e 7420 736e 6970  d Blueprint snip
│ │ │ +000536d0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +000536e0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +000536f0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00053700: 7365 2220 6964 3d22 6964 6d31 3037 3033  se" id="idm10703
│ │ │ +00053710: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b5b  "><pre><code>.[[
│ │ │ +00053720: 7061 636b 6167 6573 5d5d 0a6e 616d 6520  packages]].name 
│ │ │ +00053730: 3d20 2273 7973 6c6f 672d 6e67 220a 7665  = "syslog-ng".ve
│ │ │ +00053740: 7273 696f 6e20 3d20 222a 220a 3c2f 636f  rsion = "*".</co
│ │ │  00053750: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  00053760: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │  00053770: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │  00053780: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │  00053790: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  000537a0: 646d 3130 3730 3422 2074 6162 696e 6465  dm10704" tabinde
│ │ │  000537b0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ @@ -21633,150 +21633,150 @@
│ │ │  00054800: 743d 2223 6964 6d31 3037 3838 2220 7461  t="#idm10788" ta
│ │ │  00054810: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  00054820: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │  00054830: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │  00054840: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │  00054850: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │  00054860: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00054870: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ -00054880: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -00054890: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -000548a0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -000548b0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -000548c0: 6d31 3037 3838 223e 3c70 7265 3e3c 636f  m10788"><pre><co
│ │ │ -000548d0: 6465 3e0a 5b63 7573 746f 6d69 7a61 7469  de>.[customizati
│ │ │ -000548e0: 6f6e 732e 7365 7276 6963 6573 5d0a 656e  ons.services].en
│ │ │ -000548f0: 6162 6c65 6420 3d20 5b22 7379 736c 6f67  abled = ["syslog
│ │ │ -00054900: 2d6e 6722 5d0a 3c2f 636f 6465 3e3c 2f70  -ng"].</code></p
│ │ │ -00054910: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -00054920: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00054930: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00054940: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -00054950: 7461 7267 6574 3d22 2369 646d 3130 3738  target="#idm1078
│ │ │ -00054960: 3922 2074 6162 696e 6465 783d 2230 2220  9" tabindex="0" 
│ │ │ -00054970: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00054980: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00054990: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -000549a0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -000549b0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -000549c0: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -000549d0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -000549e0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -000549f0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00054a00: 7365 2220 6964 3d22 6964 6d31 3037 3839  se" id="idm10789
│ │ │ -00054a10: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00054a20: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00054a30: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00054a40: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00054a50: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00054a60: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00054a70: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00054a80: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00054a90: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00054aa0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00054ab0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00054ac0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00054ad0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00054ae0: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00054af0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00054b00: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -00054b10: 6520 656e 6162 6c65 5f73 7973 6c6f 672d  e enable_syslog-
│ │ │ -00054b20: 6e67 0a0a 636c 6173 7320 656e 6162 6c65  ng..class enable
│ │ │ -00054b30: 5f73 7973 6c6f 672d 6e67 207b 0a20 2073  _syslog-ng {.  s
│ │ │ -00054b40: 6572 7669 6365 207b 2773 7973 6c6f 672d  ervice {'syslog-
│ │ │ -00054b50: 6e67 273a 0a20 2020 2065 6e61 626c 6520  ng':.    enable 
│ │ │ -00054b60: 3d26 6774 3b20 7472 7565 2c0a 2020 2020  =&gt; true,.    
│ │ │ -00054b70: 656e 7375 7265 203d 2667 743b 2027 7275  ensure =&gt; 'ru
│ │ │ -00054b80: 6e6e 696e 6727 2c0a 2020 7d0a 7d0a 3c2f  nning',.  }.}.</
│ │ │ -00054b90: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00054ba0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00054bb0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00054bc0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00054bd0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00054be0: 2369 646d 3130 3739 3022 2074 6162 696e  #idm10790" tabin
│ │ │ -00054bf0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -00054c00: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -00054c10: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -00054c20: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00054c30: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00054c40: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -00054c50: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -00054c60: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00054c70: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00054c80: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00054c90: 2269 646d 3130 3739 3022 3e3c 7461 626c  "idm10790"><tabl
│ │ │ -00054ca0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00054cb0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00054cc0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00054cd0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00054ce0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00054cf0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00054d00: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00054d10: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00054d20: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00054d30: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00054d40: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00054d50: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00054d60: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00054d70: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -00054d80: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00054d90: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ -00054da0: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ -00054db0: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ -00054dc0: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ -00054dd0: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ -00054de0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -00054df0: 552d 3428 3129 0a20 202d 204e 4953 542d  U-4(1).  - NIST-
│ │ │ -00054e00: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -00054e10: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ -00054e20: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -00054e30: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -00054e40: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ -00054e50: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ -00054e60: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -00054e70: 640a 2020 2d20 7365 7276 6963 655f 7379  d.  - service_sy
│ │ │ -00054e80: 736c 6f67 6e67 5f65 6e61 626c 6564 0a0a  slogng_enabled..
│ │ │ -00054e90: 2d20 6e61 6d65 3a20 456e 6162 6c65 2073  - name: Enable s
│ │ │ -00054ea0: 7973 6c6f 672d 6e67 2053 6572 7669 6365  yslog-ng Service
│ │ │ -00054eb0: 202d 2045 6e61 626c 6520 7365 7276 6963   - Enable servic
│ │ │ -00054ec0: 6520 7379 736c 6f67 2d6e 670a 2020 626c  e syslog-ng.  bl
│ │ │ -00054ed0: 6f63 6b3a 0a0a 2020 2d20 6e61 6d65 3a20  ock:..  - name: 
│ │ │ -00054ee0: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ -00054ef0: 6765 2066 6163 7473 0a20 2020 2070 6163  ge facts.    pac
│ │ │ -00054f00: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ -00054f10: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ -00054f20: 0a20 202d 206e 616d 653a 2045 6e61 626c  .  - name: Enabl
│ │ │ -00054f30: 6520 7379 736c 6f67 2d6e 6720 5365 7276  e syslog-ng Serv
│ │ │ -00054f40: 6963 6520 2d20 456e 6162 6c65 2053 6572  ice - Enable Ser
│ │ │ -00054f50: 7669 6365 2073 7973 6c6f 672d 6e67 0a20  vice syslog-ng. 
│ │ │ -00054f60: 2020 2061 6e73 6962 6c65 2e62 7569 6c74     ansible.built
│ │ │ -00054f70: 696e 2e73 7973 7465 6d64 3a0a 2020 2020  in.systemd:.    
│ │ │ -00054f80: 2020 6e61 6d65 3a20 7379 736c 6f67 2d6e    name: syslog-n
│ │ │ -00054f90: 670a 2020 2020 2020 656e 6162 6c65 643a  g.      enabled:
│ │ │ -00054fa0: 2074 7275 650a 2020 2020 2020 7374 6174   true.      stat
│ │ │ -00054fb0: 653a 2073 7461 7274 6564 0a20 2020 2020  e: started.     
│ │ │ -00054fc0: 206d 6173 6b65 643a 2066 616c 7365 0a20   masked: false. 
│ │ │ -00054fd0: 2020 2077 6865 6e3a 0a20 2020 202d 2027     when:.    - '
│ │ │ -00054fe0: 2273 7973 6c6f 672d 6e67 2220 696e 2061  "syslog-ng" in a
│ │ │ -00054ff0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ -00055000: 6b61 6765 7327 0a20 2077 6865 6e3a 2027  kages'.  when: '
│ │ │ -00055010: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ -00055020: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ -00055030: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ -00055040: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -00055050: 4155 2d34 2831 290a 2020 2d20 4e49 5354  AU-4(1).  - NIST
│ │ │ -00055060: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -00055070: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ -00055080: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ -00055090: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -000550a0: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ -000550b0: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ -000550c0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -000550d0: 6564 0a20 202d 2073 6572 7669 6365 5f73  ed.  - service_s
│ │ │ -000550e0: 7973 6c6f 676e 675f 656e 6162 6c65 640a  yslogng_enabled.
│ │ │ +00054870: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ +00054880: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +00054890: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +000548a0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +000548b0: 6964 3d22 6964 6d31 3037 3838 223e 3c74  id="idm10788"><t
│ │ │ +000548c0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +000548d0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +000548e0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +000548f0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00054900: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00054910: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00054920: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00054930: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +00054940: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00054950: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +00054960: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +00054970: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00054980: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +00054990: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +000549a0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +000549b0: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ +000549c0: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ +000549d0: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ +000549e0: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ +000549f0: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ +00054a00: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +00054a10: 332d 4155 2d34 2831 290a 2020 2d20 4e49  3-AU-4(1).  - NI
│ │ │ +00054a20: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +00054a30: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ +00054a40: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +00054a50: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +00054a60: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +00054a70: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +00054a80: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +00054a90: 6564 6564 0a20 202d 2073 6572 7669 6365  eded.  - service
│ │ │ +00054aa0: 5f73 7973 6c6f 676e 675f 656e 6162 6c65  _syslogng_enable
│ │ │ +00054ab0: 640a 0a2d 206e 616d 653a 2045 6e61 626c  d..- name: Enabl
│ │ │ +00054ac0: 6520 7379 736c 6f67 2d6e 6720 5365 7276  e syslog-ng Serv
│ │ │ +00054ad0: 6963 6520 2d20 456e 6162 6c65 2073 6572  ice - Enable ser
│ │ │ +00054ae0: 7669 6365 2073 7973 6c6f 672d 6e67 0a20  vice syslog-ng. 
│ │ │ +00054af0: 2062 6c6f 636b 3a0a 0a20 202d 206e 616d   block:..  - nam
│ │ │ +00054b00: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ +00054b10: 636b 6167 6520 6661 6374 730a 2020 2020  ckage facts.    
│ │ │ +00054b20: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ +00054b30: 2020 2020 206d 616e 6167 6572 3a20 6175       manager: au
│ │ │ +00054b40: 746f 0a0a 2020 2d20 6e61 6d65 3a20 456e  to..  - name: En
│ │ │ +00054b50: 6162 6c65 2073 7973 6c6f 672d 6e67 2053  able syslog-ng S
│ │ │ +00054b60: 6572 7669 6365 202d 2045 6e61 626c 6520  ervice - Enable 
│ │ │ +00054b70: 5365 7276 6963 6520 7379 736c 6f67 2d6e  Service syslog-n
│ │ │ +00054b80: 670a 2020 2020 616e 7369 626c 652e 6275  g.    ansible.bu
│ │ │ +00054b90: 696c 7469 6e2e 7379 7374 656d 643a 0a20  iltin.systemd:. 
│ │ │ +00054ba0: 2020 2020 206e 616d 653a 2073 7973 6c6f       name: syslo
│ │ │ +00054bb0: 672d 6e67 0a20 2020 2020 2065 6e61 626c  g-ng.      enabl
│ │ │ +00054bc0: 6564 3a20 7472 7565 0a20 2020 2020 2073  ed: true.      s
│ │ │ +00054bd0: 7461 7465 3a20 7374 6172 7465 640a 2020  tate: started.  
│ │ │ +00054be0: 2020 2020 6d61 736b 6564 3a20 6661 6c73      masked: fals
│ │ │ +00054bf0: 650a 2020 2020 7768 656e 3a0a 2020 2020  e.    when:.    
│ │ │ +00054c00: 2d20 2722 7379 736c 6f67 2d6e 6722 2069  - '"syslog-ng" i
│ │ │ +00054c10: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ +00054c20: 7061 636b 6167 6573 270a 2020 7768 656e  packages'.  when
│ │ │ +00054c30: 3a20 2722 6c69 6e75 782d 6261 7365 2220  : '"linux-base" 
│ │ │ +00054c40: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ +00054c50: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ +00054c60: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +00054c70: 3533 2d41 552d 3428 3129 0a20 202d 204e  53-AU-4(1).  - N
│ │ │ +00054c80: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +00054c90: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ +00054ca0: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +00054cb0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +00054cc0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +00054cd0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +00054ce0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +00054cf0: 6565 6465 640a 2020 2d20 7365 7276 6963  eeded.  - servic
│ │ │ +00054d00: 655f 7379 736c 6f67 6e67 5f65 6e61 626c  e_syslogng_enabl
│ │ │ +00054d10: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +00054d20: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00054d30: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00054d40: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00054d50: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00054d60: 6765 743d 2223 6964 6d31 3037 3839 2220  get="#idm10789" 
│ │ │ +00054d70: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +00054d80: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +00054d90: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +00054da0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +00054db0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +00054dc0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +00054dd0: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ +00054de0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00054df0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00054e00: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00054e10: 2069 643d 2269 646d 3130 3738 3922 3e3c   id="idm10789"><
│ │ │ +00054e20: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00054e30: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00054e40: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00054e50: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00054e60: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00054e70: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00054e80: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00054e90: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00054ea0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00054eb0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00054ec0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00054ed0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00054ee0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00054ef0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +00054f00: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00054f10: 3e3c 636f 6465 3e69 6e63 6c75 6465 2065  ><code>include e
│ │ │ +00054f20: 6e61 626c 655f 7379 736c 6f67 2d6e 670a  nable_syslog-ng.
│ │ │ +00054f30: 0a63 6c61 7373 2065 6e61 626c 655f 7379  .class enable_sy
│ │ │ +00054f40: 736c 6f67 2d6e 6720 7b0a 2020 7365 7276  slog-ng {.  serv
│ │ │ +00054f50: 6963 6520 7b27 7379 736c 6f67 2d6e 6727  ice {'syslog-ng'
│ │ │ +00054f60: 3a0a 2020 2020 656e 6162 6c65 203d 2667  :.    enable =&g
│ │ │ +00054f70: 743b 2074 7275 652c 0a20 2020 2065 6e73  t; true,.    ens
│ │ │ +00054f80: 7572 6520 3d26 6774 3b20 2772 756e 6e69  ure =&gt; 'runni
│ │ │ +00054f90: 6e67 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ng',.  }.}.</cod
│ │ │ +00054fa0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00054fb0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00054fc0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00054fd0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00054fe0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00054ff0: 6d31 3037 3930 2220 7461 6269 6e64 6578  m10790" tabindex
│ │ │ +00055000: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +00055010: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +00055020: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00055030: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +00055040: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00055050: 6d65 6469 6174 696f 6e20 4f53 4275 696c  mediation OSBuil
│ │ │ +00055060: 6420 426c 7565 7072 696e 7420 736e 6970  d Blueprint snip
│ │ │ +00055070: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00055080: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00055090: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +000550a0: 7365 2220 6964 3d22 6964 6d31 3037 3930  se" id="idm10790
│ │ │ +000550b0: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b63  "><pre><code>.[c
│ │ │ +000550c0: 7573 746f 6d69 7a61 7469 6f6e 732e 7365  ustomizations.se
│ │ │ +000550d0: 7276 6963 6573 5d0a 656e 6162 6c65 6420  rvices].enabled 
│ │ │ +000550e0: 3d20 5b22 7379 736c 6f67 2d6e 6722 5d0a  = ["syslog-ng"].
│ │ │  000550f0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  00055100: 6976 3e3c 2f64 6976 3e3c 2f74 643e 3c2f  iv></div></td></
│ │ │  00055110: 7472 3e3c 2f74 626f 6479 3e3c 2f74 6162  tr></tbody></tab
│ │ │  00055120: 6c65 3e3c 2f74 643e 3c2f 7472 3e3c 7472  le></td></tr><tr
│ │ │  00055130: 2064 6174 612d 7474 2d69 643d 2278 6363   data-tt-id="xcc
│ │ │  00055140: 6466 5f6f 7267 2e73 7367 7072 6f6a 6563  df_org.ssgprojec
│ │ │  00055150: 742e 636f 6e74 656e 745f 7275 6c65 5f70  t.content_rule_p
│ │ │ @@ -21984,128 +21984,128 @@
│ │ │  00055df0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  00055e00: 2223 6964 6d31 3031 3134 2220 7461 6269  "#idm10114" tabi
│ │ │  00055e10: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │  00055e20: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │  00055e30: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │  00055e40: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │  00055e50: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00055e60: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ -00055e70: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ -00055e80: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00055e90: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00055ea0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00055eb0: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -00055ec0: 3031 3134 223e 3c70 7265 3e3c 636f 6465  0114"><pre><code
│ │ │ -00055ed0: 3e0a 5b5b 7061 636b 6167 6573 5d5d 0a6e  >.[[packages]].n
│ │ │ -00055ee0: 616d 6520 3d20 2272 7379 736c 6f67 220a  ame = "rsyslog".
│ │ │ -00055ef0: 7665 7273 696f 6e20 3d20 222a 220a 3c2f  version = "*".</
│ │ │ -00055f00: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00055f10: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00055f20: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00055f30: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00055f40: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00055f50: 2369 646d 3130 3131 3522 2074 6162 696e  #idm10115" tabin
│ │ │ -00055f60: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -00055f70: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -00055f80: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -00055f90: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00055fa0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00055fb0: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ -00055fc0: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ -00055fd0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00055fe0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00055ff0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00056000: 6964 6d31 3031 3135 223e 3c74 6162 6c65  idm10115"><table
│ │ │ -00056010: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -00056020: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -00056030: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -00056040: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -00056050: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -00056060: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00056070: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -00056080: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -00056090: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -000560a0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -000560b0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -000560c0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -000560d0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ -000560e0: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ -000560f0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -00056100: 653e 696e 636c 7564 6520 696e 7374 616c  e>include instal
│ │ │ -00056110: 6c5f 7273 7973 6c6f 670a 0a63 6c61 7373  l_rsyslog..class
│ │ │ -00056120: 2069 6e73 7461 6c6c 5f72 7379 736c 6f67   install_rsyslog
│ │ │ -00056130: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ -00056140: 7273 7973 6c6f 6727 3a0a 2020 2020 656e  rsyslog':.    en
│ │ │ -00056150: 7375 7265 203d 2667 743b 2027 696e 7374  sure =&gt; 'inst
│ │ │ -00056160: 616c 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f  alled',.  }.}.</
│ │ │ -00056170: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00056180: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00056190: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -000561a0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -000561b0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -000561c0: 2369 646d 3130 3131 3622 2074 6162 696e  #idm10116" tabin
│ │ │ -000561d0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -000561e0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -000561f0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -00056200: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00056210: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00056220: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -00056230: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -00056240: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00056250: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00056260: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00056270: 2269 646d 3130 3131 3622 3e3c 7461 626c  "idm10116"><tabl
│ │ │ -00056280: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00056290: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -000562a0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -000562b0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -000562c0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -000562d0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -000562e0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -000562f0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00056300: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00056310: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00056320: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00056330: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00056340: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00056350: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -00056360: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00056370: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ -00056380: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ -00056390: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ -000563a0: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ -000563b0: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ -000563c0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -000563d0: 4d2d 3628 6129 0a20 202d 2065 6e61 626c  M-6(a).  - enabl
│ │ │ -000563e0: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -000563f0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -00056400: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -00056410: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -00056420: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -00056430: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -00056440: 636b 6167 655f 7273 7973 6c6f 675f 696e  ckage_rsyslog_in
│ │ │ -00056450: 7374 616c 6c65 640a 0a2d 206e 616d 653a  stalled..- name:
│ │ │ -00056460: 2045 6e73 7572 6520 7273 7973 6c6f 6720   Ensure rsyslog 
│ │ │ -00056470: 6973 2069 6e73 7461 6c6c 6564 0a20 2070  is installed.  p
│ │ │ -00056480: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -00056490: 3a20 7273 7973 6c6f 670a 2020 2020 7374  : rsyslog.    st
│ │ │ -000564a0: 6174 653a 2070 7265 7365 6e74 0a20 2077  ate: present.  w
│ │ │ -000564b0: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ -000564c0: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ -000564d0: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -000564e0: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -000564f0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ -00056500: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -00056510: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -00056520: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -00056530: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -00056540: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -00056550: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -00056560: 0a20 202d 2070 6163 6b61 6765 5f72 7379  .  - package_rsy
│ │ │ -00056570: 736c 6f67 5f69 6e73 7461 6c6c 6564 0a3c  slog_installed.<
│ │ │ +00055e60: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ +00055e70: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ +00055e80: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00055e90: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00055ea0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00055eb0: 3d22 6964 6d31 3031 3134 223e 3c74 6162  ="idm10114"><tab
│ │ │ +00055ec0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00055ed0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00055ee0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00055ef0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00055f00: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00055f10: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00055f20: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +00055f30: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +00055f40: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00055f50: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +00055f60: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +00055f70: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +00055f80: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +00055f90: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +00055fa0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00055fb0: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ +00055fc0: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ +00055fd0: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ +00055fe0: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ +00055ff0: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ +00056000: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00056010: 434d 2d36 2861 290a 2020 2d20 656e 6162  CM-6(a).  - enab
│ │ │ +00056020: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +00056030: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +00056040: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +00056050: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +00056060: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +00056070: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +00056080: 6163 6b61 6765 5f72 7379 736c 6f67 5f69  ackage_rsyslog_i
│ │ │ +00056090: 6e73 7461 6c6c 6564 0a0a 2d20 6e61 6d65  nstalled..- name
│ │ │ +000560a0: 3a20 456e 7375 7265 2072 7379 736c 6f67  : Ensure rsyslog
│ │ │ +000560b0: 2069 7320 696e 7374 616c 6c65 640a 2020   is installed.  
│ │ │ +000560c0: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ +000560d0: 653a 2072 7379 736c 6f67 0a20 2020 2073  e: rsyslog.    s
│ │ │ +000560e0: 7461 7465 3a20 7072 6573 656e 740a 2020  tate: present.  
│ │ │ +000560f0: 7768 656e 3a20 2722 6c69 6e75 782d 6261  when: '"linux-ba
│ │ │ +00056100: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ +00056110: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ +00056120: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ +00056130: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ +00056140: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ +00056150: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ +00056160: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +00056170: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ +00056180: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ +00056190: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +000561a0: 640a 2020 2d20 7061 636b 6167 655f 7273  d.  - package_rs
│ │ │ +000561b0: 7973 6c6f 675f 696e 7374 616c 6c65 640a  yslog_installed.
│ │ │ +000561c0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +000561d0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +000561e0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +000561f0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00056200: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +00056210: 3d22 2369 646d 3130 3131 3522 2074 6162  ="#idm10115" tab
│ │ │ +00056220: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +00056230: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +00056240: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +00056250: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +00056260: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +00056270: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ +00056280: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ +00056290: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +000562a0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +000562b0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +000562c0: 3d22 6964 6d31 3031 3135 223e 3c74 6162  ="idm10115"><tab
│ │ │ +000562d0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +000562e0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +000562f0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00056300: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00056310: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00056320: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00056330: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +00056340: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +00056350: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00056360: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +00056370: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +00056380: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +00056390: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +000563a0: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +000563b0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +000563c0: 6f64 653e 696e 636c 7564 6520 696e 7374  ode>include inst
│ │ │ +000563d0: 616c 6c5f 7273 7973 6c6f 670a 0a63 6c61  all_rsyslog..cla
│ │ │ +000563e0: 7373 2069 6e73 7461 6c6c 5f72 7379 736c  ss install_rsysl
│ │ │ +000563f0: 6f67 207b 0a20 2070 6163 6b61 6765 207b  og {.  package {
│ │ │ +00056400: 2027 7273 7973 6c6f 6727 3a0a 2020 2020   'rsyslog':.    
│ │ │ +00056410: 656e 7375 7265 203d 2667 743b 2027 696e  ensure =&gt; 'in
│ │ │ +00056420: 7374 616c 6c65 6427 2c0a 2020 7d0a 7d0a  stalled',.  }.}.
│ │ │ +00056430: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +00056440: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +00056450: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +00056460: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +00056470: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +00056480: 3d22 2369 646d 3130 3131 3622 2074 6162  ="#idm10116" tab
│ │ │ +00056490: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +000564a0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +000564b0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +000564c0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +000564d0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +000564e0: 2122 3e52 656d 6564 6961 7469 6f6e 204f  !">Remediation O
│ │ │ +000564f0: 5342 7569 6c64 2042 6c75 6570 7269 6e74  SBuild Blueprint
│ │ │ +00056500: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +00056510: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +00056520: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00056530: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00056540: 3130 3131 3622 3e3c 7072 653e 3c63 6f64  10116"><pre><cod
│ │ │ +00056550: 653e 0a5b 5b70 6163 6b61 6765 735d 5d0a  e>.[[packages]].
│ │ │ +00056560: 6e61 6d65 203d 2022 7273 7973 6c6f 6722  name = "rsyslog"
│ │ │ +00056570: 0a76 6572 7369 6f6e 203d 2022 2a22 0a3c  .version = "*".<
│ │ │  00056580: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  00056590: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │  000565a0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │  000565b0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │  000565c0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  000565d0: 2223 6964 6d31 3031 3137 2220 7461 6269  "#idm10117" tabi
│ │ │  000565e0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ @@ -22386,149 +22386,149 @@
│ │ │  00057710: 6765 743d 2223 6964 6d31 3032 3030 2220  get="#idm10200" 
│ │ │  00057720: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  00057730: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  00057740: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  00057750: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  00057760: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  00057770: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00057780: 6e20 4f53 4275 696c 6420 426c 7565 7072  n OSBuild Bluepr
│ │ │ -00057790: 696e 7420 736e 6970 7065 7420 e287 b23c  int snippet ...<
│ │ │ -000577a0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -000577b0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -000577c0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -000577d0: 6964 6d31 3032 3030 223e 3c70 7265 3e3c  idm10200"><pre><
│ │ │ -000577e0: 636f 6465 3e0a 5b63 7573 746f 6d69 7a61  code>.[customiza
│ │ │ -000577f0: 7469 6f6e 732e 7365 7276 6963 6573 5d0a  tions.services].
│ │ │ -00057800: 656e 6162 6c65 6420 3d20 5b22 7273 7973  enabled = ["rsys
│ │ │ -00057810: 6c6f 6722 5d0a 3c2f 636f 6465 3e3c 2f70  log"].</code></p
│ │ │ -00057820: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -00057830: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00057840: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00057850: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -00057860: 7461 7267 6574 3d22 2369 646d 3130 3230  target="#idm1020
│ │ │ -00057870: 3122 2074 6162 696e 6465 783d 2230 2220  1" tabindex="0" 
│ │ │ -00057880: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00057890: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -000578a0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -000578b0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -000578c0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -000578d0: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -000578e0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -000578f0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00057900: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00057910: 7365 2220 6964 3d22 6964 6d31 3032 3031  se" id="idm10201
│ │ │ -00057920: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00057930: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00057940: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00057950: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00057960: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00057970: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00057980: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00057990: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -000579a0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -000579b0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -000579c0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -000579d0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -000579e0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -000579f0: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00057a00: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00057a10: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -00057a20: 6520 656e 6162 6c65 5f72 7379 736c 6f67  e enable_rsyslog
│ │ │ -00057a30: 0a0a 636c 6173 7320 656e 6162 6c65 5f72  ..class enable_r
│ │ │ -00057a40: 7379 736c 6f67 207b 0a20 2073 6572 7669  syslog {.  servi
│ │ │ -00057a50: 6365 207b 2772 7379 736c 6f67 273a 0a20  ce {'rsyslog':. 
│ │ │ -00057a60: 2020 2065 6e61 626c 6520 3d26 6774 3b20     enable =&gt; 
│ │ │ -00057a70: 7472 7565 2c0a 2020 2020 656e 7375 7265  true,.    ensure
│ │ │ -00057a80: 203d 2667 743b 2027 7275 6e6e 696e 6727   =&gt; 'running'
│ │ │ -00057a90: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │ -00057aa0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -00057ab0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -00057ac0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -00057ad0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -00057ae0: 612d 7461 7267 6574 3d22 2369 646d 3130  a-target="#idm10
│ │ │ -00057af0: 3230 3222 2074 6162 696e 6465 783d 2230  202" tabindex="0
│ │ │ -00057b00: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -00057b10: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -00057b20: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -00057b30: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -00057b40: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00057b50: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ -00057b60: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00057b70: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00057b80: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -00057b90: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ -00057ba0: 3230 3222 3e3c 7461 626c 6520 636c 6173  202"><table clas
│ │ │ -00057bb0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -00057bc0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -00057bd0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -00057be0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00057bf0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00057c00: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00057c10: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00057c20: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00057c30: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00057c40: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -00057c50: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -00057c60: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -00057c70: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ -00057c80: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -00057c90: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ -00057ca0: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ -00057cb0: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ -00057cc0: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ -00057cd0: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ -00057ce0: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -00057cf0: 542d 3830 302d 3533 2d41 552d 3428 3129  T-800-53-AU-4(1)
│ │ │ -00057d00: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00057d10: 2d43 4d2d 3628 6129 0a20 202d 2065 6e61  -CM-6(a).  - ena
│ │ │ -00057d20: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ -00057d30: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00057d40: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00057d50: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ -00057d60: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ -00057d70: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -00057d80: 7365 7276 6963 655f 7273 7973 6c6f 675f  service_rsyslog_
│ │ │ -00057d90: 656e 6162 6c65 640a 0a2d 206e 616d 653a  enabled..- name:
│ │ │ -00057da0: 2045 6e61 626c 6520 7273 7973 6c6f 6720   Enable rsyslog 
│ │ │ -00057db0: 5365 7276 6963 6520 2d20 456e 6162 6c65  Service - Enable
│ │ │ -00057dc0: 2073 6572 7669 6365 2072 7379 736c 6f67   service rsyslog
│ │ │ -00057dd0: 0a20 2062 6c6f 636b 3a0a 0a20 202d 206e  .  block:..  - n
│ │ │ -00057de0: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ -00057df0: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ -00057e00: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ -00057e10: 0a20 2020 2020 206d 616e 6167 6572 3a20  .      manager: 
│ │ │ -00057e20: 6175 746f 0a0a 2020 2d20 6e61 6d65 3a20  auto..  - name: 
│ │ │ -00057e30: 456e 6162 6c65 2072 7379 736c 6f67 2053  Enable rsyslog S
│ │ │ -00057e40: 6572 7669 6365 202d 2045 6e61 626c 6520  ervice - Enable 
│ │ │ -00057e50: 5365 7276 6963 6520 7273 7973 6c6f 670a  Service rsyslog.
│ │ │ -00057e60: 2020 2020 616e 7369 626c 652e 6275 696c      ansible.buil
│ │ │ -00057e70: 7469 6e2e 7379 7374 656d 643a 0a20 2020  tin.systemd:.   
│ │ │ -00057e80: 2020 206e 616d 653a 2072 7379 736c 6f67     name: rsyslog
│ │ │ -00057e90: 0a20 2020 2020 2065 6e61 626c 6564 3a20  .      enabled: 
│ │ │ -00057ea0: 7472 7565 0a20 2020 2020 2073 7461 7465  true.      state
│ │ │ -00057eb0: 3a20 7374 6172 7465 640a 2020 2020 2020  : started.      
│ │ │ -00057ec0: 6d61 736b 6564 3a20 6661 6c73 650a 2020  masked: false.  
│ │ │ -00057ed0: 2020 7768 656e 3a0a 2020 2020 2d20 2722    when:.    - '"
│ │ │ -00057ee0: 7273 7973 6c6f 6722 2069 6e20 616e 7369  rsyslog" in ansi
│ │ │ -00057ef0: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ -00057f00: 6573 270a 2020 7768 656e 3a20 2722 6c69  es'.  when: '"li
│ │ │ -00057f10: 6e75 782d 6261 7365 2220 696e 2061 6e73  nux-base" in ans
│ │ │ -00057f20: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ -00057f30: 6765 7327 0a20 2074 6167 733a 0a20 202d  ges'.  tags:.  -
│ │ │ -00057f40: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -00057f50: 3428 3129 0a20 202d 204e 4953 542d 3830  4(1).  - NIST-80
│ │ │ -00057f60: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ -00057f70: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -00057f80: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -00057f90: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -00057fa0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ -00057fb0: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ -00057fc0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -00057fd0: 2020 2d20 7365 7276 6963 655f 7273 7973    - service_rsys
│ │ │ -00057fe0: 6c6f 675f 656e 6162 6c65 640a 3c2f 636f  log_enabled.</co
│ │ │ +00057780: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +00057790: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +000577a0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +000577b0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +000577c0: 2220 6964 3d22 6964 6d31 3032 3030 223e  " id="idm10200">
│ │ │ +000577d0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +000577e0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +000577f0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00057800: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00057810: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00057820: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00057830: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00057840: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00057850: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00057860: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00057870: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00057880: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00057890: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +000578a0: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +000578b0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +000578c0: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +000578d0: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ +000578e0: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ +000578f0: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ +00057900: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ +00057910: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +00057920: 2d35 332d 4155 2d34 2831 290a 2020 2d20  -53-AU-4(1).  - 
│ │ │ +00057930: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ +00057940: 2861 290a 2020 2d20 656e 6162 6c65 5f73  (a).  - enable_s
│ │ │ +00057950: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +00057960: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +00057970: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +00057980: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ +00057990: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +000579a0: 6e65 6564 6564 0a20 202d 2073 6572 7669  needed.  - servi
│ │ │ +000579b0: 6365 5f72 7379 736c 6f67 5f65 6e61 626c  ce_rsyslog_enabl
│ │ │ +000579c0: 6564 0a0a 2d20 6e61 6d65 3a20 456e 6162  ed..- name: Enab
│ │ │ +000579d0: 6c65 2072 7379 736c 6f67 2053 6572 7669  le rsyslog Servi
│ │ │ +000579e0: 6365 202d 2045 6e61 626c 6520 7365 7276  ce - Enable serv
│ │ │ +000579f0: 6963 6520 7273 7973 6c6f 670a 2020 626c  ice rsyslog.  bl
│ │ │ +00057a00: 6f63 6b3a 0a0a 2020 2d20 6e61 6d65 3a20  ock:..  - name: 
│ │ │ +00057a10: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ +00057a20: 6765 2066 6163 7473 0a20 2020 2070 6163  ge facts.    pac
│ │ │ +00057a30: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ +00057a40: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ +00057a50: 0a20 202d 206e 616d 653a 2045 6e61 626c  .  - name: Enabl
│ │ │ +00057a60: 6520 7273 7973 6c6f 6720 5365 7276 6963  e rsyslog Servic
│ │ │ +00057a70: 6520 2d20 456e 6162 6c65 2053 6572 7669  e - Enable Servi
│ │ │ +00057a80: 6365 2072 7379 736c 6f67 0a20 2020 2061  ce rsyslog.    a
│ │ │ +00057a90: 6e73 6962 6c65 2e62 7569 6c74 696e 2e73  nsible.builtin.s
│ │ │ +00057aa0: 7973 7465 6d64 3a0a 2020 2020 2020 6e61  ystemd:.      na
│ │ │ +00057ab0: 6d65 3a20 7273 7973 6c6f 670a 2020 2020  me: rsyslog.    
│ │ │ +00057ac0: 2020 656e 6162 6c65 643a 2074 7275 650a    enabled: true.
│ │ │ +00057ad0: 2020 2020 2020 7374 6174 653a 2073 7461        state: sta
│ │ │ +00057ae0: 7274 6564 0a20 2020 2020 206d 6173 6b65  rted.      maske
│ │ │ +00057af0: 643a 2066 616c 7365 0a20 2020 2077 6865  d: false.    whe
│ │ │ +00057b00: 6e3a 0a20 2020 202d 2027 2272 7379 736c  n:.    - '"rsysl
│ │ │ +00057b10: 6f67 2220 696e 2061 6e73 6962 6c65 5f66  og" in ansible_f
│ │ │ +00057b20: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ +00057b30: 2077 6865 6e3a 2027 226c 696e 7578 2d62   when: '"linux-b
│ │ │ +00057b40: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ +00057b50: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +00057b60: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +00057b70: 2d38 3030 2d35 332d 4155 2d34 2831 290a  -800-53-AU-4(1).
│ │ │ +00057b80: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00057b90: 434d 2d36 2861 290a 2020 2d20 656e 6162  CM-6(a).  - enab
│ │ │ +00057ba0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +00057bb0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +00057bc0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +00057bd0: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +00057be0: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +00057bf0: 6f6f 745f 6e65 6564 6564 0a20 202d 2073  oot_needed.  - s
│ │ │ +00057c00: 6572 7669 6365 5f72 7379 736c 6f67 5f65  ervice_rsyslog_e
│ │ │ +00057c10: 6e61 626c 6564 0a3c 2f63 6f64 653e 3c2f  nabled.</code></
│ │ │ +00057c20: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +00057c30: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +00057c40: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00057c50: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00057c60: 2d74 6172 6765 743d 2223 6964 6d31 3032  -target="#idm102
│ │ │ +00057c70: 3031 2220 7461 6269 6e64 6578 3d22 3022  01" tabindex="0"
│ │ │ +00057c80: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +00057c90: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +00057ca0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +00057cb0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +00057cc0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +00057cd0: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ +00057ce0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00057cf0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00057d00: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00057d10: 7073 6522 2069 643d 2269 646d 3130 3230  pse" id="idm1020
│ │ │ +00057d20: 3122 3e3c 7461 626c 6520 636c 6173 733d  1"><table class=
│ │ │ +00057d30: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +00057d40: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +00057d50: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00057d60: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +00057d70: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +00057d80: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00057d90: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +00057da0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00057db0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00057dc0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00057dd0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00057de0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00057df0: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ +00057e00: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +00057e10: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ +00057e20: 6465 2065 6e61 626c 655f 7273 7973 6c6f  de enable_rsyslo
│ │ │ +00057e30: 670a 0a63 6c61 7373 2065 6e61 626c 655f  g..class enable_
│ │ │ +00057e40: 7273 7973 6c6f 6720 7b0a 2020 7365 7276  rsyslog {.  serv
│ │ │ +00057e50: 6963 6520 7b27 7273 7973 6c6f 6727 3a0a  ice {'rsyslog':.
│ │ │ +00057e60: 2020 2020 656e 6162 6c65 203d 2667 743b      enable =&gt;
│ │ │ +00057e70: 2074 7275 652c 0a20 2020 2065 6e73 7572   true,.    ensur
│ │ │ +00057e80: 6520 3d26 6774 3b20 2772 756e 6e69 6e67  e =&gt; 'running
│ │ │ +00057e90: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ +00057ea0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +00057eb0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +00057ec0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +00057ed0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +00057ee0: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ +00057ef0: 3032 3032 2220 7461 6269 6e64 6578 3d22  0202" tabindex="
│ │ │ +00057f00: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +00057f10: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +00057f20: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +00057f30: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +00057f40: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +00057f50: 6469 6174 696f 6e20 4f53 4275 696c 6420  diation OSBuild 
│ │ │ +00057f60: 426c 7565 7072 696e 7420 736e 6970 7065  Blueprint snippe
│ │ │ +00057f70: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00057f80: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00057f90: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00057fa0: 2220 6964 3d22 6964 6d31 3032 3032 223e  " id="idm10202">
│ │ │ +00057fb0: 3c70 7265 3e3c 636f 6465 3e0a 5b63 7573  <pre><code>.[cus
│ │ │ +00057fc0: 746f 6d69 7a61 7469 6f6e 732e 7365 7276  tomizations.serv
│ │ │ +00057fd0: 6963 6573 5d0a 656e 6162 6c65 6420 3d20  ices].enabled = 
│ │ │ +00057fe0: 5b22 7273 7973 6c6f 6722 5d0a 3c2f 636f  ["rsyslog"].</co
│ │ │  00057ff0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  00058000: 2f64 6976 3e3c 2f74 643e 3c2f 7472 3e3c  /div></td></tr><
│ │ │  00058010: 2f74 626f 6479 3e3c 2f74 6162 6c65 3e3c  /tbody></table><
│ │ │  00058020: 2f74 643e 3c2f 7472 3e3c 7472 2064 6174  /td></tr><tr dat
│ │ │  00058030: 612d 7474 2d69 643d 2263 6869 6c64 7265  a-tt-id="childre
│ │ │  00058040: 6e2d 7863 6364 665f 6f72 672e 7373 6770  n-xccdf_org.ssgp
│ │ │  00058050: 726f 6a65 6374 2e63 6f6e 7465 6e74 5f67  roject.content_g
│ │ │ @@ -30466,132 +30466,132 @@
│ │ │  00077010: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  00077020: 2369 646d 3139 3434 3622 2074 6162 696e  #idm19446" tabin
│ │ │  00077030: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │  00077040: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │  00077050: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │  00077060: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │  00077070: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00077080: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ -00077090: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ -000770a0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -000770b0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -000770c0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -000770d0: 6c61 7073 6522 2069 643d 2269 646d 3139  lapse" id="idm19
│ │ │ -000770e0: 3434 3622 3e3c 7072 653e 3c63 6f64 653e  446"><pre><code>
│ │ │ -000770f0: 0a5b 5b70 6163 6b61 6765 735d 5d0a 6e61  .[[packages]].na
│ │ │ -00077100: 6d65 203d 2022 6372 6f6e 220a 7665 7273  me = "cron".vers
│ │ │ -00077110: 696f 6e20 3d20 222a 220a 3c2f 636f 6465  ion = "*".</code
│ │ │ -00077120: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -00077130: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -00077140: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -00077150: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -00077160: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -00077170: 3139 3434 3722 2074 6162 696e 6465 783d  19447" tabindex=
│ │ │ -00077180: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -00077190: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -000771a0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -000771b0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -000771c0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -000771d0: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ -000771e0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -000771f0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00077200: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00077210: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -00077220: 3934 3437 223e 3c74 6162 6c65 2063 6c61  9447"><table cla
│ │ │ -00077230: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00077240: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00077250: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00077260: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00077270: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00077280: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00077290: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -000772a0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -000772b0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -000772c0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -000772d0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -000772e0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -000772f0: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -00077300: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00077310: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -00077320: 636c 7564 6520 696e 7374 616c 6c5f 6372  clude install_cr
│ │ │ -00077330: 6f6e 0a0a 636c 6173 7320 696e 7374 616c  on..class instal
│ │ │ -00077340: 6c5f 6372 6f6e 207b 0a20 2070 6163 6b61  l_cron {.  packa
│ │ │ -00077350: 6765 207b 2027 6372 6f6e 273a 0a20 2020  ge { 'cron':.   
│ │ │ -00077360: 2065 6e73 7572 6520 3d26 6774 3b20 2769   ensure =&gt; 'i
│ │ │ -00077370: 6e73 7461 6c6c 6564 272c 0a20 207d 0a7d  nstalled',.  }.}
│ │ │ -00077380: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -00077390: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -000773a0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -000773b0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -000773c0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -000773d0: 743d 2223 6964 6d31 3934 3438 2220 7461  t="#idm19448" ta
│ │ │ -000773e0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -000773f0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -00077400: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -00077410: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -00077420: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -00077430: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -00077440: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ -00077450: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00077460: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00077470: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00077480: 6964 3d22 6964 6d31 3934 3438 223e 3c74  id="idm19448"><t
│ │ │ -00077490: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -000774a0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -000774b0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -000774c0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -000774d0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -000774e0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -000774f0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00077500: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -00077510: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00077520: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -00077530: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00077540: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00077550: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -00077560: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -00077570: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00077580: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ -00077590: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ -000775a0: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ -000775b0: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ -000775c0: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ -000775d0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -000775e0: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ -000775f0: 492d 4453 5376 342d 322e 320a 2020 2d20  I-DSSv4-2.2.  - 
│ │ │ -00077600: 5043 492d 4453 5376 342d 322e 322e 360a  PCI-DSSv4-2.2.6.
│ │ │ -00077610: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ -00077620: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ -00077630: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -00077640: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ -00077650: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ -00077660: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -00077670: 6564 0a20 202d 2070 6163 6b61 6765 5f63  ed.  - package_c
│ │ │ -00077680: 726f 6e5f 696e 7374 616c 6c65 640a 0a2d  ron_installed..-
│ │ │ -00077690: 206e 616d 653a 2045 6e73 7572 6520 6372   name: Ensure cr
│ │ │ -000776a0: 6f6e 2069 7320 696e 7374 616c 6c65 640a  on is installed.
│ │ │ -000776b0: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ -000776c0: 616d 653a 2063 726f 6e0a 2020 2020 7374  ame: cron.    st
│ │ │ -000776d0: 6174 653a 2070 7265 7365 6e74 0a20 2077  ate: present.  w
│ │ │ -000776e0: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ -000776f0: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ -00077700: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -00077710: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -00077720: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ -00077730: 2d20 5043 492d 4453 5376 342d 322e 320a  - PCI-DSSv4-2.2.
│ │ │ -00077740: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ -00077750: 322e 360a 2020 2d20 656e 6162 6c65 5f73  2.6.  - enable_s
│ │ │ -00077760: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -00077770: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -00077780: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -00077790: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -000777a0: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -000777b0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -000777c0: 6765 5f63 726f 6e5f 696e 7374 616c 6c65  ge_cron_installe
│ │ │ -000777d0: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +00077080: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ +00077090: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ +000770a0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +000770b0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +000770c0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +000770d0: 2269 646d 3139 3434 3622 3e3c 7461 626c  "idm19446"><tabl
│ │ │ +000770e0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +000770f0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +00077100: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +00077110: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +00077120: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +00077130: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00077140: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +00077150: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +00077160: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00077170: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +00077180: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +00077190: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +000771a0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +000771b0: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ +000771c0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +000771d0: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ +000771e0: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ +000771f0: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ +00077200: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ +00077210: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ +00077220: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +00077230: 4d2d 3628 6129 0a20 202d 2050 4349 2d44  M-6(a).  - PCI-D
│ │ │ +00077240: 5353 7634 2d32 2e32 0a20 202d 2050 4349  SSv4-2.2.  - PCI
│ │ │ +00077250: 2d44 5353 7634 2d32 2e32 2e36 0a20 202d  -DSSv4-2.2.6.  -
│ │ │ +00077260: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ +00077270: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +00077280: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +00077290: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ +000772a0: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ +000772b0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +000772c0: 2020 2d20 7061 636b 6167 655f 6372 6f6e    - package_cron
│ │ │ +000772d0: 5f69 6e73 7461 6c6c 6564 0a0a 2d20 6e61  _installed..- na
│ │ │ +000772e0: 6d65 3a20 456e 7375 7265 2063 726f 6e20  me: Ensure cron 
│ │ │ +000772f0: 6973 2069 6e73 7461 6c6c 6564 0a20 2070  is installed.  p
│ │ │ +00077300: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ +00077310: 3a20 6372 6f6e 0a20 2020 2073 7461 7465  : cron.    state
│ │ │ +00077320: 3a20 7072 6573 656e 740a 2020 7768 656e  : present.  when
│ │ │ +00077330: 3a20 2722 6c69 6e75 782d 6261 7365 2220  : '"linux-base" 
│ │ │ +00077340: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ +00077350: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ +00077360: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +00077370: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ +00077380: 4349 2d44 5353 7634 2d32 2e32 0a20 202d  CI-DSSv4-2.2.  -
│ │ │ +00077390: 2050 4349 2d44 5353 7634 2d32 2e32 2e36   PCI-DSSv4-2.2.6
│ │ │ +000773a0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +000773b0: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +000773c0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +000773d0: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +000773e0: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +000773f0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +00077400: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +00077410: 6372 6f6e 5f69 6e73 7461 6c6c 6564 0a3c  cron_installed.<
│ │ │ +00077420: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +00077430: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +00077440: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +00077450: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +00077460: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +00077470: 2223 6964 6d31 3934 3437 2220 7461 6269  "#idm19447" tabi
│ │ │ +00077480: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00077490: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +000774a0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +000774b0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +000774c0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +000774d0: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +000774e0: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +000774f0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00077500: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00077510: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00077520: 2269 646d 3139 3434 3722 3e3c 7461 626c  "idm19447"><tabl
│ │ │ +00077530: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +00077540: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +00077550: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +00077560: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +00077570: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +00077580: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00077590: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +000775a0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +000775b0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +000775c0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +000775d0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +000775e0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +000775f0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00077600: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ +00077610: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00077620: 6465 3e69 6e63 6c75 6465 2069 6e73 7461  de>include insta
│ │ │ +00077630: 6c6c 5f63 726f 6e0a 0a63 6c61 7373 2069  ll_cron..class i
│ │ │ +00077640: 6e73 7461 6c6c 5f63 726f 6e20 7b0a 2020  nstall_cron {.  
│ │ │ +00077650: 7061 636b 6167 6520 7b20 2763 726f 6e27  package { 'cron'
│ │ │ +00077660: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ +00077670: 743b 2027 696e 7374 616c 6c65 6427 2c0a  t; 'installed',.
│ │ │ +00077680: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ +00077690: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +000776a0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +000776b0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +000776c0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +000776d0: 7461 7267 6574 3d22 2369 646d 3139 3434  target="#idm1944
│ │ │ +000776e0: 3822 2074 6162 696e 6465 783d 2230 2220  8" tabindex="0" 
│ │ │ +000776f0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +00077700: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +00077710: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +00077720: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +00077730: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +00077740: 7469 6f6e 204f 5342 7569 6c64 2042 6c75  tion OSBuild Blu
│ │ │ +00077750: 6570 7269 6e74 2073 6e69 7070 6574 20e2  eprint snippet .
│ │ │ +00077760: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +00077770: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +00077780: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +00077790: 643d 2269 646d 3139 3434 3822 3e3c 7072  d="idm19448"><pr
│ │ │ +000777a0: 653e 3c63 6f64 653e 0a5b 5b70 6163 6b61  e><code>.[[packa
│ │ │ +000777b0: 6765 735d 5d0a 6e61 6d65 203d 2022 6372  ges]].name = "cr
│ │ │ +000777c0: 6f6e 220a 7665 7273 696f 6e20 3d20 222a  on".version = "*
│ │ │ +000777d0: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │  000777e0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │  000777f0: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │  00077800: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │  00077810: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │  00077820: 6574 3d22 2369 646d 3139 3434 3922 2074  et="#idm19449" t
│ │ │  00077830: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  00077840: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ @@ -30922,95 +30922,95 @@
│ │ │  00078c90: 7267 6574 3d22 2369 646d 3139 3633 3722  rget="#idm19637"
│ │ │  00078ca0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  00078cb0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  00078cc0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  00078cd0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  00078ce0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  00078cf0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00078d00: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ -00078d10: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -00078d20: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00078d30: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00078d40: 2220 6964 3d22 6964 6d31 3936 3337 223e  " id="idm19637">
│ │ │ -00078d50: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00078d60: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00078d70: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00078d80: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00078d90: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00078da0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00078db0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00078dc0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -00078dd0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00078de0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00078df0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00078e00: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00078e10: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00078e20: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -00078e30: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00078e40: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ -00078e50: 2072 656d 6f76 655f 696e 6574 7574 696c   remove_inetutil
│ │ │ -00078e60: 732d 7465 6c6e 6574 640a 0a63 6c61 7373  s-telnetd..class
│ │ │ -00078e70: 2072 656d 6f76 655f 696e 6574 7574 696c   remove_inetutil
│ │ │ -00078e80: 732d 7465 6c6e 6574 6420 7b0a 2020 7061  s-telnetd {.  pa
│ │ │ -00078e90: 636b 6167 6520 7b20 2769 6e65 7475 7469  ckage { 'inetuti
│ │ │ -00078ea0: 6c73 2d74 656c 6e65 7464 273a 0a20 2020  ls-telnetd':.   
│ │ │ -00078eb0: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ -00078ec0: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │ -00078ed0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00078ee0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00078ef0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00078f00: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00078f10: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00078f20: 2369 646d 3139 3633 3822 2074 6162 696e  #idm19638" tabin
│ │ │ -00078f30: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -00078f40: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -00078f50: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -00078f60: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00078f70: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00078f80: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -00078f90: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -00078fa0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00078fb0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00078fc0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00078fd0: 2269 646d 3139 3633 3822 3e3c 7461 626c  "idm19638"><tabl
│ │ │ -00078fe0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00078ff0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00079000: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00079010: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00079020: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00079030: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00079040: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00079050: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00079060: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00079070: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00079080: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00079090: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -000790a0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -000790b0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -000790c0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -000790d0: 6f64 653e 2d20 6e61 6d65 3a20 456e 7375  ode>- name: Ensu
│ │ │ -000790e0: 7265 2069 6e65 7475 7469 6c73 2d74 656c  re inetutils-tel
│ │ │ -000790f0: 6e65 7464 2069 7320 7265 6d6f 7665 640a  netd is removed.
│ │ │ -00079100: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ -00079110: 616d 653a 2069 6e65 7475 7469 6c73 2d74  ame: inetutils-t
│ │ │ -00079120: 656c 6e65 7464 0a20 2020 2073 7461 7465  elnetd.    state
│ │ │ -00079130: 3a20 6162 7365 6e74 0a20 2074 6167 733a  : absent.  tags:
│ │ │ -00079140: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00079150: 2d43 4d2d 3628 6129 0a20 202d 204e 4953  -CM-6(a).  - NIS
│ │ │ -00079160: 542d 3830 302d 3533 2d43 4d2d 3728 6129  T-800-53-CM-7(a)
│ │ │ -00079170: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00079180: 2d43 4d2d 3728 6229 0a20 202d 2064 6973  -CM-7(b).  - dis
│ │ │ -00079190: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -000791a0: 2d20 6869 6768 5f73 6576 6572 6974 790a  - high_severity.
│ │ │ -000791b0: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -000791c0: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -000791d0: 7074 696f 6e0a 2020 2d20 6e6f 5f72 6562  ption.  - no_reb
│ │ │ -000791e0: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -000791f0: 6163 6b61 6765 5f69 6e65 7475 7469 6c73  ackage_inetutils
│ │ │ -00079200: 2d74 656c 6e65 7464 5f72 656d 6f76 6564  -telnetd_removed
│ │ │ +00078d00: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +00078d10: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00078d20: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00078d30: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00078d40: 6522 2069 643d 2269 646d 3139 3633 3722  e" id="idm19637"
│ │ │ +00078d50: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00078d60: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00078d70: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00078d80: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00078d90: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00078da0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00078db0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00078dc0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00078dd0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00078de0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00078df0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00078e00: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00078e10: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00078e20: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ +00078e30: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00078e40: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +00078e50: 3a20 456e 7375 7265 2069 6e65 7475 7469  : Ensure inetuti
│ │ │ +00078e60: 6c73 2d74 656c 6e65 7464 2069 7320 7265  ls-telnetd is re
│ │ │ +00078e70: 6d6f 7665 640a 2020 7061 636b 6167 653a  moved.  package:
│ │ │ +00078e80: 0a20 2020 206e 616d 653a 2069 6e65 7475  .    name: inetu
│ │ │ +00078e90: 7469 6c73 2d74 656c 6e65 7464 0a20 2020  tils-telnetd.   
│ │ │ +00078ea0: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ +00078eb0: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ +00078ec0: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ +00078ed0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +00078ee0: 4d2d 3728 6129 0a20 202d 204e 4953 542d  M-7(a).  - NIST-
│ │ │ +00078ef0: 3830 302d 3533 2d43 4d2d 3728 6229 0a20  800-53-CM-7(b). 
│ │ │ +00078f00: 202d 2064 6973 6162 6c65 5f73 7472 6174   - disable_strat
│ │ │ +00078f10: 6567 790a 2020 2d20 6869 6768 5f73 6576  egy.  - high_sev
│ │ │ +00078f20: 6572 6974 790a 2020 2d20 6c6f 775f 636f  erity.  - low_co
│ │ │ +00078f30: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +00078f40: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +00078f50: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +00078f60: 0a20 202d 2070 6163 6b61 6765 5f69 6e65  .  - package_ine
│ │ │ +00078f70: 7475 7469 6c73 2d74 656c 6e65 7464 5f72  tutils-telnetd_r
│ │ │ +00078f80: 656d 6f76 6564 0a3c 2f63 6f64 653e 3c2f  emoved.</code></
│ │ │ +00078f90: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +00078fa0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +00078fb0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00078fc0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00078fd0: 2d74 6172 6765 743d 2223 6964 6d31 3936  -target="#idm196
│ │ │ +00078fe0: 3338 2220 7461 6269 6e64 6578 3d22 3022  38" tabindex="0"
│ │ │ +00078ff0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +00079000: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +00079010: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +00079020: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +00079030: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +00079040: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ +00079050: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00079060: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00079070: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00079080: 7073 6522 2069 643d 2269 646d 3139 3633  pse" id="idm1963
│ │ │ +00079090: 3822 3e3c 7461 626c 6520 636c 6173 733d  8"><table class=
│ │ │ +000790a0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +000790b0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +000790c0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +000790d0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +000790e0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +000790f0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00079100: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +00079110: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00079120: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +00079130: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +00079140: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +00079150: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +00079160: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ +00079170: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00079180: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ +00079190: 7564 6520 7265 6d6f 7665 5f69 6e65 7475  ude remove_inetu
│ │ │ +000791a0: 7469 6c73 2d74 656c 6e65 7464 0a0a 636c  tils-telnetd..cl
│ │ │ +000791b0: 6173 7320 7265 6d6f 7665 5f69 6e65 7475  ass remove_inetu
│ │ │ +000791c0: 7469 6c73 2d74 656c 6e65 7464 207b 0a20  tils-telnetd {. 
│ │ │ +000791d0: 2070 6163 6b61 6765 207b 2027 696e 6574   package { 'inet
│ │ │ +000791e0: 7574 696c 732d 7465 6c6e 6574 6427 3a0a  utils-telnetd':.
│ │ │ +000791f0: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ +00079200: 2027 7075 7267 6564 272c 0a20 207d 0a7d   'purged',.  }.}
│ │ │  00079210: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │  00079220: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │  00079230: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │  00079240: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │  00079250: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │  00079260: 743d 2223 6964 6d31 3936 3339 2220 7461  t="#idm19639" ta
│ │ │  00079270: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ @@ -31157,86 +31157,86 @@
│ │ │  00079b40: 6765 743d 2223 6964 6d31 3936 3436 2220  get="#idm19646" 
│ │ │  00079b50: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  00079b60: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  00079b70: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  00079b80: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  00079b90: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  00079ba0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00079bb0: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -00079bc0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00079bd0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00079be0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00079bf0: 2069 643d 2269 646d 3139 3634 3622 3e3c   id="idm19646"><
│ │ │ -00079c00: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00079c10: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -00079c20: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -00079c30: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00079c40: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -00079c50: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -00079c60: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00079c70: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -00079c80: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00079c90: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -00079ca0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -00079cb0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00079cc0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -00079cd0: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -00079ce0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00079cf0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -00079d00: 7265 6d6f 7665 5f6e 6973 0a0a 636c 6173  remove_nis..clas
│ │ │ -00079d10: 7320 7265 6d6f 7665 5f6e 6973 207b 0a20  s remove_nis {. 
│ │ │ -00079d20: 2070 6163 6b61 6765 207b 2027 6e69 7327   package { 'nis'
│ │ │ -00079d30: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ -00079d40: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ -00079d50: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -00079d60: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -00079d70: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -00079d80: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -00079d90: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -00079da0: 6765 743d 2223 6964 6d31 3936 3437 2220  get="#idm19647" 
│ │ │ -00079db0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -00079dc0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -00079dd0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -00079de0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -00079df0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -00079e00: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00079e10: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -00079e20: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -00079e30: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00079e40: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00079e50: 2220 6964 3d22 6964 6d31 3936 3437 223e  " id="idm19647">
│ │ │ -00079e60: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00079e70: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00079e80: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00079e90: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00079ea0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00079eb0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00079ec0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00079ed0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -00079ee0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00079ef0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00079f00: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00079f10: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00079f20: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00079f30: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -00079f40: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00079f50: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -00079f60: 2045 6e73 7572 6520 6e69 7320 6973 2072   Ensure nis is r
│ │ │ -00079f70: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ -00079f80: 3a0a 2020 2020 6e61 6d65 3a20 6e69 730a  :.    name: nis.
│ │ │ -00079f90: 2020 2020 7374 6174 653a 2061 6273 656e      state: absen
│ │ │ -00079fa0: 740a 2020 7461 6773 3a0a 2020 2d20 6469  t.  tags:.  - di
│ │ │ -00079fb0: 7361 626c 655f 7374 7261 7465 6779 0a20  sable_strategy. 
│ │ │ -00079fc0: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -00079fd0: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -00079fe0: 7469 6f6e 0a20 202d 206c 6f77 5f73 6576  tion.  - low_sev
│ │ │ -00079ff0: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ -0007a000: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -0007a010: 6163 6b61 6765 5f6e 6973 5f72 656d 6f76  ackage_nis_remov
│ │ │ -0007a020: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +00079bb0: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +00079bc0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00079bd0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00079be0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00079bf0: 2220 6964 3d22 6964 6d31 3936 3436 223e  " id="idm19646">
│ │ │ +00079c00: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00079c10: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00079c20: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00079c30: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00079c40: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00079c50: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00079c60: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00079c70: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00079c80: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00079c90: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00079ca0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00079cb0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00079cc0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00079cd0: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +00079ce0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00079cf0: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +00079d00: 2045 6e73 7572 6520 6e69 7320 6973 2072   Ensure nis is r
│ │ │ +00079d10: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ +00079d20: 3a0a 2020 2020 6e61 6d65 3a20 6e69 730a  :.    name: nis.
│ │ │ +00079d30: 2020 2020 7374 6174 653a 2061 6273 656e      state: absen
│ │ │ +00079d40: 740a 2020 7461 6773 3a0a 2020 2d20 6469  t.  tags:.  - di
│ │ │ +00079d50: 7361 626c 655f 7374 7261 7465 6779 0a20  sable_strategy. 
│ │ │ +00079d60: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +00079d70: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +00079d80: 7469 6f6e 0a20 202d 206c 6f77 5f73 6576  tion.  - low_sev
│ │ │ +00079d90: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +00079da0: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ +00079db0: 6163 6b61 6765 5f6e 6973 5f72 656d 6f76  ackage_nis_remov
│ │ │ +00079dc0: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +00079dd0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00079de0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00079df0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00079e00: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00079e10: 6765 743d 2223 6964 6d31 3936 3437 2220  get="#idm19647" 
│ │ │ +00079e20: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +00079e30: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +00079e40: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +00079e50: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +00079e60: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +00079e70: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +00079e80: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ +00079e90: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00079ea0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00079eb0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00079ec0: 2069 643d 2269 646d 3139 3634 3722 3e3c   id="idm19647"><
│ │ │ +00079ed0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00079ee0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00079ef0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00079f00: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00079f10: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00079f20: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00079f30: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00079f40: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00079f50: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00079f60: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00079f70: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00079f80: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00079f90: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00079fa0: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +00079fb0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00079fc0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +00079fd0: 7265 6d6f 7665 5f6e 6973 0a0a 636c 6173  remove_nis..clas
│ │ │ +00079fe0: 7320 7265 6d6f 7665 5f6e 6973 207b 0a20  s remove_nis {. 
│ │ │ +00079ff0: 2070 6163 6b61 6765 207b 2027 6e69 7327   package { 'nis'
│ │ │ +0007a000: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ +0007a010: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ +0007a020: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │  0007a030: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │  0007a040: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │  0007a050: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │  0007a060: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │  0007a070: 6765 743d 2223 6964 6d31 3936 3438 2220  get="#idm19648" 
│ │ │  0007a080: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  0007a090: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ @@ -31380,88 +31380,88 @@
│ │ │  0007a930: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  0007a940: 646d 3139 3635 3522 2074 6162 696e 6465  dm19655" tabinde
│ │ │  0007a950: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │  0007a960: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │  0007a970: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │  0007a980: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │  0007a990: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0007a9a0: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -0007a9b0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -0007a9c0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0007a9d0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0007a9e0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0007a9f0: 6d31 3936 3535 223e 3c74 6162 6c65 2063  m19655"><table c
│ │ │ -0007aa00: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -0007aa10: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -0007aa20: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -0007aa30: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -0007aa40: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -0007aa50: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0007aa60: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -0007aa70: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -0007aa80: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0007aa90: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -0007aaa0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -0007aab0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -0007aac0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -0007aad0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0007aae0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0007aaf0: 3e69 6e63 6c75 6465 2072 656d 6f76 655f  >include remove_
│ │ │ -0007ab00: 6e74 7064 6174 650a 0a63 6c61 7373 2072  ntpdate..class r
│ │ │ -0007ab10: 656d 6f76 655f 6e74 7064 6174 6520 7b0a  emove_ntpdate {.
│ │ │ -0007ab20: 2020 7061 636b 6167 6520 7b20 276e 7470    package { 'ntp
│ │ │ -0007ab30: 6461 7465 273a 0a20 2020 2065 6e73 7572  date':.    ensur
│ │ │ -0007ab40: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ -0007ab50: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │ -0007ab60: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -0007ab70: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -0007ab80: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -0007ab90: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -0007aba0: 612d 7461 7267 6574 3d22 2369 646d 3139  a-target="#idm19
│ │ │ -0007abb0: 3635 3622 2074 6162 696e 6465 783d 2230  656" tabindex="0
│ │ │ -0007abc0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -0007abd0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -0007abe0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -0007abf0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -0007ac00: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -0007ac10: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ -0007ac20: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -0007ac30: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -0007ac40: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -0007ac50: 6c61 7073 6522 2069 643d 2269 646d 3139  lapse" id="idm19
│ │ │ -0007ac60: 3635 3622 3e3c 7461 626c 6520 636c 6173  656"><table clas
│ │ │ -0007ac70: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -0007ac80: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -0007ac90: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -0007aca0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -0007acb0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -0007acc0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -0007acd0: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -0007ace0: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -0007acf0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0007ad00: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -0007ad10: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -0007ad20: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -0007ad30: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ -0007ad40: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -0007ad50: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ -0007ad60: 6e61 6d65 3a20 456e 7375 7265 206e 7470  name: Ensure ntp
│ │ │ -0007ad70: 6461 7465 2069 7320 7265 6d6f 7665 640a  date is removed.
│ │ │ -0007ad80: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ -0007ad90: 616d 653a 206e 7470 6461 7465 0a20 2020  ame: ntpdate.   
│ │ │ -0007ada0: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ -0007adb0: 2074 6167 733a 0a20 202d 2064 6973 6162   tags:.  - disab
│ │ │ -0007adc0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -0007add0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -0007ade0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -0007adf0: 6e0a 2020 2d20 6c6f 775f 7365 7665 7269  n.  - low_severi
│ │ │ -0007ae00: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -0007ae10: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -0007ae20: 6167 655f 6e74 7064 6174 655f 7265 6d6f  age_ntpdate_remo
│ │ │ -0007ae30: 7665 640a 3c2f 636f 6465 3e3c 2f70 7265  ved.</code></pre
│ │ │ +0007a9a0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ +0007a9b0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ +0007a9c0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +0007a9d0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +0007a9e0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +0007a9f0: 646d 3139 3635 3522 3e3c 7461 626c 6520  dm19655"><table 
│ │ │ +0007aa00: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +0007aa10: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +0007aa20: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +0007aa30: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +0007aa40: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +0007aa50: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0007aa60: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +0007aa70: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +0007aa80: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0007aa90: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +0007aaa0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +0007aab0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +0007aac0: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +0007aad0: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +0007aae0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +0007aaf0: 653e 2d20 6e61 6d65 3a20 456e 7375 7265  e>- name: Ensure
│ │ │ +0007ab00: 206e 7470 6461 7465 2069 7320 7265 6d6f   ntpdate is remo
│ │ │ +0007ab10: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ +0007ab20: 2020 206e 616d 653a 206e 7470 6461 7465     name: ntpdate
│ │ │ +0007ab30: 0a20 2020 2073 7461 7465 3a20 6162 7365  .    state: abse
│ │ │ +0007ab40: 6e74 0a20 2074 6167 733a 0a20 202d 2064  nt.  tags:.  - d
│ │ │ +0007ab50: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ +0007ab60: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +0007ab70: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +0007ab80: 7074 696f 6e0a 2020 2d20 6c6f 775f 7365  ption.  - low_se
│ │ │ +0007ab90: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +0007aba0: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +0007abb0: 7061 636b 6167 655f 6e74 7064 6174 655f  package_ntpdate_
│ │ │ +0007abc0: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ +0007abd0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +0007abe0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +0007abf0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +0007ac00: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +0007ac10: 612d 7461 7267 6574 3d22 2369 646d 3139  a-target="#idm19
│ │ │ +0007ac20: 3635 3622 2074 6162 696e 6465 783d 2230  656" tabindex="0
│ │ │ +0007ac30: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +0007ac40: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +0007ac50: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +0007ac60: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +0007ac70: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +0007ac80: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +0007ac90: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +0007aca0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0007acb0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0007acc0: 6170 7365 2220 6964 3d22 6964 6d31 3936  apse" id="idm196
│ │ │ +0007acd0: 3536 223e 3c74 6162 6c65 2063 6c61 7373  56"><table class
│ │ │ +0007ace0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0007acf0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0007ad00: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0007ad10: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0007ad20: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +0007ad30: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0007ad40: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +0007ad50: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +0007ad60: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0007ad70: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +0007ad80: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +0007ad90: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +0007ada0: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +0007adb0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0007adc0: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +0007add0: 6c75 6465 2072 656d 6f76 655f 6e74 7064  lude remove_ntpd
│ │ │ +0007ade0: 6174 650a 0a63 6c61 7373 2072 656d 6f76  ate..class remov
│ │ │ +0007adf0: 655f 6e74 7064 6174 6520 7b0a 2020 7061  e_ntpdate {.  pa
│ │ │ +0007ae00: 636b 6167 6520 7b20 276e 7470 6461 7465  ckage { 'ntpdate
│ │ │ +0007ae10: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ +0007ae20: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ +0007ae30: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │  0007ae40: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │  0007ae50: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │  0007ae60: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │  0007ae70: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │  0007ae80: 7267 6574 3d22 2369 646d 3139 3635 3722  rget="#idm19657"
│ │ │  0007ae90: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  0007aea0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ @@ -31722,93 +31722,93 @@
│ │ │  0007be90: 2d74 6172 6765 743d 2223 6964 6d31 3937  -target="#idm197
│ │ │  0007bea0: 3536 2220 7461 6269 6e64 6578 3d22 3022  56" tabindex="0"
│ │ │  0007beb0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  0007bec0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  0007bed0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  0007bee0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  0007bef0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -0007bf00: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -0007bf10: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -0007bf20: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -0007bf30: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -0007bf40: 7073 6522 2069 643d 2269 646d 3139 3735  pse" id="idm1975
│ │ │ -0007bf50: 3622 3e3c 7461 626c 6520 636c 6173 733d  6"><table class=
│ │ │ -0007bf60: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -0007bf70: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -0007bf80: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -0007bf90: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -0007bfa0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -0007bfb0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0007bfc0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -0007bfd0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0007bfe0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -0007bff0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -0007c000: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -0007c010: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -0007c020: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -0007c030: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -0007c040: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ -0007c050: 7564 6520 7265 6d6f 7665 5f74 656c 6e65  ude remove_telne
│ │ │ -0007c060: 7464 2d73 736c 0a0a 636c 6173 7320 7265  td-ssl..class re
│ │ │ -0007c070: 6d6f 7665 5f74 656c 6e65 7464 2d73 736c  move_telnetd-ssl
│ │ │ -0007c080: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ -0007c090: 7465 6c6e 6574 642d 7373 6c27 3a0a 2020  telnetd-ssl':.  
│ │ │ -0007c0a0: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -0007c0b0: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │ -0007c0c0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -0007c0d0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -0007c0e0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -0007c0f0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -0007c100: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -0007c110: 2223 6964 6d31 3937 3537 2220 7461 6269  "#idm19757" tabi
│ │ │ -0007c120: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -0007c130: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -0007c140: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -0007c150: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -0007c160: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -0007c170: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -0007c180: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -0007c190: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -0007c1a0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -0007c1b0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -0007c1c0: 3d22 6964 6d31 3937 3537 223e 3c74 6162  ="idm19757"><tab
│ │ │ -0007c1d0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -0007c1e0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -0007c1f0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -0007c200: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -0007c210: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -0007c220: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0007c230: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -0007c240: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -0007c250: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -0007c260: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -0007c270: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -0007c280: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -0007c290: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -0007c2a0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -0007c2b0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -0007c2c0: 636f 6465 3e2d 206e 616d 653a 2045 6e73  code>- name: Ens
│ │ │ -0007c2d0: 7572 6520 7465 6c6e 6574 642d 7373 6c20  ure telnetd-ssl 
│ │ │ -0007c2e0: 6973 2072 656d 6f76 6564 0a20 2070 6163  is removed.  pac
│ │ │ -0007c2f0: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -0007c300: 7465 6c6e 6574 642d 7373 6c0a 2020 2020  telnetd-ssl.    
│ │ │ -0007c310: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ -0007c320: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -0007c330: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ -0007c340: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -0007c350: 2d37 2861 290a 2020 2d20 4e49 5354 2d38  -7(a).  - NIST-8
│ │ │ -0007c360: 3030 2d35 332d 434d 2d37 2862 290a 2020  00-53-CM-7(b).  
│ │ │ -0007c370: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ -0007c380: 6779 0a20 202d 2068 6967 685f 7365 7665  gy.  - high_seve
│ │ │ -0007c390: 7269 7479 0a20 202d 206c 6f77 5f63 6f6d  rity.  - low_com
│ │ │ -0007c3a0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -0007c3b0: 6469 7372 7570 7469 6f6e 0a20 202d 206e  disruption.  - n
│ │ │ -0007c3c0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -0007c3d0: 2020 2d20 7061 636b 6167 655f 7465 6c6e    - package_teln
│ │ │ -0007c3e0: 6574 642d 7373 6c5f 7265 6d6f 7665 640a  etd-ssl_removed.
│ │ │ +0007bf00: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +0007bf10: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +0007bf20: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0007bf30: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0007bf40: 6170 7365 2220 6964 3d22 6964 6d31 3937  apse" id="idm197
│ │ │ +0007bf50: 3536 223e 3c74 6162 6c65 2063 6c61 7373  56"><table class
│ │ │ +0007bf60: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0007bf70: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0007bf80: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0007bf90: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0007bfa0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +0007bfb0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0007bfc0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +0007bfd0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +0007bfe0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0007bff0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +0007c000: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +0007c010: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +0007c020: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +0007c030: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0007c040: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +0007c050: 616d 653a 2045 6e73 7572 6520 7465 6c6e  ame: Ensure teln
│ │ │ +0007c060: 6574 642d 7373 6c20 6973 2072 656d 6f76  etd-ssl is remov
│ │ │ +0007c070: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +0007c080: 2020 6e61 6d65 3a20 7465 6c6e 6574 642d    name: telnetd-
│ │ │ +0007c090: 7373 6c0a 2020 2020 7374 6174 653a 2061  ssl.    state: a
│ │ │ +0007c0a0: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ +0007c0b0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +0007c0c0: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ +0007c0d0: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ +0007c0e0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +0007c0f0: 2d37 2862 290a 2020 2d20 6469 7361 626c  -7(b).  - disabl
│ │ │ +0007c100: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ +0007c110: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ +0007c120: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +0007c130: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +0007c140: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ +0007c150: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +0007c160: 6167 655f 7465 6c6e 6574 642d 7373 6c5f  age_telnetd-ssl_
│ │ │ +0007c170: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ +0007c180: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +0007c190: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +0007c1a0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +0007c1b0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +0007c1c0: 612d 7461 7267 6574 3d22 2369 646d 3139  a-target="#idm19
│ │ │ +0007c1d0: 3735 3722 2074 6162 696e 6465 783d 2230  757" tabindex="0
│ │ │ +0007c1e0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +0007c1f0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +0007c200: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +0007c210: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +0007c220: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +0007c230: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +0007c240: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +0007c250: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0007c260: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0007c270: 6170 7365 2220 6964 3d22 6964 6d31 3937  apse" id="idm197
│ │ │ +0007c280: 3537 223e 3c74 6162 6c65 2063 6c61 7373  57"><table class
│ │ │ +0007c290: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0007c2a0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0007c2b0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0007c2c0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0007c2d0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +0007c2e0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0007c2f0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +0007c300: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +0007c310: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0007c320: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +0007c330: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +0007c340: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +0007c350: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +0007c360: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0007c370: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +0007c380: 6c75 6465 2072 656d 6f76 655f 7465 6c6e  lude remove_teln
│ │ │ +0007c390: 6574 642d 7373 6c0a 0a63 6c61 7373 2072  etd-ssl..class r
│ │ │ +0007c3a0: 656d 6f76 655f 7465 6c6e 6574 642d 7373  emove_telnetd-ss
│ │ │ +0007c3b0: 6c20 7b0a 2020 7061 636b 6167 6520 7b20  l {.  package { 
│ │ │ +0007c3c0: 2774 656c 6e65 7464 2d73 736c 273a 0a20  'telnetd-ssl':. 
│ │ │ +0007c3d0: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ +0007c3e0: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │  0007c3f0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  0007c400: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │  0007c410: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │  0007c420: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │  0007c430: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  0007c440: 3d22 2369 646d 3139 3735 3822 2074 6162  ="#idm19758" tab
│ │ │  0007c450: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ @@ -32070,92 +32070,92 @@
│ │ │  0007d450: 2d74 6172 6765 743d 2223 6964 6d31 3938  -target="#idm198
│ │ │  0007d460: 3536 2220 7461 6269 6e64 6578 3d22 3022  56" tabindex="0"
│ │ │  0007d470: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  0007d480: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  0007d490: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  0007d4a0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  0007d4b0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -0007d4c0: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -0007d4d0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -0007d4e0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -0007d4f0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -0007d500: 7073 6522 2069 643d 2269 646d 3139 3835  pse" id="idm1985
│ │ │ -0007d510: 3622 3e3c 7461 626c 6520 636c 6173 733d  6"><table class=
│ │ │ -0007d520: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -0007d530: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -0007d540: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -0007d550: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -0007d560: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -0007d570: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0007d580: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -0007d590: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0007d5a0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -0007d5b0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -0007d5c0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -0007d5d0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -0007d5e0: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -0007d5f0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -0007d600: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ -0007d610: 7564 6520 7265 6d6f 7665 5f74 656c 6e65  ude remove_telne
│ │ │ -0007d620: 7464 0a0a 636c 6173 7320 7265 6d6f 7665  td..class remove
│ │ │ -0007d630: 5f74 656c 6e65 7464 207b 0a20 2070 6163  _telnetd {.  pac
│ │ │ -0007d640: 6b61 6765 207b 2027 7465 6c6e 6574 6427  kage { 'telnetd'
│ │ │ -0007d650: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ -0007d660: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ -0007d670: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -0007d680: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -0007d690: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -0007d6a0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -0007d6b0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -0007d6c0: 6765 743d 2223 6964 6d31 3938 3537 2220  get="#idm19857" 
│ │ │ -0007d6d0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -0007d6e0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -0007d6f0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -0007d700: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -0007d710: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -0007d720: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0007d730: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -0007d740: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0007d750: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0007d760: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0007d770: 2220 6964 3d22 6964 6d31 3938 3537 223e  " id="idm19857">
│ │ │ -0007d780: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -0007d790: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -0007d7a0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -0007d7b0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -0007d7c0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -0007d7d0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -0007d7e0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0007d7f0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -0007d800: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0007d810: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -0007d820: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -0007d830: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -0007d840: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -0007d850: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -0007d860: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -0007d870: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -0007d880: 2045 6e73 7572 6520 7465 6c6e 6574 6420   Ensure telnetd 
│ │ │ -0007d890: 6973 2072 656d 6f76 6564 0a20 2070 6163  is removed.  pac
│ │ │ -0007d8a0: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -0007d8b0: 7465 6c6e 6574 640a 2020 2020 7374 6174  telnetd.    stat
│ │ │ -0007d8c0: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ -0007d8d0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -0007d8e0: 332d 434d 2d36 2861 290a 2020 2d20 4e49  3-CM-6(a).  - NI
│ │ │ -0007d8f0: 5354 2d38 3030 2d35 332d 434d 2d37 2861  ST-800-53-CM-7(a
│ │ │ -0007d900: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -0007d910: 332d 434d 2d37 2862 290a 2020 2d20 6469  3-CM-7(b).  - di
│ │ │ -0007d920: 7361 626c 655f 7374 7261 7465 6779 0a20  sable_strategy. 
│ │ │ -0007d930: 202d 2068 6967 685f 7365 7665 7269 7479   - high_severity
│ │ │ -0007d940: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -0007d950: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -0007d960: 7570 7469 6f6e 0a20 202d 206e 6f5f 7265  uption.  - no_re
│ │ │ -0007d970: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -0007d980: 7061 636b 6167 655f 7465 6c6e 6574 645f  package_telnetd_
│ │ │ -0007d990: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ +0007d4c0: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +0007d4d0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +0007d4e0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0007d4f0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0007d500: 6170 7365 2220 6964 3d22 6964 6d31 3938  apse" id="idm198
│ │ │ +0007d510: 3536 223e 3c74 6162 6c65 2063 6c61 7373  56"><table class
│ │ │ +0007d520: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0007d530: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0007d540: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0007d550: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0007d560: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +0007d570: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0007d580: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +0007d590: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +0007d5a0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0007d5b0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +0007d5c0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +0007d5d0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +0007d5e0: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +0007d5f0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0007d600: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +0007d610: 616d 653a 2045 6e73 7572 6520 7465 6c6e  ame: Ensure teln
│ │ │ +0007d620: 6574 6420 6973 2072 656d 6f76 6564 0a20  etd is removed. 
│ │ │ +0007d630: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +0007d640: 6d65 3a20 7465 6c6e 6574 640a 2020 2020  me: telnetd.    
│ │ │ +0007d650: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ +0007d660: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +0007d670: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +0007d680: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +0007d690: 2d37 2861 290a 2020 2d20 4e49 5354 2d38  -7(a).  - NIST-8
│ │ │ +0007d6a0: 3030 2d35 332d 434d 2d37 2862 290a 2020  00-53-CM-7(b).  
│ │ │ +0007d6b0: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ +0007d6c0: 6779 0a20 202d 2068 6967 685f 7365 7665  gy.  - high_seve
│ │ │ +0007d6d0: 7269 7479 0a20 202d 206c 6f77 5f63 6f6d  rity.  - low_com
│ │ │ +0007d6e0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +0007d6f0: 6469 7372 7570 7469 6f6e 0a20 202d 206e  disruption.  - n
│ │ │ +0007d700: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +0007d710: 2020 2d20 7061 636b 6167 655f 7465 6c6e    - package_teln
│ │ │ +0007d720: 6574 645f 7265 6d6f 7665 640a 3c2f 636f  etd_removed.</co
│ │ │ +0007d730: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +0007d740: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +0007d750: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +0007d760: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +0007d770: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +0007d780: 646d 3139 3835 3722 2074 6162 696e 6465  dm19857" tabinde
│ │ │ +0007d790: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +0007d7a0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +0007d7b0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +0007d7c0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +0007d7d0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +0007d7e0: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ +0007d7f0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +0007d800: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +0007d810: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +0007d820: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +0007d830: 6d31 3938 3537 223e 3c74 6162 6c65 2063  m19857"><table c
│ │ │ +0007d840: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +0007d850: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +0007d860: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +0007d870: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +0007d880: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +0007d890: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0007d8a0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +0007d8b0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +0007d8c0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0007d8d0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +0007d8e0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +0007d8f0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +0007d900: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +0007d910: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +0007d920: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +0007d930: 3e69 6e63 6c75 6465 2072 656d 6f76 655f  >include remove_
│ │ │ +0007d940: 7465 6c6e 6574 640a 0a63 6c61 7373 2072  telnetd..class r
│ │ │ +0007d950: 656d 6f76 655f 7465 6c6e 6574 6420 7b0a  emove_telnetd {.
│ │ │ +0007d960: 2020 7061 636b 6167 6520 7b20 2774 656c    package { 'tel
│ │ │ +0007d970: 6e65 7464 273a 0a20 2020 2065 6e73 7572  netd':.    ensur
│ │ │ +0007d980: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ +0007d990: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │  0007d9a0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │  0007d9b0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │  0007d9c0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │  0007d9d0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │  0007d9e0: 612d 7461 7267 6574 3d22 2369 646d 3139  a-target="#idm19
│ │ │  0007d9f0: 3835 3822 2074 6162 696e 6465 783d 2230  858" tabindex="0
│ │ │  0007da00: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ @@ -32652,128 +32652,128 @@
│ │ │  0007f8b0: 6765 743d 2223 6964 6d32 3035 3139 2220  get="#idm20519" 
│ │ │  0007f8c0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  0007f8d0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  0007f8e0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  0007f8f0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  0007f900: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  0007f910: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0007f920: 6e20 4f53 4275 696c 6420 426c 7565 7072  n OSBuild Bluepr
│ │ │ -0007f930: 696e 7420 736e 6970 7065 7420 e287 b23c  int snippet ...<
│ │ │ -0007f940: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -0007f950: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -0007f960: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -0007f970: 6964 6d32 3035 3139 223e 3c70 7265 3e3c  idm20519"><pre><
│ │ │ -0007f980: 636f 6465 3e0a 5b5b 7061 636b 6167 6573  code>.[[packages
│ │ │ -0007f990: 5d5d 0a6e 616d 6520 3d20 226e 7470 220a  ]].name = "ntp".
│ │ │ -0007f9a0: 7665 7273 696f 6e20 3d20 222a 220a 3c2f  version = "*".</
│ │ │ -0007f9b0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -0007f9c0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -0007f9d0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -0007f9e0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -0007f9f0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -0007fa00: 2369 646d 3230 3532 3022 2074 6162 696e  #idm20520" tabin
│ │ │ -0007fa10: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -0007fa20: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -0007fa30: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -0007fa40: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -0007fa50: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -0007fa60: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ -0007fa70: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ -0007fa80: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -0007fa90: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -0007faa0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -0007fab0: 6964 6d32 3035 3230 223e 3c74 6162 6c65  idm20520"><table
│ │ │ -0007fac0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ -0007fad0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ -0007fae0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ -0007faf0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ -0007fb00: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ -0007fb10: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0007fb20: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ -0007fb30: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ -0007fb40: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0007fb50: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ -0007fb60: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ -0007fb70: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ -0007fb80: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ -0007fb90: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ -0007fba0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -0007fbb0: 653e 696e 636c 7564 6520 696e 7374 616c  e>include instal
│ │ │ -0007fbc0: 6c5f 6e74 700a 0a63 6c61 7373 2069 6e73  l_ntp..class ins
│ │ │ -0007fbd0: 7461 6c6c 5f6e 7470 207b 0a20 2070 6163  tall_ntp {.  pac
│ │ │ -0007fbe0: 6b61 6765 207b 2027 6e74 7027 3a0a 2020  kage { 'ntp':.  
│ │ │ -0007fbf0: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -0007fc00: 696e 7374 616c 6c65 6427 2c0a 2020 7d0a  installed',.  }.
│ │ │ -0007fc10: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │ -0007fc20: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -0007fc30: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -0007fc40: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -0007fc50: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -0007fc60: 6574 3d22 2369 646d 3230 3532 3122 2074  et="#idm20521" t
│ │ │ -0007fc70: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -0007fc80: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -0007fc90: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -0007fca0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -0007fcb0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -0007fcc0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -0007fcd0: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ -0007fce0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -0007fcf0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -0007fd00: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -0007fd10: 2069 643d 2269 646d 3230 3532 3122 3e3c   id="idm20521"><
│ │ │ -0007fd20: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -0007fd30: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -0007fd40: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -0007fd50: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -0007fd60: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -0007fd70: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -0007fd80: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0007fd90: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -0007fda0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0007fdb0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -0007fdc0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -0007fdd0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0007fde0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -0007fdf0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -0007fe00: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -0007fe10: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ -0007fe20: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ -0007fe30: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ -0007fe40: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ -0007fe50: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ -0007fe60: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -0007fe70: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ -0007fe80: 4349 2d44 5353 2d52 6571 2d31 302e 340a  CI-DSS-Req-10.4.
│ │ │ -0007fe90: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ -0007fea0: 6567 790a 2020 2d20 6869 6768 5f73 6576  egy.  - high_sev
│ │ │ -0007feb0: 6572 6974 790a 2020 2d20 6c6f 775f 636f  erity.  - low_co
│ │ │ -0007fec0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -0007fed0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -0007fee0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -0007fef0: 0a20 202d 2070 6163 6b61 6765 5f6e 7470  .  - package_ntp
│ │ │ -0007ff00: 5f69 6e73 7461 6c6c 6564 0a0a 2d20 6e61  _installed..- na
│ │ │ -0007ff10: 6d65 3a20 456e 7375 7265 206e 7470 2069  me: Ensure ntp i
│ │ │ -0007ff20: 7320 696e 7374 616c 6c65 640a 2020 7061  s installed.  pa
│ │ │ -0007ff30: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -0007ff40: 206e 7470 0a20 2020 2073 7461 7465 3a20   ntp.    state: 
│ │ │ -0007ff50: 7072 6573 656e 740a 2020 7768 656e 3a20  present.  when: 
│ │ │ -0007ff60: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ -0007ff70: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -0007ff80: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ -0007ff90: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -0007ffa0: 2d43 4d2d 3628 6129 0a20 202d 2050 4349  -CM-6(a).  - PCI
│ │ │ -0007ffb0: 2d44 5353 2d52 6571 2d31 302e 340a 2020  -DSS-Req-10.4.  
│ │ │ -0007ffc0: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -0007ffd0: 790a 2020 2d20 6869 6768 5f73 6576 6572  y.  - high_sever
│ │ │ -0007ffe0: 6974 790a 2020 2d20 6c6f 775f 636f 6d70  ity.  - low_comp
│ │ │ -0007fff0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -00080000: 6973 7275 7074 696f 6e0a 2020 2d20 6e6f  isruption.  - no
│ │ │ -00080010: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -00080020: 202d 2070 6163 6b61 6765 5f6e 7470 5f69   - package_ntp_i
│ │ │ -00080030: 6e73 7461 6c6c 6564 0a3c 2f63 6f64 653e  nstalled.</code>
│ │ │ +0007f920: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +0007f930: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +0007f940: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +0007f950: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +0007f960: 2220 6964 3d22 6964 6d32 3035 3139 223e  " id="idm20519">
│ │ │ +0007f970: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +0007f980: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +0007f990: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +0007f9a0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +0007f9b0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +0007f9c0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +0007f9d0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0007f9e0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +0007f9f0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +0007fa00: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +0007fa10: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +0007fa20: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +0007fa30: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +0007fa40: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +0007fa50: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +0007fa60: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +0007fa70: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ +0007fa80: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ +0007fa90: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ +0007faa0: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ +0007fab0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +0007fac0: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +0007fad0: 5043 492d 4453 532d 5265 712d 3130 2e34  PCI-DSS-Req-10.4
│ │ │ +0007fae0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +0007faf0: 7465 6779 0a20 202d 2068 6967 685f 7365  tegy.  - high_se
│ │ │ +0007fb00: 7665 7269 7479 0a20 202d 206c 6f77 5f63  verity.  - low_c
│ │ │ +0007fb10: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +0007fb20: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +0007fb30: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +0007fb40: 640a 2020 2d20 7061 636b 6167 655f 6e74  d.  - package_nt
│ │ │ +0007fb50: 705f 696e 7374 616c 6c65 640a 0a2d 206e  p_installed..- n
│ │ │ +0007fb60: 616d 653a 2045 6e73 7572 6520 6e74 7020  ame: Ensure ntp 
│ │ │ +0007fb70: 6973 2069 6e73 7461 6c6c 6564 0a20 2070  is installed.  p
│ │ │ +0007fb80: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ +0007fb90: 3a20 6e74 700a 2020 2020 7374 6174 653a  : ntp.    state:
│ │ │ +0007fba0: 2070 7265 7365 6e74 0a20 2077 6865 6e3a   present.  when:
│ │ │ +0007fbb0: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ +0007fbc0: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ +0007fbd0: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ +0007fbe0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +0007fbf0: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ +0007fc00: 492d 4453 532d 5265 712d 3130 2e34 0a20  I-DSS-Req-10.4. 
│ │ │ +0007fc10: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ +0007fc20: 6779 0a20 202d 2068 6967 685f 7365 7665  gy.  - high_seve
│ │ │ +0007fc30: 7269 7479 0a20 202d 206c 6f77 5f63 6f6d  rity.  - low_com
│ │ │ +0007fc40: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +0007fc50: 6469 7372 7570 7469 6f6e 0a20 202d 206e  disruption.  - n
│ │ │ +0007fc60: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +0007fc70: 2020 2d20 7061 636b 6167 655f 6e74 705f    - package_ntp_
│ │ │ +0007fc80: 696e 7374 616c 6c65 640a 3c2f 636f 6465  installed.</code
│ │ │ +0007fc90: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +0007fca0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +0007fcb0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +0007fcc0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +0007fcd0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +0007fce0: 3230 3532 3022 2074 6162 696e 6465 783d  20520" tabindex=
│ │ │ +0007fcf0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +0007fd00: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +0007fd10: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +0007fd20: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +0007fd30: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +0007fd40: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ +0007fd50: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +0007fd60: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +0007fd70: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +0007fd80: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ +0007fd90: 3035 3230 223e 3c74 6162 6c65 2063 6c61  0520"><table cla
│ │ │ +0007fda0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +0007fdb0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +0007fdc0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +0007fdd0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +0007fde0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +0007fdf0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0007fe00: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +0007fe10: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +0007fe20: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0007fe30: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +0007fe40: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +0007fe50: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +0007fe60: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ +0007fe70: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +0007fe80: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +0007fe90: 636c 7564 6520 696e 7374 616c 6c5f 6e74  clude install_nt
│ │ │ +0007fea0: 700a 0a63 6c61 7373 2069 6e73 7461 6c6c  p..class install
│ │ │ +0007feb0: 5f6e 7470 207b 0a20 2070 6163 6b61 6765  _ntp {.  package
│ │ │ +0007fec0: 207b 2027 6e74 7027 3a0a 2020 2020 656e   { 'ntp':.    en
│ │ │ +0007fed0: 7375 7265 203d 2667 743b 2027 696e 7374  sure =&gt; 'inst
│ │ │ +0007fee0: 616c 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f  alled',.  }.}.</
│ │ │ +0007fef0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +0007ff00: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +0007ff10: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +0007ff20: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +0007ff30: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +0007ff40: 2369 646d 3230 3532 3122 2074 6162 696e  #idm20521" tabin
│ │ │ +0007ff50: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +0007ff60: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +0007ff70: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +0007ff80: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +0007ff90: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +0007ffa0: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ +0007ffb0: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ +0007ffc0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +0007ffd0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +0007ffe0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +0007fff0: 6c61 7073 6522 2069 643d 2269 646d 3230  lapse" id="idm20
│ │ │ +00080000: 3532 3122 3e3c 7072 653e 3c63 6f64 653e  521"><pre><code>
│ │ │ +00080010: 0a5b 5b70 6163 6b61 6765 735d 5d0a 6e61  .[[packages]].na
│ │ │ +00080020: 6d65 203d 2022 6e74 7022 0a76 6572 7369  me = "ntp".versi
│ │ │ +00080030: 6f6e 203d 2022 2a22 0a3c 2f63 6f64 653e  on = "*".</code>
│ │ │  00080040: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │  00080050: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │  00080060: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │  00080070: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │  00080080: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │  00080090: 3035 3232 2220 7461 6269 6e64 6578 3d22  0522" tabindex="
│ │ │  000800a0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ @@ -33052,157 +33052,157 @@
│ │ │  000811b0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  000811c0: 6d32 3036 3631 2220 7461 6269 6e64 6578  m20661" tabindex
│ │ │  000811d0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │  000811e0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │  000811f0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │  00081200: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │  00081210: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00081220: 6d65 6469 6174 696f 6e20 4f53 4275 696c  mediation OSBuil
│ │ │ -00081230: 6420 426c 7565 7072 696e 7420 736e 6970  d Blueprint snip
│ │ │ -00081240: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00081250: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00081260: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00081270: 7365 2220 6964 3d22 6964 6d32 3036 3631  se" id="idm20661
│ │ │ -00081280: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b63  "><pre><code>.[c
│ │ │ -00081290: 7573 746f 6d69 7a61 7469 6f6e 732e 7365  ustomizations.se
│ │ │ -000812a0: 7276 6963 6573 5d0a 656e 6162 6c65 6420  rvices].enabled 
│ │ │ -000812b0: 3d20 5b22 6e74 7022 5d0a 3c2f 636f 6465  = ["ntp"].</code
│ │ │ -000812c0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -000812d0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -000812e0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -000812f0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -00081300: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -00081310: 3230 3636 3222 2074 6162 696e 6465 783d  20662" tabindex=
│ │ │ -00081320: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -00081330: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -00081340: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00081350: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00081360: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00081370: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ -00081380: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00081390: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -000813a0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -000813b0: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -000813c0: 3036 3632 223e 3c74 6162 6c65 2063 6c61  0662"><table cla
│ │ │ -000813d0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -000813e0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -000813f0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00081400: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00081410: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00081420: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00081430: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00081440: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00081450: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00081460: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00081470: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00081480: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00081490: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -000814a0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -000814b0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -000814c0: 636c 7564 6520 656e 6162 6c65 5f6e 7470  clude enable_ntp
│ │ │ -000814d0: 0a0a 636c 6173 7320 656e 6162 6c65 5f6e  ..class enable_n
│ │ │ -000814e0: 7470 207b 0a20 2073 6572 7669 6365 207b  tp {.  service {
│ │ │ -000814f0: 276e 7470 273a 0a20 2020 2065 6e61 626c  'ntp':.    enabl
│ │ │ -00081500: 6520 3d26 6774 3b20 7472 7565 2c0a 2020  e =&gt; true,.  
│ │ │ -00081510: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -00081520: 7275 6e6e 696e 6727 2c0a 2020 7d0a 7d0a  running',.  }.}.
│ │ │ -00081530: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00081540: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00081550: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00081560: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00081570: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00081580: 3d22 2369 646d 3230 3636 3322 2074 6162  ="#idm20663" tab
│ │ │ -00081590: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -000815a0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -000815b0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -000815c0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -000815d0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -000815e0: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ -000815f0: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ -00081600: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00081610: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00081620: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00081630: 643d 2269 646d 3230 3636 3322 3e3c 7461  d="idm20663"><ta
│ │ │ -00081640: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00081650: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00081660: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00081670: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00081680: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -00081690: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -000816a0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -000816b0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -000816c0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -000816d0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -000816e0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -000816f0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00081700: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -00081710: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ -00081720: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -00081730: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ -00081740: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ -00081750: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ -00081760: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ -00081770: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ -00081780: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00081790: 2d41 552d 3828 3129 2861 290a 2020 2d20  -AU-8(1)(a).  - 
│ │ │ -000817a0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -000817b0: 2861 290a 2020 2d20 5043 492d 4453 532d  (a).  - PCI-DSS-
│ │ │ -000817c0: 5265 712d 3130 2e34 0a20 202d 2050 4349  Req-10.4.  - PCI
│ │ │ -000817d0: 2d44 5353 7634 2d31 302e 360a 2020 2d20  -DSSv4-10.6.  - 
│ │ │ -000817e0: 5043 492d 4453 5376 342d 3130 2e36 2e31  PCI-DSSv4-10.6.1
│ │ │ -000817f0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ -00081800: 7465 6779 0a20 202d 2068 6967 685f 7365  tegy.  - high_se
│ │ │ -00081810: 7665 7269 7479 0a20 202d 206c 6f77 5f63  verity.  - low_c
│ │ │ -00081820: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -00081830: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -00081840: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -00081850: 640a 2020 2d20 7365 7276 6963 655f 6e74  d.  - service_nt
│ │ │ -00081860: 705f 656e 6162 6c65 640a 0a2d 206e 616d  p_enabled..- nam
│ │ │ -00081870: 653a 2045 6e61 626c 6520 7468 6520 4e54  e: Enable the NT
│ │ │ -00081880: 5020 4461 656d 6f6e 202d 2045 6e61 626c  P Daemon - Enabl
│ │ │ -00081890: 6520 7365 7276 6963 6520 6e74 700a 2020  e service ntp.  
│ │ │ -000818a0: 626c 6f63 6b3a 0a0a 2020 2d20 6e61 6d65  block:..  - name
│ │ │ -000818b0: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ -000818c0: 6b61 6765 2066 6163 7473 0a20 2020 2070  kage facts.    p
│ │ │ -000818d0: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ -000818e0: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ -000818f0: 6f0a 0a20 202d 206e 616d 653a 2045 6e61  o..  - name: Ena
│ │ │ -00081900: 626c 6520 7468 6520 4e54 5020 4461 656d  ble the NTP Daem
│ │ │ -00081910: 6f6e 202d 2045 6e61 626c 6520 5365 7276  on - Enable Serv
│ │ │ -00081920: 6963 6520 6e74 700a 2020 2020 616e 7369  ice ntp.    ansi
│ │ │ -00081930: 626c 652e 6275 696c 7469 6e2e 7379 7374  ble.builtin.syst
│ │ │ -00081940: 656d 643a 0a20 2020 2020 206e 616d 653a  emd:.      name:
│ │ │ -00081950: 206e 7470 0a20 2020 2020 2065 6e61 626c   ntp.      enabl
│ │ │ -00081960: 6564 3a20 7472 7565 0a20 2020 2020 2073  ed: true.      s
│ │ │ -00081970: 7461 7465 3a20 7374 6172 7465 640a 2020  tate: started.  
│ │ │ -00081980: 2020 2020 6d61 736b 6564 3a20 6661 6c73      masked: fals
│ │ │ -00081990: 650a 2020 2020 7768 656e 3a0a 2020 2020  e.    when:.    
│ │ │ -000819a0: 2d20 2722 6e74 7022 2069 6e20 616e 7369  - '"ntp" in ansi
│ │ │ -000819b0: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ -000819c0: 6573 270a 2020 7768 656e 3a0a 2020 2d20  es'.  when:.  - 
│ │ │ -000819d0: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ -000819e0: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -000819f0: 6163 6b61 6765 7327 0a20 202d 2027 226e  ackages'.  - '"n
│ │ │ -00081a00: 7470 2220 696e 2061 6e73 6962 6c65 5f66  tp" in ansible_f
│ │ │ -00081a10: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -00081a20: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -00081a30: 3830 302d 3533 2d41 552d 3828 3129 2861  800-53-AU-8(1)(a
│ │ │ -00081a40: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00081a50: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ -00081a60: 492d 4453 532d 5265 712d 3130 2e34 0a20  I-DSS-Req-10.4. 
│ │ │ -00081a70: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ -00081a80: 360a 2020 2d20 5043 492d 4453 5376 342d  6.  - PCI-DSSv4-
│ │ │ -00081a90: 3130 2e36 2e31 0a20 202d 2065 6e61 626c  10.6.1.  - enabl
│ │ │ -00081aa0: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ -00081ab0: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ -00081ac0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00081ad0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00081ae0: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ -00081af0: 5f6e 6565 6465 640a 2020 2d20 7365 7276  _needed.  - serv
│ │ │ -00081b00: 6963 655f 6e74 705f 656e 6162 6c65 640a  ice_ntp_enabled.
│ │ │ +00081220: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ +00081230: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ +00081240: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00081250: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00081260: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00081270: 6d32 3036 3631 223e 3c74 6162 6c65 2063  m20661"><table c
│ │ │ +00081280: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00081290: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +000812a0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +000812b0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +000812c0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +000812d0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +000812e0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +000812f0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00081300: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00081310: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00081320: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00081330: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00081340: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +00081350: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00081360: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00081370: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ +00081380: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ +00081390: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ +000813a0: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ +000813b0: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ +000813c0: 4e49 5354 2d38 3030 2d35 332d 4155 2d38  NIST-800-53-AU-8
│ │ │ +000813d0: 2831 2928 6129 0a20 202d 204e 4953 542d  (1)(a).  - NIST-
│ │ │ +000813e0: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ +000813f0: 202d 2050 4349 2d44 5353 2d52 6571 2d31   - PCI-DSS-Req-1
│ │ │ +00081400: 302e 340a 2020 2d20 5043 492d 4453 5376  0.4.  - PCI-DSSv
│ │ │ +00081410: 342d 3130 2e36 0a20 202d 2050 4349 2d44  4-10.6.  - PCI-D
│ │ │ +00081420: 5353 7634 2d31 302e 362e 310a 2020 2d20  SSv4-10.6.1.  - 
│ │ │ +00081430: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +00081440: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ +00081450: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00081460: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00081470: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ +00081480: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +00081490: 2073 6572 7669 6365 5f6e 7470 5f65 6e61   service_ntp_ena
│ │ │ +000814a0: 626c 6564 0a0a 2d20 6e61 6d65 3a20 456e  bled..- name: En
│ │ │ +000814b0: 6162 6c65 2074 6865 204e 5450 2044 6165  able the NTP Dae
│ │ │ +000814c0: 6d6f 6e20 2d20 456e 6162 6c65 2073 6572  mon - Enable ser
│ │ │ +000814d0: 7669 6365 206e 7470 0a20 2062 6c6f 636b  vice ntp.  block
│ │ │ +000814e0: 3a0a 0a20 202d 206e 616d 653a 2047 6174  :..  - name: Gat
│ │ │ +000814f0: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ +00081500: 6661 6374 730a 2020 2020 7061 636b 6167  facts.    packag
│ │ │ +00081510: 655f 6661 6374 733a 0a20 2020 2020 206d  e_facts:.      m
│ │ │ +00081520: 616e 6167 6572 3a20 6175 746f 0a0a 2020  anager: auto..  
│ │ │ +00081530: 2d20 6e61 6d65 3a20 456e 6162 6c65 2074  - name: Enable t
│ │ │ +00081540: 6865 204e 5450 2044 6165 6d6f 6e20 2d20  he NTP Daemon - 
│ │ │ +00081550: 456e 6162 6c65 2053 6572 7669 6365 206e  Enable Service n
│ │ │ +00081560: 7470 0a20 2020 2061 6e73 6962 6c65 2e62  tp.    ansible.b
│ │ │ +00081570: 7569 6c74 696e 2e73 7973 7465 6d64 3a0a  uiltin.systemd:.
│ │ │ +00081580: 2020 2020 2020 6e61 6d65 3a20 6e74 700a        name: ntp.
│ │ │ +00081590: 2020 2020 2020 656e 6162 6c65 643a 2074        enabled: t
│ │ │ +000815a0: 7275 650a 2020 2020 2020 7374 6174 653a  rue.      state:
│ │ │ +000815b0: 2073 7461 7274 6564 0a20 2020 2020 206d   started.      m
│ │ │ +000815c0: 6173 6b65 643a 2066 616c 7365 0a20 2020  asked: false.   
│ │ │ +000815d0: 2077 6865 6e3a 0a20 2020 202d 2027 226e   when:.    - '"n
│ │ │ +000815e0: 7470 2220 696e 2061 6e73 6962 6c65 5f66  tp" in ansible_f
│ │ │ +000815f0: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ +00081600: 2077 6865 6e3a 0a20 202d 2027 226c 696e   when:.  - '"lin
│ │ │ +00081610: 7578 2d62 6173 6522 2069 6e20 616e 7369  ux-base" in ansi
│ │ │ +00081620: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ +00081630: 6573 270a 2020 2d20 2722 6e74 7022 2069  es'.  - '"ntp" i
│ │ │ +00081640: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ +00081650: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ +00081660: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +00081670: 332d 4155 2d38 2831 2928 6129 0a20 202d  3-AU-8(1)(a).  -
│ │ │ +00081680: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +00081690: 3628 6129 0a20 202d 2050 4349 2d44 5353  6(a).  - PCI-DSS
│ │ │ +000816a0: 2d52 6571 2d31 302e 340a 2020 2d20 5043  -Req-10.4.  - PC
│ │ │ +000816b0: 492d 4453 5376 342d 3130 2e36 0a20 202d  I-DSSv4-10.6.  -
│ │ │ +000816c0: 2050 4349 2d44 5353 7634 2d31 302e 362e   PCI-DSSv4-10.6.
│ │ │ +000816d0: 310a 2020 2d20 656e 6162 6c65 5f73 7472  1.  - enable_str
│ │ │ +000816e0: 6174 6567 790a 2020 2d20 6869 6768 5f73  ategy.  - high_s
│ │ │ +000816f0: 6576 6572 6974 790a 2020 2d20 6c6f 775f  everity.  - low_
│ │ │ +00081700: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +00081710: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +00081720: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +00081730: 6564 0a20 202d 2073 6572 7669 6365 5f6e  ed.  - service_n
│ │ │ +00081740: 7470 5f65 6e61 626c 6564 0a3c 2f63 6f64  tp_enabled.</cod
│ │ │ +00081750: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00081760: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00081770: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00081780: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00081790: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +000817a0: 6d32 3036 3632 2220 7461 6269 6e64 6578  m20662" tabindex
│ │ │ +000817b0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +000817c0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +000817d0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +000817e0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +000817f0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00081800: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ +00081810: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +00081820: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +00081830: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00081840: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00081850: 3230 3636 3222 3e3c 7461 626c 6520 636c  20662"><table cl
│ │ │ +00081860: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +00081870: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +00081880: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +00081890: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +000818a0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +000818b0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +000818c0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +000818d0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +000818e0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +000818f0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +00081900: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +00081910: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +00081920: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ +00081930: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +00081940: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ +00081950: 6e63 6c75 6465 2065 6e61 626c 655f 6e74  nclude enable_nt
│ │ │ +00081960: 700a 0a63 6c61 7373 2065 6e61 626c 655f  p..class enable_
│ │ │ +00081970: 6e74 7020 7b0a 2020 7365 7276 6963 6520  ntp {.  service 
│ │ │ +00081980: 7b27 6e74 7027 3a0a 2020 2020 656e 6162  {'ntp':.    enab
│ │ │ +00081990: 6c65 203d 2667 743b 2074 7275 652c 0a20  le =&gt; true,. 
│ │ │ +000819a0: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ +000819b0: 2772 756e 6e69 6e67 272c 0a20 207d 0a7d  'running',.  }.}
│ │ │ +000819c0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +000819d0: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +000819e0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +000819f0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +00081a00: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +00081a10: 743d 2223 6964 6d32 3036 3633 2220 7461  t="#idm20663" ta
│ │ │ +00081a20: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +00081a30: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +00081a40: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +00081a50: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +00081a60: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +00081a70: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +00081a80: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ +00081a90: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +00081aa0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00081ab0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00081ac0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00081ad0: 6d32 3036 3633 223e 3c70 7265 3e3c 636f  m20663"><pre><co
│ │ │ +00081ae0: 6465 3e0a 5b63 7573 746f 6d69 7a61 7469  de>.[customizati
│ │ │ +00081af0: 6f6e 732e 7365 7276 6963 6573 5d0a 656e  ons.services].en
│ │ │ +00081b00: 6162 6c65 6420 3d20 5b22 6e74 7022 5d0a  abled = ["ntp"].
│ │ │  00081b10: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  00081b20: 6976 3e3c 2f64 6976 3e3c 2f74 643e 3c2f  iv></div></td></
│ │ │  00081b30: 7472 3e3c 2f74 626f 6479 3e3c 2f74 6162  tr></tbody></tab
│ │ │  00081b40: 6c65 3e3c 2f74 643e 3c2f 7472 3e3c 7472  le></td></tr><tr
│ │ │  00081b50: 2064 6174 612d 7474 2d69 643d 2263 6869   data-tt-id="chi
│ │ │  00081b60: 6c64 7265 6e2d 7863 6364 665f 6f72 672e  ldren-xccdf_org.
│ │ │  00081b70: 7373 6770 726f 6a65 6374 2e63 6f6e 7465  ssgproject.conte
│ │ │ @@ -36794,153 +36794,153 @@
│ │ │  0008fb90: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  0008fba0: 2223 6964 6d32 3436 3437 2220 7461 6269  "#idm24647" tabi
│ │ │  0008fbb0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │  0008fbc0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │  0008fbd0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │  0008fbe0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │  0008fbf0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -0008fc00: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ -0008fc10: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ -0008fc20: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -0008fc30: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -0008fc40: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -0008fc50: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -0008fc60: 3436 3437 223e 3c70 7265 3e3c 636f 6465  4647"><pre><code
│ │ │ -0008fc70: 3e0a 5b5b 7061 636b 6167 6573 5d5d 0a6e  >.[[packages]].n
│ │ │ -0008fc80: 616d 6520 3d20 2261 7564 6974 6422 0a76  ame = "auditd".v
│ │ │ -0008fc90: 6572 7369 6f6e 203d 2022 2a22 0a3c 2f63  ersion = "*".</c
│ │ │ -0008fca0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -0008fcb0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -0008fcc0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -0008fcd0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -0008fce0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -0008fcf0: 6964 6d32 3436 3438 2220 7461 6269 6e64  idm24648" tabind
│ │ │ -0008fd00: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -0008fd10: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -0008fd20: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -0008fd30: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -0008fd40: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -0008fd50: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ -0008fd60: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ -0008fd70: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0008fd80: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0008fd90: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0008fda0: 646d 3234 3634 3822 3e3c 7461 626c 6520  dm24648"><table 
│ │ │ -0008fdb0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -0008fdc0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -0008fdd0: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -0008fde0: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -0008fdf0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -0008fe00: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0008fe10: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -0008fe20: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -0008fe30: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0008fe40: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -0008fe50: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -0008fe60: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -0008fe70: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -0008fe80: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0008fe90: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0008fea0: 3e69 6e63 6c75 6465 2069 6e73 7461 6c6c  >include install
│ │ │ -0008feb0: 5f61 7564 6974 640a 0a63 6c61 7373 2069  _auditd..class i
│ │ │ -0008fec0: 6e73 7461 6c6c 5f61 7564 6974 6420 7b0a  nstall_auditd {.
│ │ │ -0008fed0: 2020 7061 636b 6167 6520 7b20 2761 7564    package { 'aud
│ │ │ -0008fee0: 6974 6427 3a0a 2020 2020 656e 7375 7265  itd':.    ensure
│ │ │ -0008fef0: 203d 2667 743b 2027 696e 7374 616c 6c65   =&gt; 'installe
│ │ │ -0008ff00: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │ -0008ff10: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -0008ff20: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -0008ff30: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -0008ff40: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -0008ff50: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -0008ff60: 3234 3634 3922 2074 6162 696e 6465 783d  24649" tabindex=
│ │ │ -0008ff70: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -0008ff80: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -0008ff90: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -0008ffa0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -0008ffb0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -0008ffc0: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ -0008ffd0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -0008ffe0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -0008fff0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00090000: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00090010: 3234 3634 3922 3e3c 7461 626c 6520 636c  24649"><table cl
│ │ │ -00090020: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00090030: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00090040: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00090050: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00090060: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00090070: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00090080: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00090090: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -000900a0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -000900b0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -000900c0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -000900d0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -000900e0: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ -000900f0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00090100: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -00090110: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ -00090120: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ -00090130: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ -00090140: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ -00090150: 746f 0a20 2074 6167 733a 0a20 202d 204e  to.  tags:.  - N
│ │ │ -00090160: 4953 542d 3830 302d 3533 2d41 432d 3728  IST-800-53-AC-7(
│ │ │ -00090170: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ -00090180: 3533 2d41 552d 3132 2832 290a 2020 2d20  53-AU-12(2).  - 
│ │ │ -00090190: 4e49 5354 2d38 3030 2d35 332d 4155 2d31  NIST-800-53-AU-1
│ │ │ -000901a0: 340a 2020 2d20 4e49 5354 2d38 3030 2d35  4.  - NIST-800-5
│ │ │ -000901b0: 332d 4155 2d32 2861 290a 2020 2d20 4e49  3-AU-2(a).  - NI
│ │ │ -000901c0: 5354 2d38 3030 2d35 332d 4155 2d37 2831  ST-800-53-AU-7(1
│ │ │ -000901d0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -000901e0: 332d 4155 2d37 2832 290a 2020 2d20 4e49  3-AU-7(2).  - NI
│ │ │ -000901f0: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -00090200: 290a 2020 2d20 5043 492d 4453 532d 5265  ).  - PCI-DSS-Re
│ │ │ -00090210: 712d 3130 2e31 0a20 202d 2050 4349 2d44  q-10.1.  - PCI-D
│ │ │ -00090220: 5353 7634 2d31 302e 320a 2020 2d20 5043  SSv4-10.2.  - PC
│ │ │ -00090230: 492d 4453 5376 342d 3130 2e32 2e31 0a20  I-DSSv4-10.2.1. 
│ │ │ -00090240: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ -00090250: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -00090260: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -00090270: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ -00090280: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ -00090290: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -000902a0: 640a 2020 2d20 7061 636b 6167 655f 6175  d.  - package_au
│ │ │ -000902b0: 6469 745f 696e 7374 616c 6c65 640a 0a2d  dit_installed..-
│ │ │ -000902c0: 206e 616d 653a 2045 6e73 7572 6520 6175   name: Ensure au
│ │ │ -000902d0: 6469 7464 2069 7320 696e 7374 616c 6c65  ditd is installe
│ │ │ -000902e0: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ -000902f0: 206e 616d 653a 2061 7564 6974 640a 2020   name: auditd.  
│ │ │ -00090300: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ -00090310: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ -00090320: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ -00090330: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -00090340: 270a 2020 7461 6773 3a0a 2020 2d20 4e49  '.  tags:.  - NI
│ │ │ -00090350: 5354 2d38 3030 2d35 332d 4143 2d37 2861  ST-800-53-AC-7(a
│ │ │ -00090360: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00090370: 332d 4155 2d31 3228 3229 0a20 202d 204e  3-AU-12(2).  - N
│ │ │ -00090380: 4953 542d 3830 302d 3533 2d41 552d 3134  IST-800-53-AU-14
│ │ │ -00090390: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -000903a0: 2d41 552d 3228 6129 0a20 202d 204e 4953  -AU-2(a).  - NIS
│ │ │ -000903b0: 542d 3830 302d 3533 2d41 552d 3728 3129  T-800-53-AU-7(1)
│ │ │ -000903c0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -000903d0: 2d41 552d 3728 3229 0a20 202d 204e 4953  -AU-7(2).  - NIS
│ │ │ -000903e0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -000903f0: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -00090400: 2d31 302e 310a 2020 2d20 5043 492d 4453  -10.1.  - PCI-DS
│ │ │ -00090410: 5376 342d 3130 2e32 0a20 202d 2050 4349  Sv4-10.2.  - PCI
│ │ │ -00090420: 2d44 5353 7634 2d31 302e 322e 310a 2020  -DSSv4-10.2.1.  
│ │ │ -00090430: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -00090440: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -00090450: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -00090460: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -00090470: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -00090480: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -00090490: 0a20 202d 2070 6163 6b61 6765 5f61 7564  .  - package_aud
│ │ │ -000904a0: 6974 5f69 6e73 7461 6c6c 6564 0a3c 2f63  it_installed.</c
│ │ │ +0008fc00: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ +0008fc10: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ +0008fc20: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +0008fc30: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +0008fc40: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +0008fc50: 3d22 6964 6d32 3436 3437 223e 3c74 6162  ="idm24647"><tab
│ │ │ +0008fc60: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +0008fc70: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +0008fc80: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +0008fc90: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +0008fca0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +0008fcb0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0008fcc0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +0008fcd0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +0008fce0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0008fcf0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +0008fd00: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +0008fd10: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +0008fd20: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +0008fd30: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +0008fd40: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +0008fd50: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ +0008fd60: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ +0008fd70: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ +0008fd80: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ +0008fd90: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ +0008fda0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0008fdb0: 4143 2d37 2861 290a 2020 2d20 4e49 5354  AC-7(a).  - NIST
│ │ │ +0008fdc0: 2d38 3030 2d35 332d 4155 2d31 3228 3229  -800-53-AU-12(2)
│ │ │ +0008fdd0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0008fde0: 2d41 552d 3134 0a20 202d 204e 4953 542d  -AU-14.  - NIST-
│ │ │ +0008fdf0: 3830 302d 3533 2d41 552d 3228 6129 0a20  800-53-AU-2(a). 
│ │ │ +0008fe00: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +0008fe10: 552d 3728 3129 0a20 202d 204e 4953 542d  U-7(1).  - NIST-
│ │ │ +0008fe20: 3830 302d 3533 2d41 552d 3728 3229 0a20  800-53-AU-7(2). 
│ │ │ +0008fe30: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +0008fe40: 4d2d 3628 6129 0a20 202d 2050 4349 2d44  M-6(a).  - PCI-D
│ │ │ +0008fe50: 5353 2d52 6571 2d31 302e 310a 2020 2d20  SS-Req-10.1.  - 
│ │ │ +0008fe60: 5043 492d 4453 5376 342d 3130 2e32 0a20  PCI-DSSv4-10.2. 
│ │ │ +0008fe70: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ +0008fe80: 322e 310a 2020 2d20 656e 6162 6c65 5f73  2.1.  - enable_s
│ │ │ +0008fe90: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +0008fea0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +0008feb0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +0008fec0: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ +0008fed0: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +0008fee0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ +0008fef0: 6765 5f61 7564 6974 5f69 6e73 7461 6c6c  ge_audit_install
│ │ │ +0008ff00: 6564 0a0a 2d20 6e61 6d65 3a20 456e 7375  ed..- name: Ensu
│ │ │ +0008ff10: 7265 2061 7564 6974 6420 6973 2069 6e73  re auditd is ins
│ │ │ +0008ff20: 7461 6c6c 6564 0a20 2070 6163 6b61 6765  talled.  package
│ │ │ +0008ff30: 3a0a 2020 2020 6e61 6d65 3a20 6175 6469  :.    name: audi
│ │ │ +0008ff40: 7464 0a20 2020 2073 7461 7465 3a20 7072  td.    state: pr
│ │ │ +0008ff50: 6573 656e 740a 2020 7768 656e 3a20 2722  esent.  when: '"
│ │ │ +0008ff60: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ +0008ff70: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ +0008ff80: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ +0008ff90: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +0008ffa0: 432d 3728 6129 0a20 202d 204e 4953 542d  C-7(a).  - NIST-
│ │ │ +0008ffb0: 3830 302d 3533 2d41 552d 3132 2832 290a  800-53-AU-12(2).
│ │ │ +0008ffc0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0008ffd0: 4155 2d31 340a 2020 2d20 4e49 5354 2d38  AU-14.  - NIST-8
│ │ │ +0008ffe0: 3030 2d35 332d 4155 2d32 2861 290a 2020  00-53-AU-2(a).  
│ │ │ +0008fff0: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +00090000: 2d37 2831 290a 2020 2d20 4e49 5354 2d38  -7(1).  - NIST-8
│ │ │ +00090010: 3030 2d35 332d 4155 2d37 2832 290a 2020  00-53-AU-7(2).  
│ │ │ +00090020: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +00090030: 2d36 2861 290a 2020 2d20 5043 492d 4453  -6(a).  - PCI-DS
│ │ │ +00090040: 532d 5265 712d 3130 2e31 0a20 202d 2050  S-Req-10.1.  - P
│ │ │ +00090050: 4349 2d44 5353 7634 2d31 302e 320a 2020  CI-DSSv4-10.2.  
│ │ │ +00090060: 2d20 5043 492d 4453 5376 342d 3130 2e32  - PCI-DSSv4-10.2
│ │ │ +00090070: 2e31 0a20 202d 2065 6e61 626c 655f 7374  .1.  - enable_st
│ │ │ +00090080: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +00090090: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +000900a0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +000900b0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +000900c0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +000900d0: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +000900e0: 655f 6175 6469 745f 696e 7374 616c 6c65  e_audit_installe
│ │ │ +000900f0: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +00090100: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +00090110: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +00090120: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +00090130: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +00090140: 6574 3d22 2369 646d 3234 3634 3822 2074  et="#idm24648" t
│ │ │ +00090150: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +00090160: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +00090170: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +00090180: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +00090190: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +000901a0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +000901b0: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ +000901c0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +000901d0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +000901e0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +000901f0: 6964 3d22 6964 6d32 3436 3438 223e 3c74  id="idm24648"><t
│ │ │ +00090200: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +00090210: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00090220: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +00090230: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00090240: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00090250: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00090260: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00090270: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +00090280: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00090290: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +000902a0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +000902b0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +000902c0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +000902d0: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +000902e0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +000902f0: 3c63 6f64 653e 696e 636c 7564 6520 696e  <code>include in
│ │ │ +00090300: 7374 616c 6c5f 6175 6469 7464 0a0a 636c  stall_auditd..cl
│ │ │ +00090310: 6173 7320 696e 7374 616c 6c5f 6175 6469  ass install_audi
│ │ │ +00090320: 7464 207b 0a20 2070 6163 6b61 6765 207b  td {.  package {
│ │ │ +00090330: 2027 6175 6469 7464 273a 0a20 2020 2065   'auditd':.    e
│ │ │ +00090340: 6e73 7572 6520 3d26 6774 3b20 2769 6e73  nsure =&gt; 'ins
│ │ │ +00090350: 7461 6c6c 6564 272c 0a20 207d 0a7d 0a3c  talled',.  }.}.<
│ │ │ +00090360: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +00090370: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +00090380: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +00090390: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +000903a0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +000903b0: 2223 6964 6d32 3436 3439 2220 7461 6269  "#idm24649" tabi
│ │ │ +000903c0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +000903d0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +000903e0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +000903f0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00090400: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00090410: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ +00090420: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ +00090430: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00090440: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00090450: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00090460: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ +00090470: 3436 3439 223e 3c70 7265 3e3c 636f 6465  4649"><pre><code
│ │ │ +00090480: 3e0a 5b5b 7061 636b 6167 6573 5d5d 0a6e  >.[[packages]].n
│ │ │ +00090490: 616d 6520 3d20 2261 7564 6974 6422 0a76  ame = "auditd".v
│ │ │ +000904a0: 6572 7369 6f6e 203d 2022 2a22 0a3c 2f63  ersion = "*".</c
│ │ │  000904b0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │  000904c0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │  000904d0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │  000904e0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │  000904f0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  00090500: 6964 6d32 3436 3530 2220 7461 6269 6e64  idm24650" tabind
│ │ │  00090510: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ @@ -37402,190 +37402,190 @@
│ │ │  00092190: 7267 6574 3d22 2369 646d 3234 3834 3822  rget="#idm24848"
│ │ │  000921a0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  000921b0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  000921c0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  000921d0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  000921e0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  000921f0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00092200: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ -00092210: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ -00092220: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00092230: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00092240: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00092250: 2269 646d 3234 3834 3822 3e3c 7072 653e  "idm24848"><pre>
│ │ │ -00092260: 3c63 6f64 653e 0a5b 6375 7374 6f6d 697a  <code>.[customiz
│ │ │ -00092270: 6174 696f 6e73 2e73 6572 7669 6365 735d  ations.services]
│ │ │ -00092280: 0a65 6e61 626c 6564 203d 205b 2261 7564  .enabled = ["aud
│ │ │ -00092290: 6974 6422 5d0a 3c2f 636f 6465 3e3c 2f70  itd"].</code></p
│ │ │ -000922a0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -000922b0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -000922c0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -000922d0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -000922e0: 7461 7267 6574 3d22 2369 646d 3234 3834  target="#idm2484
│ │ │ -000922f0: 3922 2074 6162 696e 6465 783d 2230 2220  9" tabindex="0" 
│ │ │ -00092300: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00092310: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00092320: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00092330: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00092340: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00092350: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -00092360: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00092370: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00092380: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00092390: 7365 2220 6964 3d22 6964 6d32 3438 3439  se" id="idm24849
│ │ │ -000923a0: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -000923b0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -000923c0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -000923d0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -000923e0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -000923f0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00092400: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00092410: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00092420: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00092430: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00092440: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00092450: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00092460: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00092470: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00092480: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00092490: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -000924a0: 6520 656e 6162 6c65 5f61 7564 6974 640a  e enable_auditd.
│ │ │ -000924b0: 0a63 6c61 7373 2065 6e61 626c 655f 6175  .class enable_au
│ │ │ -000924c0: 6469 7464 207b 0a20 2073 6572 7669 6365  ditd {.  service
│ │ │ -000924d0: 207b 2761 7564 6974 6427 3a0a 2020 2020   {'auditd':.    
│ │ │ -000924e0: 656e 6162 6c65 203d 2667 743b 2074 7275  enable =&gt; tru
│ │ │ -000924f0: 652c 0a20 2020 2065 6e73 7572 6520 3d26  e,.    ensure =&
│ │ │ -00092500: 6774 3b20 2772 756e 6e69 6e67 272c 0a20  gt; 'running',. 
│ │ │ -00092510: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -00092520: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -00092530: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -00092540: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -00092550: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -00092560: 6172 6765 743d 2223 6964 6d32 3438 3530  arget="#idm24850
│ │ │ -00092570: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00092580: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00092590: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -000925a0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -000925b0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -000925c0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -000925d0: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -000925e0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -000925f0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00092600: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00092610: 7365 2220 6964 3d22 6964 6d32 3438 3530  se" id="idm24850
│ │ │ -00092620: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00092630: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00092640: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00092650: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00092660: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00092670: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00092680: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00092690: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -000926a0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -000926b0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -000926c0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -000926d0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -000926e0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -000926f0: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00092700: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00092710: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -00092720: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ -00092730: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ -00092740: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ -00092750: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ -00092760: 7461 6773 3a0a 2020 2d20 434a 4953 2d35  tags:.  - CJIS-5
│ │ │ -00092770: 2e34 2e31 2e31 0a20 202d 204e 4953 542d  .4.1.1.  - NIST-
│ │ │ -00092780: 3830 302d 3137 312d 332e 332e 310a 2020  800-171-3.3.1.  
│ │ │ -00092790: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33  - NIST-800-171-3
│ │ │ -000927a0: 2e33 2e32 0a20 202d 204e 4953 542d 3830  .3.2.  - NIST-80
│ │ │ -000927b0: 302d 3137 312d 332e 332e 360a 2020 2d20  0-171-3.3.6.  - 
│ │ │ -000927c0: 4e49 5354 2d38 3030 2d35 332d 4143 2d32  NIST-800-53-AC-2
│ │ │ -000927d0: 2867 290a 2020 2d20 4e49 5354 2d38 3030  (g).  - NIST-800
│ │ │ -000927e0: 2d35 332d 4143 2d36 2839 290a 2020 2d20  -53-AC-6(9).  - 
│ │ │ -000927f0: 4e49 5354 2d38 3030 2d35 332d 4155 2d31  NIST-800-53-AU-1
│ │ │ -00092800: 300a 2020 2d20 4e49 5354 2d38 3030 2d35  0.  - NIST-800-5
│ │ │ -00092810: 332d 4155 2d31 3228 6329 0a20 202d 204e  3-AU-12(c).  - N
│ │ │ -00092820: 4953 542d 3830 302d 3533 2d41 552d 3134  IST-800-53-AU-14
│ │ │ -00092830: 2831 290a 2020 2d20 4e49 5354 2d38 3030  (1).  - NIST-800
│ │ │ -00092840: 2d35 332d 4155 2d32 2864 290a 2020 2d20  -53-AU-2(d).  - 
│ │ │ -00092850: 4e49 5354 2d38 3030 2d35 332d 4155 2d33  NIST-800-53-AU-3
│ │ │ -00092860: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -00092870: 2d43 4d2d 3628 6129 0a20 202d 204e 4953  -CM-6(a).  - NIS
│ │ │ -00092880: 542d 3830 302d 3533 2d53 492d 3428 3233  T-800-53-SI-4(23
│ │ │ -00092890: 290a 2020 2d20 5043 492d 4453 532d 5265  ).  - PCI-DSS-Re
│ │ │ -000928a0: 712d 3130 2e31 0a20 202d 2050 4349 2d44  q-10.1.  - PCI-D
│ │ │ -000928b0: 5353 7634 2d31 302e 320a 2020 2d20 5043  SSv4-10.2.  - PC
│ │ │ -000928c0: 492d 4453 5376 342d 3130 2e32 2e31 0a20  I-DSSv4-10.2.1. 
│ │ │ -000928d0: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ -000928e0: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -000928f0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -00092900: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ -00092910: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ -00092920: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -00092930: 640a 2020 2d20 7365 7276 6963 655f 6175  d.  - service_au
│ │ │ -00092940: 6469 7464 5f65 6e61 626c 6564 0a0a 2d20  ditd_enabled..- 
│ │ │ -00092950: 6e61 6d65 3a20 456e 6162 6c65 2061 7564  name: Enable aud
│ │ │ -00092960: 6974 6420 5365 7276 6963 6520 2d20 456e  itd Service - En
│ │ │ -00092970: 6162 6c65 2073 6572 7669 6365 2061 7564  able service aud
│ │ │ -00092980: 6974 640a 2020 626c 6f63 6b3a 0a0a 2020  itd.  block:..  
│ │ │ -00092990: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ -000929a0: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ -000929b0: 0a20 2020 2070 6163 6b61 6765 5f66 6163  .    package_fac
│ │ │ -000929c0: 7473 3a0a 2020 2020 2020 6d61 6e61 6765  ts:.      manage
│ │ │ -000929d0: 723a 2061 7574 6f0a 0a20 202d 206e 616d  r: auto..  - nam
│ │ │ -000929e0: 653a 2045 6e61 626c 6520 6175 6469 7464  e: Enable auditd
│ │ │ -000929f0: 2053 6572 7669 6365 202d 2045 6e61 626c   Service - Enabl
│ │ │ -00092a00: 6520 5365 7276 6963 6520 6175 6469 7464  e Service auditd
│ │ │ -00092a10: 0a20 2020 2061 6e73 6962 6c65 2e62 7569  .    ansible.bui
│ │ │ -00092a20: 6c74 696e 2e73 7973 7465 6d64 3a0a 2020  ltin.systemd:.  
│ │ │ -00092a30: 2020 2020 6e61 6d65 3a20 6175 6469 7464      name: auditd
│ │ │ -00092a40: 0a20 2020 2020 2065 6e61 626c 6564 3a20  .      enabled: 
│ │ │ -00092a50: 7472 7565 0a20 2020 2020 2073 7461 7465  true.      state
│ │ │ -00092a60: 3a20 7374 6172 7465 640a 2020 2020 2020  : started.      
│ │ │ -00092a70: 6d61 736b 6564 3a20 6661 6c73 650a 2020  masked: false.  
│ │ │ -00092a80: 2020 7768 656e 3a0a 2020 2020 2d20 2722    when:.    - '"
│ │ │ -00092a90: 6175 6469 7464 2220 696e 2061 6e73 6962  auditd" in ansib
│ │ │ -00092aa0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ -00092ab0: 7327 0a20 2077 6865 6e3a 0a20 202d 2027  s'.  when:.  - '
│ │ │ -00092ac0: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ -00092ad0: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ -00092ae0: 636b 6167 6573 270a 2020 2d20 2722 6175  ckages'.  - '"au
│ │ │ -00092af0: 6469 7464 2220 696e 2061 6e73 6962 6c65  ditd" in ansible
│ │ │ -00092b00: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ -00092b10: 0a20 2074 6167 733a 0a20 202d 2043 4a49  .  tags:.  - CJI
│ │ │ -00092b20: 532d 352e 342e 312e 310a 2020 2d20 4e49  S-5.4.1.1.  - NI
│ │ │ -00092b30: 5354 2d38 3030 2d31 3731 2d33 2e33 2e31  ST-800-171-3.3.1
│ │ │ -00092b40: 0a20 202d 204e 4953 542d 3830 302d 3137  .  - NIST-800-17
│ │ │ -00092b50: 312d 332e 332e 320a 2020 2d20 4e49 5354  1-3.3.2.  - NIST
│ │ │ -00092b60: 2d38 3030 2d31 3731 2d33 2e33 2e36 0a20  -800-171-3.3.6. 
│ │ │ -00092b70: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -00092b80: 432d 3228 6729 0a20 202d 204e 4953 542d  C-2(g).  - NIST-
│ │ │ -00092b90: 3830 302d 3533 2d41 432d 3628 3929 0a20  800-53-AC-6(9). 
│ │ │ -00092ba0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -00092bb0: 552d 3130 0a20 202d 204e 4953 542d 3830  U-10.  - NIST-80
│ │ │ -00092bc0: 302d 3533 2d41 552d 3132 2863 290a 2020  0-53-AU-12(c).  
│ │ │ -00092bd0: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ -00092be0: 2d31 3428 3129 0a20 202d 204e 4953 542d  -14(1).  - NIST-
│ │ │ -00092bf0: 3830 302d 3533 2d41 552d 3228 6429 0a20  800-53-AU-2(d). 
│ │ │ -00092c00: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -00092c10: 552d 330a 2020 2d20 4e49 5354 2d38 3030  U-3.  - NIST-800
│ │ │ -00092c20: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ -00092c30: 4e49 5354 2d38 3030 2d35 332d 5349 2d34  NIST-800-53-SI-4
│ │ │ -00092c40: 2832 3329 0a20 202d 2050 4349 2d44 5353  (23).  - PCI-DSS
│ │ │ -00092c50: 2d52 6571 2d31 302e 310a 2020 2d20 5043  -Req-10.1.  - PC
│ │ │ -00092c60: 492d 4453 5376 342d 3130 2e32 0a20 202d  I-DSSv4-10.2.  -
│ │ │ -00092c70: 2050 4349 2d44 5353 7634 2d31 302e 322e   PCI-DSSv4-10.2.
│ │ │ -00092c80: 310a 2020 2d20 656e 6162 6c65 5f73 7472  1.  - enable_str
│ │ │ -00092c90: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -00092ca0: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -00092cb0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -00092cc0: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -00092cd0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -00092ce0: 6564 6564 0a20 202d 2073 6572 7669 6365  eded.  - service
│ │ │ -00092cf0: 5f61 7564 6974 645f 656e 6162 6c65 640a  _auditd_enabled.
│ │ │ +00092200: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +00092210: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00092220: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00092230: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00092240: 6522 2069 643d 2269 646d 3234 3834 3822  e" id="idm24848"
│ │ │ +00092250: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00092260: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00092270: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00092280: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00092290: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +000922a0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +000922b0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +000922c0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +000922d0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +000922e0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +000922f0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00092300: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00092310: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00092320: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +00092330: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00092340: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +00092350: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ +00092360: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ +00092370: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ +00092380: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ +00092390: 6167 733a 0a20 202d 2043 4a49 532d 352e  ags:.  - CJIS-5.
│ │ │ +000923a0: 342e 312e 310a 2020 2d20 4e49 5354 2d38  4.1.1.  - NIST-8
│ │ │ +000923b0: 3030 2d31 3731 2d33 2e33 2e31 0a20 202d  00-171-3.3.1.  -
│ │ │ +000923c0: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ +000923d0: 332e 320a 2020 2d20 4e49 5354 2d38 3030  3.2.  - NIST-800
│ │ │ +000923e0: 2d31 3731 2d33 2e33 2e36 0a20 202d 204e  -171-3.3.6.  - N
│ │ │ +000923f0: 4953 542d 3830 302d 3533 2d41 432d 3228  IST-800-53-AC-2(
│ │ │ +00092400: 6729 0a20 202d 204e 4953 542d 3830 302d  g).  - NIST-800-
│ │ │ +00092410: 3533 2d41 432d 3628 3929 0a20 202d 204e  53-AC-6(9).  - N
│ │ │ +00092420: 4953 542d 3830 302d 3533 2d41 552d 3130  IST-800-53-AU-10
│ │ │ +00092430: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00092440: 2d41 552d 3132 2863 290a 2020 2d20 4e49  -AU-12(c).  - NI
│ │ │ +00092450: 5354 2d38 3030 2d35 332d 4155 2d31 3428  ST-800-53-AU-14(
│ │ │ +00092460: 3129 0a20 202d 204e 4953 542d 3830 302d  1).  - NIST-800-
│ │ │ +00092470: 3533 2d41 552d 3228 6429 0a20 202d 204e  53-AU-2(d).  - N
│ │ │ +00092480: 4953 542d 3830 302d 3533 2d41 552d 330a  IST-800-53-AU-3.
│ │ │ +00092490: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +000924a0: 434d 2d36 2861 290a 2020 2d20 4e49 5354  CM-6(a).  - NIST
│ │ │ +000924b0: 2d38 3030 2d35 332d 5349 2d34 2832 3329  -800-53-SI-4(23)
│ │ │ +000924c0: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ +000924d0: 2d31 302e 310a 2020 2d20 5043 492d 4453  -10.1.  - PCI-DS
│ │ │ +000924e0: 5376 342d 3130 2e32 0a20 202d 2050 4349  Sv4-10.2.  - PCI
│ │ │ +000924f0: 2d44 5353 7634 2d31 302e 322e 310a 2020  -DSSv4-10.2.1.  
│ │ │ +00092500: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +00092510: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00092520: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00092530: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +00092540: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +00092550: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +00092560: 0a20 202d 2073 6572 7669 6365 5f61 7564  .  - service_aud
│ │ │ +00092570: 6974 645f 656e 6162 6c65 640a 0a2d 206e  itd_enabled..- n
│ │ │ +00092580: 616d 653a 2045 6e61 626c 6520 6175 6469  ame: Enable audi
│ │ │ +00092590: 7464 2053 6572 7669 6365 202d 2045 6e61  td Service - Ena
│ │ │ +000925a0: 626c 6520 7365 7276 6963 6520 6175 6469  ble service audi
│ │ │ +000925b0: 7464 0a20 2062 6c6f 636b 3a0a 0a20 202d  td.  block:..  -
│ │ │ +000925c0: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ +000925d0: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ +000925e0: 2020 2020 7061 636b 6167 655f 6661 6374      package_fact
│ │ │ +000925f0: 733a 0a20 2020 2020 206d 616e 6167 6572  s:.      manager
│ │ │ +00092600: 3a20 6175 746f 0a0a 2020 2d20 6e61 6d65  : auto..  - name
│ │ │ +00092610: 3a20 456e 6162 6c65 2061 7564 6974 6420  : Enable auditd 
│ │ │ +00092620: 5365 7276 6963 6520 2d20 456e 6162 6c65  Service - Enable
│ │ │ +00092630: 2053 6572 7669 6365 2061 7564 6974 640a   Service auditd.
│ │ │ +00092640: 2020 2020 616e 7369 626c 652e 6275 696c      ansible.buil
│ │ │ +00092650: 7469 6e2e 7379 7374 656d 643a 0a20 2020  tin.systemd:.   
│ │ │ +00092660: 2020 206e 616d 653a 2061 7564 6974 640a     name: auditd.
│ │ │ +00092670: 2020 2020 2020 656e 6162 6c65 643a 2074        enabled: t
│ │ │ +00092680: 7275 650a 2020 2020 2020 7374 6174 653a  rue.      state:
│ │ │ +00092690: 2073 7461 7274 6564 0a20 2020 2020 206d   started.      m
│ │ │ +000926a0: 6173 6b65 643a 2066 616c 7365 0a20 2020  asked: false.   
│ │ │ +000926b0: 2077 6865 6e3a 0a20 2020 202d 2027 2261   when:.    - '"a
│ │ │ +000926c0: 7564 6974 6422 2069 6e20 616e 7369 626c  uditd" in ansibl
│ │ │ +000926d0: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ +000926e0: 270a 2020 7768 656e 3a0a 2020 2d20 2722  '.  when:.  - '"
│ │ │ +000926f0: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ +00092700: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ +00092710: 6b61 6765 7327 0a20 202d 2027 2261 7564  kages'.  - '"aud
│ │ │ +00092720: 6974 6422 2069 6e20 616e 7369 626c 655f  itd" in ansible_
│ │ │ +00092730: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +00092740: 2020 7461 6773 3a0a 2020 2d20 434a 4953    tags:.  - CJIS
│ │ │ +00092750: 2d35 2e34 2e31 2e31 0a20 202d 204e 4953  -5.4.1.1.  - NIS
│ │ │ +00092760: 542d 3830 302d 3137 312d 332e 332e 310a  T-800-171-3.3.1.
│ │ │ +00092770: 2020 2d20 4e49 5354 2d38 3030 2d31 3731    - NIST-800-171
│ │ │ +00092780: 2d33 2e33 2e32 0a20 202d 204e 4953 542d  -3.3.2.  - NIST-
│ │ │ +00092790: 3830 302d 3137 312d 332e 332e 360a 2020  800-171-3.3.6.  
│ │ │ +000927a0: 2d20 4e49 5354 2d38 3030 2d35 332d 4143  - NIST-800-53-AC
│ │ │ +000927b0: 2d32 2867 290a 2020 2d20 4e49 5354 2d38  -2(g).  - NIST-8
│ │ │ +000927c0: 3030 2d35 332d 4143 2d36 2839 290a 2020  00-53-AC-6(9).  
│ │ │ +000927d0: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +000927e0: 2d31 300a 2020 2d20 4e49 5354 2d38 3030  -10.  - NIST-800
│ │ │ +000927f0: 2d35 332d 4155 2d31 3228 6329 0a20 202d  -53-AU-12(c).  -
│ │ │ +00092800: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +00092810: 3134 2831 290a 2020 2d20 4e49 5354 2d38  14(1).  - NIST-8
│ │ │ +00092820: 3030 2d35 332d 4155 2d32 2864 290a 2020  00-53-AU-2(d).  
│ │ │ +00092830: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +00092840: 2d33 0a20 202d 204e 4953 542d 3830 302d  -3.  - NIST-800-
│ │ │ +00092850: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ +00092860: 4953 542d 3830 302d 3533 2d53 492d 3428  IST-800-53-SI-4(
│ │ │ +00092870: 3233 290a 2020 2d20 5043 492d 4453 532d  23).  - PCI-DSS-
│ │ │ +00092880: 5265 712d 3130 2e31 0a20 202d 2050 4349  Req-10.1.  - PCI
│ │ │ +00092890: 2d44 5353 7634 2d31 302e 320a 2020 2d20  -DSSv4-10.2.  - 
│ │ │ +000928a0: 5043 492d 4453 5376 342d 3130 2e32 2e31  PCI-DSSv4-10.2.1
│ │ │ +000928b0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ +000928c0: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +000928d0: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +000928e0: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ +000928f0: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ +00092900: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +00092910: 6465 640a 2020 2d20 7365 7276 6963 655f  ded.  - service_
│ │ │ +00092920: 6175 6469 7464 5f65 6e61 626c 6564 0a3c  auditd_enabled.<
│ │ │ +00092930: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +00092940: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +00092950: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +00092960: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +00092970: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +00092980: 2223 6964 6d32 3438 3439 2220 7461 6269  "#idm24849" tabi
│ │ │ +00092990: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +000929a0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +000929b0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +000929c0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +000929d0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +000929e0: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +000929f0: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +00092a00: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00092a10: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00092a20: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00092a30: 2269 646d 3234 3834 3922 3e3c 7461 626c  "idm24849"><tabl
│ │ │ +00092a40: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +00092a50: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +00092a60: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +00092a70: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +00092a80: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +00092a90: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00092aa0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +00092ab0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +00092ac0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00092ad0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +00092ae0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +00092af0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +00092b00: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00092b10: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ +00092b20: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00092b30: 6465 3e69 6e63 6c75 6465 2065 6e61 626c  de>include enabl
│ │ │ +00092b40: 655f 6175 6469 7464 0a0a 636c 6173 7320  e_auditd..class 
│ │ │ +00092b50: 656e 6162 6c65 5f61 7564 6974 6420 7b0a  enable_auditd {.
│ │ │ +00092b60: 2020 7365 7276 6963 6520 7b27 6175 6469    service {'audi
│ │ │ +00092b70: 7464 273a 0a20 2020 2065 6e61 626c 6520  td':.    enable 
│ │ │ +00092b80: 3d26 6774 3b20 7472 7565 2c0a 2020 2020  =&gt; true,.    
│ │ │ +00092b90: 656e 7375 7265 203d 2667 743b 2027 7275  ensure =&gt; 'ru
│ │ │ +00092ba0: 6e6e 696e 6727 2c0a 2020 7d0a 7d0a 3c2f  nning',.  }.}.</
│ │ │ +00092bb0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00092bc0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00092bd0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00092be0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00092bf0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +00092c00: 2369 646d 3234 3835 3022 2074 6162 696e  #idm24850" tabin
│ │ │ +00092c10: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00092c20: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00092c30: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00092c40: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00092c50: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00092c60: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ +00092c70: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ +00092c80: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00092c90: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00092ca0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00092cb0: 6c61 7073 6522 2069 643d 2269 646d 3234  lapse" id="idm24
│ │ │ +00092cc0: 3835 3022 3e3c 7072 653e 3c63 6f64 653e  850"><pre><code>
│ │ │ +00092cd0: 0a5b 6375 7374 6f6d 697a 6174 696f 6e73  .[customizations
│ │ │ +00092ce0: 2e73 6572 7669 6365 735d 0a65 6e61 626c  .services].enabl
│ │ │ +00092cf0: 6564 203d 205b 2261 7564 6974 6422 5d0a  ed = ["auditd"].
│ │ │  00092d00: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  00092d10: 6976 3e3c 2f64 6976 3e3c 2f74 643e 3c2f  iv></div></td></
│ │ │  00092d20: 7472 3e3c 2f74 626f 6479 3e3c 2f74 6162  tr></tbody></tab
│ │ │  00092d30: 6c65 3e3c 2f74 643e 3c2f 7472 3e3c 2f74  le></td></tr></t
│ │ │  00092d40: 626f 6479 3e3c 2f74 6162 6c65 3e3c 2f64  body></table></d
│ │ │  00092d50: 6976 3e3c 6469 7620 6964 3d22 7265 6172  iv><div id="rear
│ │ │  00092d60: 2d6d 6174 7465 7222 3e3c 6469 7620 636c  -matter"><div cl
│ │ │ ├── html2text {}
│ │ │ │ @@ -2008,31 +2008,14 @@
│ │ │ │              _d_i_s_a           CCI-001311, CCI-001312
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "syslog-ng"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_syslog-ng
│ │ │ │ -
│ │ │ │ -class install_syslog-ng {
│ │ │ │ -  package { 'syslog-ng':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2055,14 +2038,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_syslogng_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_syslog-ng
│ │ │ │ +
│ │ │ │ +class install_syslog-ng {
│ │ │ │ +  package { 'syslog-ng':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "syslog-ng"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -2092,31 +2092,14 @@
│ │ │ │                             4.4.2.2, 4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["syslog-ng"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_syslog-ng
│ │ │ │ -
│ │ │ │ -class enable_syslog-ng {
│ │ │ │ -  service {'syslog-ng':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2152,14 +2135,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_syslogng_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_syslog-ng
│ │ │ │ +
│ │ │ │ +class enable_syslog-ng {
│ │ │ │ +  service {'syslog-ng':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["syslog-ng"]
│ │ │ │  ****** RRuullee? ?  EEnnssuurree rrssyysslloogg iiss IInnssttaalllleedd ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Rsyslog is installed by default. The rsyslog package can be installed with the
│ │ │ │  following command:
│ │ │ │   $ apt-get install rsyslog
│ │ │ │  Rationale:  The rsyslog package provides the rsyslog daemon, which provides
│ │ │ │              system logging services.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -2172,31 +2172,14 @@
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000479-GPOS-00224, SRG-OS-000051-GPOS-00024,
│ │ │ │                             SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2219,14 +2202,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsyslog_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -2257,31 +2257,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2317,14 +2300,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]
│ │ │ │  Group   File Permissions and Masks   Group contains 5 groups and 17 rules
│ │ │ │  _[_r_e_f_]   Traditional Unix security relies heavily on file and directory
│ │ │ │  permissions to prevent unauthorized users from reading or modifying files to
│ │ │ │  which they should not have access.
│ │ │ │  
│ │ │ │  Several of the commands in this section search filesystems for files or
│ │ │ │  directories with certain characteristics, and are intended to be run on every
│ │ │ │ @@ -4128,31 +4128,14 @@
│ │ │ │                             SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3,
│ │ │ │                             A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _p_c_i_d_s_s_4        2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "cron"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_cron
│ │ │ │ -
│ │ │ │ -class install_cron {
│ │ │ │ -  package { 'cron':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4179,14 +4162,31 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_cron_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_cron
│ │ │ │ +
│ │ │ │ +class install_cron {
│ │ │ │ +  package { 'cron':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "cron"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -4224,26 +4224,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_inetutils-telnetd
│ │ │ │ -
│ │ │ │ -class remove_inetutils-telnetd {
│ │ │ │ -  package { 'inetutils-telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure inetutils-telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -4255,14 +4243,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_inetutils-telnetd_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_inetutils-telnetd
│ │ │ │ +
│ │ │ │ +class remove_inetutils-telnetd {
│ │ │ │ +  package { 'inetutils-telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove inetutils-telnetd
│ │ │ │ @@ -4275,26 +4275,14 @@
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The support for Yellowpages should not be installed unless it is required.
│ │ │ │             NIS is the historical SUN service for central account management,
│ │ │ │  Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │             security constraints, ACL, etc. and should not be used.
│ │ │ │  Severity:  low
│ │ │ │  Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_nis
│ │ │ │ -
│ │ │ │ -class remove_nis {
│ │ │ │ -  package { 'nis':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure nis is removed
│ │ │ │    package:
│ │ │ │ @@ -4303,14 +4291,26 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_nis_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_nis
│ │ │ │ +
│ │ │ │ +class remove_nis {
│ │ │ │ +  package { 'nis':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove nis
│ │ │ │ @@ -4324,26 +4324,14 @@
│ │ │ │  ntpdate is a historical ntp synchronization client for unixes. It sould be
│ │ │ │  uninstalled.
│ │ │ │             ntpdate is an old not security-compliant ntp client. It should be
│ │ │ │  Rationale: replaced by modern ntp clients such as ntpd, able to use
│ │ │ │             cryptographic mechanisms integrated in NTP.
│ │ │ │  Severity:  low
│ │ │ │  Rule ID:   xccdf_org.ssgproject.content_rule_package_ntpdate_removed
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ntpdate
│ │ │ │ -
│ │ │ │ -class remove_ntpdate {
│ │ │ │ -  package { 'ntpdate':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ntpdate is removed
│ │ │ │    package:
│ │ │ │ @@ -4352,14 +4340,26 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ntpdate_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ntpdate
│ │ │ │ +
│ │ │ │ +class remove_ntpdate {
│ │ │ │ +  package { 'ntpdate':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove ntpdate
│ │ │ │ @@ -4390,26 +4390,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd-ssl
│ │ │ │ -
│ │ │ │ -class remove_telnetd-ssl {
│ │ │ │ -  package { 'telnetd-ssl':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd-ssl is removed
│ │ │ │    package:
│ │ │ │ @@ -4421,14 +4409,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd-ssl_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd-ssl
│ │ │ │ +
│ │ │ │ +class remove_telnetd-ssl {
│ │ │ │ +  package { 'telnetd-ssl':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnetd-ssl
│ │ │ │ @@ -4460,26 +4460,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd
│ │ │ │ -
│ │ │ │ -class remove_telnetd {
│ │ │ │ -  package { 'telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -4491,14 +4479,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd
│ │ │ │ +
│ │ │ │ +class remove_telnetd {
│ │ │ │ +  package { 'telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnetd
│ │ │ │ @@ -4573,31 +4573,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "ntp"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_ntp
│ │ │ │ -
│ │ │ │ -class install_ntp {
│ │ │ │ -  package { 'ntp':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4622,14 +4605,31 @@
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ntp_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_ntp
│ │ │ │ +
│ │ │ │ +class install_ntp {
│ │ │ │ +  package { 'ntp':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "ntp"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -4663,31 +4663,14 @@
│ │ │ │                             4.4.2.4
│ │ │ │  References: _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-8(1)(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │              _p_c_i_d_s_s_4        10.6.1, 10.6
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["ntp"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_ntp
│ │ │ │ -
│ │ │ │ -class enable_ntp {
│ │ │ │ -  service {'ntp':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4731,14 +4714,31 @@
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ntp_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_ntp
│ │ │ │ +
│ │ │ │ +class enable_ntp {
│ │ │ │ +  service {'ntp':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["ntp"]
│ │ │ │  Group   SSH Server   Group contains 1 group and 5 rules
│ │ │ │  _[_r_e_f_]   The SSH protocol is recommended for remote login and remote file
│ │ │ │  transfer. SSH provides confidentiality and integrity for data exchanged between
│ │ │ │  two systems, as well as server authentication, through the use of public key
│ │ │ │  cryptography. The implementation included with the system is called OpenSSH,
│ │ │ │  and more detailed documentation is available from its website, _h_t_t_p_s_:_/_/
│ │ │ │  _w_w_w_._o_p_e_n_s_s_h_._c_o_m. Its server program is called sshd and provided by the RPM
│ │ │ │ @@ -5621,31 +5621,14 @@
│ │ │ │                       000349-GPOS-00137, SRG-OS-000350-GPOS-00138, SRG-OS-
│ │ │ │                       000351-GPOS-00139, SRG-OS-000352-GPOS-00140, SRG-OS-
│ │ │ │                       000353-GPOS-00141, SRG-OS-000354-GPOS-00142, SRG-OS-
│ │ │ │                       000358-GPOS-00145, SRG-OS-000365-GPOS-00152, SRG-OS-
│ │ │ │                       000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │              _a_n_s_s_i    R33, R73
│ │ │ │              _p_c_i_d_s_s_4  10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "auditd"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_auditd
│ │ │ │ -
│ │ │ │ -class install_auditd {
│ │ │ │ -  package { 'auditd':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -5686,14 +5669,31 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_audit_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_auditd
│ │ │ │ +
│ │ │ │ +class install_auditd {
│ │ │ │ +  package { 'auditd':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "auditd"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -5769,31 +5769,14 @@
│ │ │ │                             SRG-OS-000358-GPOS-00145, SRG-OS-000365-GPOS-00152,
│ │ │ │                             SRG-OS-000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │                             SRG-APP-000095-CTR-000170, SRG-APP-000409-CTR-
│ │ │ │              _a_p_p_-_s_r_g_-_c_t_r    000990, SRG-APP-000508-CTR-001300, SRG-APP-000510-
│ │ │ │                             CTR-001310
│ │ │ │              _a_n_s_s_i          R33, R73
│ │ │ │              _p_c_i_d_s_s_4        10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["auditd"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_auditd
│ │ │ │ -
│ │ │ │ -class enable_auditd {
│ │ │ │ -  service {'auditd':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -5859,11 +5842,28 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_auditd_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_auditd
│ │ │ │ +
│ │ │ │ +class enable_auditd {
│ │ │ │ +  service {'auditd':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["auditd"]
│ │ │ │  Red Hat and Red Hat Enterprise Linux are either registered trademarks or
│ │ │ │  trademarks of Red Hat, Inc. in the United States and other countries. All other
│ │ │ │  names are registered trademarks or trademarks of their respective companies.
│ │ │ │  Generated using _O_p_e_n_S_C_A_P 1.4.1
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian12-guide-anssi_np_nt28_minimal.html
│ │ │ @@ -15652,128 +15652,128 @@
│ │ │  0003d230: 6574 3d22 2369 646d 3130 3730 3122 2074  et="#idm10701" t
│ │ │  0003d240: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  0003d250: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  0003d260: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  0003d270: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  0003d280: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  0003d290: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -0003d2a0: 204f 5342 7569 6c64 2042 6c75 6570 7269   OSBuild Bluepri
│ │ │ -0003d2b0: 6e74 2073 6e69 7070 6574 20e2 87b2 3c2f  nt snippet ...</
│ │ │ -0003d2c0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0003d2d0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0003d2e0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0003d2f0: 646d 3130 3730 3122 3e3c 7072 653e 3c63  dm10701"><pre><c
│ │ │ -0003d300: 6f64 653e 0a5b 5b70 6163 6b61 6765 735d  ode>.[[packages]
│ │ │ -0003d310: 5d0a 6e61 6d65 203d 2022 7379 736c 6f67  ].name = "syslog
│ │ │ -0003d320: 2d6e 6722 0a76 6572 7369 6f6e 203d 2022  -ng".version = "
│ │ │ -0003d330: 2a22 0a3c 2f63 6f64 653e 3c2f 7072 653e  *".</code></pre>
│ │ │ -0003d340: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -0003d350: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -0003d360: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -0003d370: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -0003d380: 6765 743d 2223 6964 6d31 3037 3032 2220  get="#idm10702" 
│ │ │ -0003d390: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -0003d3a0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -0003d3b0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -0003d3c0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -0003d3d0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -0003d3e0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0003d3f0: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -0003d400: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -0003d410: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -0003d420: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -0003d430: 2069 643d 2269 646d 3130 3730 3222 3e3c   id="idm10702"><
│ │ │ -0003d440: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -0003d450: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -0003d460: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -0003d470: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -0003d480: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -0003d490: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -0003d4a0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0003d4b0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -0003d4c0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0003d4d0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -0003d4e0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -0003d4f0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0003d500: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -0003d510: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -0003d520: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -0003d530: 3e3c 636f 6465 3e69 6e63 6c75 6465 2069  ><code>include i
│ │ │ -0003d540: 6e73 7461 6c6c 5f73 7973 6c6f 672d 6e67  nstall_syslog-ng
│ │ │ -0003d550: 0a0a 636c 6173 7320 696e 7374 616c 6c5f  ..class install_
│ │ │ -0003d560: 7379 736c 6f67 2d6e 6720 7b0a 2020 7061  syslog-ng {.  pa
│ │ │ -0003d570: 636b 6167 6520 7b20 2773 7973 6c6f 672d  ckage { 'syslog-
│ │ │ -0003d580: 6e67 273a 0a20 2020 2065 6e73 7572 6520  ng':.    ensure 
│ │ │ -0003d590: 3d26 6774 3b20 2769 6e73 7461 6c6c 6564  =&gt; 'installed
│ │ │ -0003d5a0: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -0003d5b0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -0003d5c0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -0003d5d0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -0003d5e0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -0003d5f0: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ -0003d600: 3037 3033 2220 7461 6269 6e64 6578 3d22  0703" tabindex="
│ │ │ -0003d610: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -0003d620: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -0003d630: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -0003d640: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -0003d650: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -0003d660: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -0003d670: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -0003d680: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -0003d690: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -0003d6a0: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -0003d6b0: 3037 3033 223e 3c74 6162 6c65 2063 6c61  0703"><table cla
│ │ │ -0003d6c0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -0003d6d0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -0003d6e0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -0003d6f0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -0003d700: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -0003d710: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0003d720: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -0003d730: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -0003d740: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0003d750: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -0003d760: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -0003d770: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -0003d780: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -0003d790: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -0003d7a0: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ -0003d7b0: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ -0003d7c0: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ -0003d7d0: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ -0003d7e0: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ -0003d7f0: 6f0a 2020 7461 6773 3a0a 2020 2d20 4e49  o.  tags:.  - NI
│ │ │ -0003d800: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -0003d810: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ -0003d820: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -0003d830: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -0003d840: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -0003d850: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -0003d860: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -0003d870: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -0003d880: 5f73 7973 6c6f 676e 675f 696e 7374 616c  _syslogng_instal
│ │ │ -0003d890: 6c65 640a 0a2d 206e 616d 653a 2045 6e73  led..- name: Ens
│ │ │ -0003d8a0: 7572 6520 7379 736c 6f67 2d6e 6720 6973  ure syslog-ng is
│ │ │ -0003d8b0: 2069 6e73 7461 6c6c 6564 0a20 2070 6163   installed.  pac
│ │ │ -0003d8c0: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -0003d8d0: 7379 736c 6f67 2d6e 670a 2020 2020 7374  syslog-ng.    st
│ │ │ -0003d8e0: 6174 653a 2070 7265 7365 6e74 0a20 2077  ate: present.  w
│ │ │ -0003d8f0: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ -0003d900: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ -0003d910: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -0003d920: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -0003d930: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ -0003d940: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -0003d950: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -0003d960: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -0003d970: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -0003d980: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -0003d990: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -0003d9a0: 0a20 202d 2070 6163 6b61 6765 5f73 7973  .  - package_sys
│ │ │ -0003d9b0: 6c6f 676e 675f 696e 7374 616c 6c65 640a  logng_installed.
│ │ │ +0003d2a0: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +0003d2b0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +0003d2c0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +0003d2d0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +0003d2e0: 2069 643d 2269 646d 3130 3730 3122 3e3c   id="idm10701"><
│ │ │ +0003d2f0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +0003d300: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +0003d310: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +0003d320: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +0003d330: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +0003d340: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +0003d350: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0003d360: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +0003d370: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0003d380: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +0003d390: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +0003d3a0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0003d3b0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +0003d3c0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ +0003d3d0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +0003d3e0: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ +0003d3f0: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ +0003d400: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ +0003d410: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ +0003d420: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ +0003d430: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +0003d440: 3533 2d43 4d2d 3628 6129 0a20 202d 2065  53-CM-6(a).  - e
│ │ │ +0003d450: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ +0003d460: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ +0003d470: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ +0003d480: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ +0003d490: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ +0003d4a0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +0003d4b0: 2d20 7061 636b 6167 655f 7379 736c 6f67  - package_syslog
│ │ │ +0003d4c0: 6e67 5f69 6e73 7461 6c6c 6564 0a0a 2d20  ng_installed..- 
│ │ │ +0003d4d0: 6e61 6d65 3a20 456e 7375 7265 2073 7973  name: Ensure sys
│ │ │ +0003d4e0: 6c6f 672d 6e67 2069 7320 696e 7374 616c  log-ng is instal
│ │ │ +0003d4f0: 6c65 640a 2020 7061 636b 6167 653a 0a20  led.  package:. 
│ │ │ +0003d500: 2020 206e 616d 653a 2073 7973 6c6f 672d     name: syslog-
│ │ │ +0003d510: 6e67 0a20 2020 2073 7461 7465 3a20 7072  ng.    state: pr
│ │ │ +0003d520: 6573 656e 740a 2020 7768 656e 3a20 2722  esent.  when: '"
│ │ │ +0003d530: 6c69 6e75 782d 6261 7365 2220 696e 2061  linux-base" in a
│ │ │ +0003d540: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ +0003d550: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ +0003d560: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +0003d570: 4d2d 3628 6129 0a20 202d 2065 6e61 626c  M-6(a).  - enabl
│ │ │ +0003d580: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +0003d590: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +0003d5a0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +0003d5b0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ +0003d5c0: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ +0003d5d0: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ +0003d5e0: 636b 6167 655f 7379 736c 6f67 6e67 5f69  ckage_syslogng_i
│ │ │ +0003d5f0: 6e73 7461 6c6c 6564 0a3c 2f63 6f64 653e  nstalled.</code>
│ │ │ +0003d600: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +0003d610: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +0003d620: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +0003d630: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +0003d640: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ +0003d650: 3037 3032 2220 7461 6269 6e64 6578 3d22  0702" tabindex="
│ │ │ +0003d660: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +0003d670: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +0003d680: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +0003d690: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +0003d6a0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +0003d6b0: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +0003d6c0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +0003d6d0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +0003d6e0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +0003d6f0: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ +0003d700: 3730 3222 3e3c 7461 626c 6520 636c 6173  702"><table clas
│ │ │ +0003d710: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +0003d720: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +0003d730: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +0003d740: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +0003d750: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +0003d760: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0003d770: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +0003d780: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +0003d790: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0003d7a0: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +0003d7b0: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +0003d7c0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +0003d7d0: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +0003d7e0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0003d7f0: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +0003d800: 6c75 6465 2069 6e73 7461 6c6c 5f73 7973  lude install_sys
│ │ │ +0003d810: 6c6f 672d 6e67 0a0a 636c 6173 7320 696e  log-ng..class in
│ │ │ +0003d820: 7374 616c 6c5f 7379 736c 6f67 2d6e 6720  stall_syslog-ng 
│ │ │ +0003d830: 7b0a 2020 7061 636b 6167 6520 7b20 2773  {.  package { 's
│ │ │ +0003d840: 7973 6c6f 672d 6e67 273a 0a20 2020 2065  yslog-ng':.    e
│ │ │ +0003d850: 6e73 7572 6520 3d26 6774 3b20 2769 6e73  nsure =&gt; 'ins
│ │ │ +0003d860: 7461 6c6c 6564 272c 0a20 207d 0a7d 0a3c  talled',.  }.}.<
│ │ │ +0003d870: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +0003d880: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +0003d890: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +0003d8a0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +0003d8b0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +0003d8c0: 2223 6964 6d31 3037 3033 2220 7461 6269  "#idm10703" tabi
│ │ │ +0003d8d0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +0003d8e0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +0003d8f0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +0003d900: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +0003d910: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +0003d920: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ +0003d930: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ +0003d940: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +0003d950: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +0003d960: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +0003d970: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ +0003d980: 3037 3033 223e 3c70 7265 3e3c 636f 6465  0703"><pre><code
│ │ │ +0003d990: 3e0a 5b5b 7061 636b 6167 6573 5d5d 0a6e  >.[[packages]].n
│ │ │ +0003d9a0: 616d 6520 3d20 2273 7973 6c6f 672d 6e67  ame = "syslog-ng
│ │ │ +0003d9b0: 220a 7665 7273 696f 6e20 3d20 222a 220a  ".version = "*".
│ │ │  0003d9c0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  0003d9d0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │  0003d9e0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │  0003d9f0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │  0003da00: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  0003da10: 3d22 2369 646d 3130 3730 3422 2074 6162  ="#idm10704" tab
│ │ │  0003da20: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ @@ -16040,151 +16040,151 @@
│ │ │  0003ea70: 6172 6765 743d 2223 6964 6d31 3037 3838  arget="#idm10788
│ │ │  0003ea80: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │  0003ea90: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │  0003eaa0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │  0003eab0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │  0003eac0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │  0003ead0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -0003eae0: 696f 6e20 4f53 4275 696c 6420 426c 7565  ion OSBuild Blue
│ │ │ -0003eaf0: 7072 696e 7420 736e 6970 7065 7420 e287  print snippet ..
│ │ │ -0003eb00: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -0003eb10: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -0003eb20: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -0003eb30: 3d22 6964 6d31 3037 3838 223e 3c70 7265  ="idm10788"><pre
│ │ │ -0003eb40: 3e3c 636f 6465 3e0a 5b63 7573 746f 6d69  ><code>.[customi
│ │ │ -0003eb50: 7a61 7469 6f6e 732e 7365 7276 6963 6573  zations.services
│ │ │ -0003eb60: 5d0a 656e 6162 6c65 6420 3d20 5b22 7379  ].enabled = ["sy
│ │ │ -0003eb70: 736c 6f67 2d6e 6722 5d0a 3c2f 636f 6465  slog-ng"].</code
│ │ │ -0003eb80: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -0003eb90: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -0003eba0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -0003ebb0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -0003ebc0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -0003ebd0: 3130 3738 3922 2074 6162 696e 6465 783d  10789" tabindex=
│ │ │ -0003ebe0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -0003ebf0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -0003ec00: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -0003ec10: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -0003ec20: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -0003ec30: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ -0003ec40: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -0003ec50: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -0003ec60: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -0003ec70: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -0003ec80: 3037 3839 223e 3c74 6162 6c65 2063 6c61  0789"><table cla
│ │ │ -0003ec90: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -0003eca0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -0003ecb0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -0003ecc0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -0003ecd0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -0003ece0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0003ecf0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -0003ed00: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -0003ed10: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0003ed20: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -0003ed30: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -0003ed40: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -0003ed50: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -0003ed60: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -0003ed70: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -0003ed80: 636c 7564 6520 656e 6162 6c65 5f73 7973  clude enable_sys
│ │ │ -0003ed90: 6c6f 672d 6e67 0a0a 636c 6173 7320 656e  log-ng..class en
│ │ │ -0003eda0: 6162 6c65 5f73 7973 6c6f 672d 6e67 207b  able_syslog-ng {
│ │ │ -0003edb0: 0a20 2073 6572 7669 6365 207b 2773 7973  .  service {'sys
│ │ │ -0003edc0: 6c6f 672d 6e67 273a 0a20 2020 2065 6e61  log-ng':.    ena
│ │ │ -0003edd0: 626c 6520 3d26 6774 3b20 7472 7565 2c0a  ble =&gt; true,.
│ │ │ -0003ede0: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ -0003edf0: 2027 7275 6e6e 696e 6727 2c0a 2020 7d0a   'running',.  }.
│ │ │ -0003ee00: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │ -0003ee10: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -0003ee20: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -0003ee30: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -0003ee40: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -0003ee50: 6574 3d22 2369 646d 3130 3739 3022 2074  et="#idm10790" t
│ │ │ -0003ee60: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -0003ee70: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -0003ee80: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -0003ee90: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -0003eea0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -0003eeb0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -0003eec0: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ -0003eed0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -0003eee0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -0003eef0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -0003ef00: 2069 643d 2269 646d 3130 3739 3022 3e3c   id="idm10790"><
│ │ │ -0003ef10: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -0003ef20: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -0003ef30: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -0003ef40: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -0003ef50: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -0003ef60: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -0003ef70: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0003ef80: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -0003ef90: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0003efa0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -0003efb0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -0003efc0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0003efd0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -0003efe0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -0003eff0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -0003f000: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ -0003f010: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ -0003f020: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ -0003f030: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ -0003f040: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ -0003f050: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -0003f060: 3533 2d41 552d 3428 3129 0a20 202d 204e  53-AU-4(1).  - N
│ │ │ -0003f070: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -0003f080: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ -0003f090: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -0003f0a0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -0003f0b0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -0003f0c0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -0003f0d0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -0003f0e0: 6565 6465 640a 2020 2d20 7365 7276 6963  eeded.  - servic
│ │ │ -0003f0f0: 655f 7379 736c 6f67 6e67 5f65 6e61 626c  e_syslogng_enabl
│ │ │ -0003f100: 6564 0a0a 2d20 6e61 6d65 3a20 456e 6162  ed..- name: Enab
│ │ │ -0003f110: 6c65 2073 7973 6c6f 672d 6e67 2053 6572  le syslog-ng Ser
│ │ │ -0003f120: 7669 6365 202d 2045 6e61 626c 6520 7365  vice - Enable se
│ │ │ -0003f130: 7276 6963 6520 7379 736c 6f67 2d6e 670a  rvice syslog-ng.
│ │ │ -0003f140: 2020 626c 6f63 6b3a 0a0a 2020 2d20 6e61    block:..  - na
│ │ │ -0003f150: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ -0003f160: 6163 6b61 6765 2066 6163 7473 0a20 2020  ackage facts.   
│ │ │ -0003f170: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ -0003f180: 2020 2020 2020 6d61 6e61 6765 723a 2061        manager: a
│ │ │ -0003f190: 7574 6f0a 0a20 202d 206e 616d 653a 2045  uto..  - name: E
│ │ │ -0003f1a0: 6e61 626c 6520 7379 736c 6f67 2d6e 6720  nable syslog-ng 
│ │ │ -0003f1b0: 5365 7276 6963 6520 2d20 456e 6162 6c65  Service - Enable
│ │ │ -0003f1c0: 2053 6572 7669 6365 2073 7973 6c6f 672d   Service syslog-
│ │ │ -0003f1d0: 6e67 0a20 2020 2061 6e73 6962 6c65 2e62  ng.    ansible.b
│ │ │ -0003f1e0: 7569 6c74 696e 2e73 7973 7465 6d64 3a0a  uiltin.systemd:.
│ │ │ -0003f1f0: 2020 2020 2020 6e61 6d65 3a20 7379 736c        name: sysl
│ │ │ -0003f200: 6f67 2d6e 670a 2020 2020 2020 656e 6162  og-ng.      enab
│ │ │ -0003f210: 6c65 643a 2074 7275 650a 2020 2020 2020  led: true.      
│ │ │ -0003f220: 7374 6174 653a 2073 7461 7274 6564 0a20  state: started. 
│ │ │ -0003f230: 2020 2020 206d 6173 6b65 643a 2066 616c       masked: fal
│ │ │ -0003f240: 7365 0a20 2020 2077 6865 6e3a 0a20 2020  se.    when:.   
│ │ │ -0003f250: 202d 2027 2273 7973 6c6f 672d 6e67 2220   - '"syslog-ng" 
│ │ │ -0003f260: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ -0003f270: 2e70 6163 6b61 6765 7327 0a20 2077 6865  .packages'.  whe
│ │ │ -0003f280: 6e3a 2027 226c 696e 7578 2d62 6173 6522  n: '"linux-base"
│ │ │ -0003f290: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ -0003f2a0: 732e 7061 636b 6167 6573 270a 2020 7461  s.packages'.  ta
│ │ │ -0003f2b0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ -0003f2c0: 2d35 332d 4155 2d34 2831 290a 2020 2d20  -53-AU-4(1).  - 
│ │ │ -0003f2d0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -0003f2e0: 2861 290a 2020 2d20 656e 6162 6c65 5f73  (a).  - enable_s
│ │ │ -0003f2f0: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -0003f300: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -0003f310: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -0003f320: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -0003f330: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -0003f340: 6e65 6564 6564 0a20 202d 2073 6572 7669  needed.  - servi
│ │ │ -0003f350: 6365 5f73 7973 6c6f 676e 675f 656e 6162  ce_syslogng_enab
│ │ │ -0003f360: 6c65 640a 3c2f 636f 6465 3e3c 2f70 7265  led.</code></pre
│ │ │ +0003eae0: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ +0003eaf0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +0003eb00: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +0003eb10: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +0003eb20: 7365 2220 6964 3d22 6964 6d31 3037 3838  se" id="idm10788
│ │ │ +0003eb30: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +0003eb40: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +0003eb50: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +0003eb60: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +0003eb70: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +0003eb80: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +0003eb90: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0003eba0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +0003ebb0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0003ebc0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +0003ebd0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +0003ebe0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +0003ebf0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +0003ec00: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +0003ec10: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +0003ec20: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +0003ec30: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ +0003ec40: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ +0003ec50: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ +0003ec60: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ +0003ec70: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +0003ec80: 3030 2d35 332d 4155 2d34 2831 290a 2020  00-53-AU-4(1).  
│ │ │ +0003ec90: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +0003eca0: 2d36 2861 290a 2020 2d20 656e 6162 6c65  -6(a).  - enable
│ │ │ +0003ecb0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +0003ecc0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +0003ecd0: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +0003ece0: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ +0003ecf0: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ +0003ed00: 745f 6e65 6564 6564 0a20 202d 2073 6572  t_needed.  - ser
│ │ │ +0003ed10: 7669 6365 5f73 7973 6c6f 676e 675f 656e  vice_syslogng_en
│ │ │ +0003ed20: 6162 6c65 640a 0a2d 206e 616d 653a 2045  abled..- name: E
│ │ │ +0003ed30: 6e61 626c 6520 7379 736c 6f67 2d6e 6720  nable syslog-ng 
│ │ │ +0003ed40: 5365 7276 6963 6520 2d20 456e 6162 6c65  Service - Enable
│ │ │ +0003ed50: 2073 6572 7669 6365 2073 7973 6c6f 672d   service syslog-
│ │ │ +0003ed60: 6e67 0a20 2062 6c6f 636b 3a0a 0a20 202d  ng.  block:..  -
│ │ │ +0003ed70: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ +0003ed80: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ +0003ed90: 2020 2020 7061 636b 6167 655f 6661 6374      package_fact
│ │ │ +0003eda0: 733a 0a20 2020 2020 206d 616e 6167 6572  s:.      manager
│ │ │ +0003edb0: 3a20 6175 746f 0a0a 2020 2d20 6e61 6d65  : auto..  - name
│ │ │ +0003edc0: 3a20 456e 6162 6c65 2073 7973 6c6f 672d  : Enable syslog-
│ │ │ +0003edd0: 6e67 2053 6572 7669 6365 202d 2045 6e61  ng Service - Ena
│ │ │ +0003ede0: 626c 6520 5365 7276 6963 6520 7379 736c  ble Service sysl
│ │ │ +0003edf0: 6f67 2d6e 670a 2020 2020 616e 7369 626c  og-ng.    ansibl
│ │ │ +0003ee00: 652e 6275 696c 7469 6e2e 7379 7374 656d  e.builtin.system
│ │ │ +0003ee10: 643a 0a20 2020 2020 206e 616d 653a 2073  d:.      name: s
│ │ │ +0003ee20: 7973 6c6f 672d 6e67 0a20 2020 2020 2065  yslog-ng.      e
│ │ │ +0003ee30: 6e61 626c 6564 3a20 7472 7565 0a20 2020  nabled: true.   
│ │ │ +0003ee40: 2020 2073 7461 7465 3a20 7374 6172 7465     state: starte
│ │ │ +0003ee50: 640a 2020 2020 2020 6d61 736b 6564 3a20  d.      masked: 
│ │ │ +0003ee60: 6661 6c73 650a 2020 2020 7768 656e 3a0a  false.    when:.
│ │ │ +0003ee70: 2020 2020 2d20 2722 7379 736c 6f67 2d6e      - '"syslog-n
│ │ │ +0003ee80: 6722 2069 6e20 616e 7369 626c 655f 6661  g" in ansible_fa
│ │ │ +0003ee90: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ +0003eea0: 7768 656e 3a20 2722 6c69 6e75 782d 6261  when: '"linux-ba
│ │ │ +0003eeb0: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ +0003eec0: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ +0003eed0: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ +0003eee0: 3830 302d 3533 2d41 552d 3428 3129 0a20  800-53-AU-4(1). 
│ │ │ +0003eef0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +0003ef00: 4d2d 3628 6129 0a20 202d 2065 6e61 626c  M-6(a).  - enabl
│ │ │ +0003ef10: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +0003ef20: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +0003ef30: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +0003ef40: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ +0003ef50: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ +0003ef60: 6f74 5f6e 6565 6465 640a 2020 2d20 7365  ot_needed.  - se
│ │ │ +0003ef70: 7276 6963 655f 7379 736c 6f67 6e67 5f65  rvice_syslogng_e
│ │ │ +0003ef80: 6e61 626c 6564 0a3c 2f63 6f64 653e 3c2f  nabled.</code></
│ │ │ +0003ef90: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +0003efa0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +0003efb0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +0003efc0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +0003efd0: 2d74 6172 6765 743d 2223 6964 6d31 3037  -target="#idm107
│ │ │ +0003efe0: 3839 2220 7461 6269 6e64 6578 3d22 3022  89" tabindex="0"
│ │ │ +0003eff0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +0003f000: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +0003f010: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +0003f020: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +0003f030: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +0003f040: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ +0003f050: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +0003f060: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +0003f070: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +0003f080: 7073 6522 2069 643d 2269 646d 3130 3738  pse" id="idm1078
│ │ │ +0003f090: 3922 3e3c 7461 626c 6520 636c 6173 733d  9"><table class=
│ │ │ +0003f0a0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +0003f0b0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +0003f0c0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +0003f0d0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +0003f0e0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +0003f0f0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0003f100: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +0003f110: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0003f120: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +0003f130: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +0003f140: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +0003f150: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +0003f160: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ +0003f170: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +0003f180: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ +0003f190: 6465 2065 6e61 626c 655f 7379 736c 6f67  de enable_syslog
│ │ │ +0003f1a0: 2d6e 670a 0a63 6c61 7373 2065 6e61 626c  -ng..class enabl
│ │ │ +0003f1b0: 655f 7379 736c 6f67 2d6e 6720 7b0a 2020  e_syslog-ng {.  
│ │ │ +0003f1c0: 7365 7276 6963 6520 7b27 7379 736c 6f67  service {'syslog
│ │ │ +0003f1d0: 2d6e 6727 3a0a 2020 2020 656e 6162 6c65  -ng':.    enable
│ │ │ +0003f1e0: 203d 2667 743b 2074 7275 652c 0a20 2020   =&gt; true,.   
│ │ │ +0003f1f0: 2065 6e73 7572 6520 3d26 6774 3b20 2772   ensure =&gt; 'r
│ │ │ +0003f200: 756e 6e69 6e67 272c 0a20 207d 0a7d 0a3c  unning',.  }.}.<
│ │ │ +0003f210: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +0003f220: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +0003f230: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +0003f240: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +0003f250: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +0003f260: 2223 6964 6d31 3037 3930 2220 7461 6269  "#idm10790" tabi
│ │ │ +0003f270: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +0003f280: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +0003f290: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +0003f2a0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +0003f2b0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +0003f2c0: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ +0003f2d0: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ +0003f2e0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +0003f2f0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +0003f300: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +0003f310: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ +0003f320: 3037 3930 223e 3c70 7265 3e3c 636f 6465  0790"><pre><code
│ │ │ +0003f330: 3e0a 5b63 7573 746f 6d69 7a61 7469 6f6e  >.[customization
│ │ │ +0003f340: 732e 7365 7276 6963 6573 5d0a 656e 6162  s.services].enab
│ │ │ +0003f350: 6c65 6420 3d20 5b22 7379 736c 6f67 2d6e  led = ["syslog-n
│ │ │ +0003f360: 6722 5d0a 3c2f 636f 6465 3e3c 2f70 7265  g"].</code></pre
│ │ │  0003f370: 3e3c 2f64 6976 3e3c 2f64 6976 3e3c 2f74  ></div></div></t
│ │ │  0003f380: 643e 3c2f 7472 3e3c 2f74 626f 6479 3e3c  d></tr></tbody><
│ │ │  0003f390: 2f74 6162 6c65 3e3c 2f74 643e 3c2f 7472  /table></td></tr
│ │ │  0003f3a0: 3e3c 7472 2064 6174 612d 7474 2d69 643d  ><tr data-tt-id=
│ │ │  0003f3b0: 2278 6363 6466 5f6f 7267 2e73 7367 7072  "xccdf_org.ssgpr
│ │ │  0003f3c0: 6f6a 6563 742e 636f 6e74 656e 745f 7275  oject.content_ru
│ │ │  0003f3d0: 6c65 5f70 6163 6b61 6765 5f72 7379 736c  le_package_rsysl
│ │ │ @@ -16392,128 +16392,128 @@
│ │ │  00040070: 6765 743d 2223 6964 6d31 3031 3134 2220  get="#idm10114" 
│ │ │  00040080: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  00040090: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  000400a0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  000400b0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  000400c0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  000400d0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -000400e0: 6e20 4f53 4275 696c 6420 426c 7565 7072  n OSBuild Bluepr
│ │ │ -000400f0: 696e 7420 736e 6970 7065 7420 e287 b23c  int snippet ...<
│ │ │ -00040100: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ -00040110: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ -00040120: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ -00040130: 6964 6d31 3031 3134 223e 3c70 7265 3e3c  idm10114"><pre><
│ │ │ -00040140: 636f 6465 3e0a 5b5b 7061 636b 6167 6573  code>.[[packages
│ │ │ -00040150: 5d5d 0a6e 616d 6520 3d20 2272 7379 736c  ]].name = "rsysl
│ │ │ -00040160: 6f67 220a 7665 7273 696f 6e20 3d20 222a  og".version = "*
│ │ │ -00040170: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │ -00040180: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -00040190: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -000401a0: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -000401b0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -000401c0: 6574 3d22 2369 646d 3130 3131 3522 2074  et="#idm10115" t
│ │ │ -000401d0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -000401e0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -000401f0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -00040200: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -00040210: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -00040220: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00040230: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -00040240: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00040250: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00040260: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00040270: 6964 3d22 6964 6d31 3031 3135 223e 3c74  id="idm10115"><t
│ │ │ -00040280: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -00040290: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -000402a0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -000402b0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -000402c0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -000402d0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -000402e0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -000402f0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -00040300: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00040310: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -00040320: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00040330: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00040340: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -00040350: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -00040360: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00040370: 3c63 6f64 653e 696e 636c 7564 6520 696e  <code>include in
│ │ │ -00040380: 7374 616c 6c5f 7273 7973 6c6f 670a 0a63  stall_rsyslog..c
│ │ │ -00040390: 6c61 7373 2069 6e73 7461 6c6c 5f72 7379  lass install_rsy
│ │ │ -000403a0: 736c 6f67 207b 0a20 2070 6163 6b61 6765  slog {.  package
│ │ │ -000403b0: 207b 2027 7273 7973 6c6f 6727 3a0a 2020   { 'rsyslog':.  
│ │ │ -000403c0: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -000403d0: 696e 7374 616c 6c65 6427 2c0a 2020 7d0a  installed',.  }.
│ │ │ -000403e0: 7d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  }.</code></pre><
│ │ │ -000403f0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -00040400: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -00040410: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -00040420: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -00040430: 6574 3d22 2369 646d 3130 3131 3622 2074  et="#idm10116" t
│ │ │ -00040440: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -00040450: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -00040460: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -00040470: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -00040480: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -00040490: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -000404a0: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ -000404b0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -000404c0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -000404d0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -000404e0: 2069 643d 2269 646d 3130 3131 3622 3e3c   id="idm10116"><
│ │ │ -000404f0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00040500: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -00040510: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -00040520: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00040530: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -00040540: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -00040550: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00040560: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -00040570: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00040580: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -00040590: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -000405a0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -000405b0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -000405c0: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -000405d0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -000405e0: 3e3c 636f 6465 3e2d 206e 616d 653a 2047  ><code>- name: G
│ │ │ -000405f0: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ -00040600: 6520 6661 6374 730a 2020 7061 636b 6167  e facts.  packag
│ │ │ -00040610: 655f 6661 6374 733a 0a20 2020 206d 616e  e_facts:.    man
│ │ │ -00040620: 6167 6572 3a20 6175 746f 0a20 2074 6167  ager: auto.  tag
│ │ │ -00040630: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -00040640: 3533 2d43 4d2d 3628 6129 0a20 202d 2065  53-CM-6(a).  - e
│ │ │ -00040650: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -00040660: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -00040670: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -00040680: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -00040690: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -000406a0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -000406b0: 2d20 7061 636b 6167 655f 7273 7973 6c6f  - package_rsyslo
│ │ │ -000406c0: 675f 696e 7374 616c 6c65 640a 0a2d 206e  g_installed..- n
│ │ │ -000406d0: 616d 653a 2045 6e73 7572 6520 7273 7973  ame: Ensure rsys
│ │ │ -000406e0: 6c6f 6720 6973 2069 6e73 7461 6c6c 6564  log is installed
│ │ │ -000406f0: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ -00040700: 6e61 6d65 3a20 7273 7973 6c6f 670a 2020  name: rsyslog.  
│ │ │ -00040710: 2020 7374 6174 653a 2070 7265 7365 6e74    state: present
│ │ │ -00040720: 0a20 2077 6865 6e3a 2027 226c 696e 7578  .  when: '"linux
│ │ │ -00040730: 2d62 6173 6522 2069 6e20 616e 7369 626c  -base" in ansibl
│ │ │ -00040740: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -00040750: 270a 2020 7461 6773 3a0a 2020 2d20 4e49  '.  tags:.  - NI
│ │ │ -00040760: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -00040770: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ -00040780: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ -00040790: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -000407a0: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -000407b0: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ -000407c0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -000407d0: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -000407e0: 5f72 7379 736c 6f67 5f69 6e73 7461 6c6c  _rsyslog_install
│ │ │ -000407f0: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +000400e0: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +000400f0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00040100: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00040110: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00040120: 2220 6964 3d22 6964 6d31 3031 3134 223e  " id="idm10114">
│ │ │ +00040130: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00040140: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00040150: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00040160: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00040170: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00040180: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00040190: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +000401a0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +000401b0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +000401c0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +000401d0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +000401e0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +000401f0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00040200: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +00040210: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00040220: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +00040230: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ +00040240: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ +00040250: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ +00040260: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ +00040270: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +00040280: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +00040290: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +000402a0: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +000402b0: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +000402c0: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +000402d0: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +000402e0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +000402f0: 202d 2070 6163 6b61 6765 5f72 7379 736c   - package_rsysl
│ │ │ +00040300: 6f67 5f69 6e73 7461 6c6c 6564 0a0a 2d20  og_installed..- 
│ │ │ +00040310: 6e61 6d65 3a20 456e 7375 7265 2072 7379  name: Ensure rsy
│ │ │ +00040320: 736c 6f67 2069 7320 696e 7374 616c 6c65  slog is installe
│ │ │ +00040330: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ +00040340: 206e 616d 653a 2072 7379 736c 6f67 0a20   name: rsyslog. 
│ │ │ +00040350: 2020 2073 7461 7465 3a20 7072 6573 656e     state: presen
│ │ │ +00040360: 740a 2020 7768 656e 3a20 2722 6c69 6e75  t.  when: '"linu
│ │ │ +00040370: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ +00040380: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ +00040390: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ +000403a0: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +000403b0: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ +000403c0: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +000403d0: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +000403e0: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +000403f0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +00040400: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +00040410: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +00040420: 655f 7273 7973 6c6f 675f 696e 7374 616c  e_rsyslog_instal
│ │ │ +00040430: 6c65 640a 3c2f 636f 6465 3e3c 2f70 7265  led.</code></pre
│ │ │ +00040440: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +00040450: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +00040460: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +00040470: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +00040480: 7267 6574 3d22 2369 646d 3130 3131 3522  rget="#idm10115"
│ │ │ +00040490: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +000404a0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +000404b0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +000404c0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +000404d0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +000404e0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +000404f0: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +00040500: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00040510: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00040520: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00040530: 2220 6964 3d22 6964 6d31 3031 3135 223e  " id="idm10115">
│ │ │ +00040540: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00040550: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00040560: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00040570: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00040580: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00040590: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +000405a0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +000405b0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +000405c0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +000405d0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +000405e0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +000405f0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00040600: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00040610: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ +00040620: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00040630: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +00040640: 696e 7374 616c 6c5f 7273 7973 6c6f 670a  install_rsyslog.
│ │ │ +00040650: 0a63 6c61 7373 2069 6e73 7461 6c6c 5f72  .class install_r
│ │ │ +00040660: 7379 736c 6f67 207b 0a20 2070 6163 6b61  syslog {.  packa
│ │ │ +00040670: 6765 207b 2027 7273 7973 6c6f 6727 3a0a  ge { 'rsyslog':.
│ │ │ +00040680: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ +00040690: 2027 696e 7374 616c 6c65 6427 2c0a 2020   'installed',.  
│ │ │ +000406a0: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ +000406b0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +000406c0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +000406d0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +000406e0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +000406f0: 7267 6574 3d22 2369 646d 3130 3131 3622  rget="#idm10116"
│ │ │ +00040700: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00040710: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00040720: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00040730: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00040740: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00040750: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +00040760: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ +00040770: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ +00040780: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00040790: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +000407a0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +000407b0: 2269 646d 3130 3131 3622 3e3c 7072 653e  "idm10116"><pre>
│ │ │ +000407c0: 3c63 6f64 653e 0a5b 5b70 6163 6b61 6765  <code>.[[package
│ │ │ +000407d0: 735d 5d0a 6e61 6d65 203d 2022 7273 7973  s]].name = "rsys
│ │ │ +000407e0: 6c6f 6722 0a76 6572 7369 6f6e 203d 2022  log".version = "
│ │ │ +000407f0: 2a22 0a3c 2f63 6f64 653e 3c2f 7072 653e  *".</code></pre>
│ │ │  00040800: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │  00040810: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │  00040820: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │  00040830: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │  00040840: 6765 743d 2223 6964 6d31 3031 3137 2220  get="#idm10117" 
│ │ │  00040850: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  00040860: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ @@ -16793,149 +16793,149 @@
│ │ │  00041980: 2d74 6172 6765 743d 2223 6964 6d31 3032  -target="#idm102
│ │ │  00041990: 3030 2220 7461 6269 6e64 6578 3d22 3022  00" tabindex="0"
│ │ │  000419a0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  000419b0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  000419c0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  000419d0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  000419e0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -000419f0: 6174 696f 6e20 4f53 4275 696c 6420 426c  ation OSBuild Bl
│ │ │ -00041a00: 7565 7072 696e 7420 736e 6970 7065 7420  ueprint snippet 
│ │ │ -00041a10: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00041a20: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00041a30: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00041a40: 6964 3d22 6964 6d31 3032 3030 223e 3c70  id="idm10200"><p
│ │ │ -00041a50: 7265 3e3c 636f 6465 3e0a 5b63 7573 746f  re><code>.[custo
│ │ │ -00041a60: 6d69 7a61 7469 6f6e 732e 7365 7276 6963  mizations.servic
│ │ │ -00041a70: 6573 5d0a 656e 6162 6c65 6420 3d20 5b22  es].enabled = ["
│ │ │ -00041a80: 7273 7973 6c6f 6722 5d0a 3c2f 636f 6465  rsyslog"].</code
│ │ │ -00041a90: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -00041aa0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -00041ab0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -00041ac0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -00041ad0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -00041ae0: 3130 3230 3122 2074 6162 696e 6465 783d  10201" tabindex=
│ │ │ -00041af0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -00041b00: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -00041b10: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00041b20: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00041b30: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00041b40: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ -00041b50: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00041b60: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00041b70: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00041b80: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -00041b90: 3032 3031 223e 3c74 6162 6c65 2063 6c61  0201"><table cla
│ │ │ -00041ba0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00041bb0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00041bc0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00041bd0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00041be0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00041bf0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00041c00: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00041c10: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00041c20: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00041c30: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00041c40: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00041c50: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00041c60: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -00041c70: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00041c80: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -00041c90: 636c 7564 6520 656e 6162 6c65 5f72 7379  clude enable_rsy
│ │ │ -00041ca0: 736c 6f67 0a0a 636c 6173 7320 656e 6162  slog..class enab
│ │ │ -00041cb0: 6c65 5f72 7379 736c 6f67 207b 0a20 2073  le_rsyslog {.  s
│ │ │ -00041cc0: 6572 7669 6365 207b 2772 7379 736c 6f67  ervice {'rsyslog
│ │ │ -00041cd0: 273a 0a20 2020 2065 6e61 626c 6520 3d26  ':.    enable =&
│ │ │ -00041ce0: 6774 3b20 7472 7565 2c0a 2020 2020 656e  gt; true,.    en
│ │ │ -00041cf0: 7375 7265 203d 2667 743b 2027 7275 6e6e  sure =&gt; 'runn
│ │ │ -00041d00: 696e 6727 2c0a 2020 7d0a 7d0a 3c2f 636f  ing',.  }.}.</co
│ │ │ -00041d10: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -00041d20: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -00041d30: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -00041d40: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -00041d50: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00041d60: 646d 3130 3230 3222 2074 6162 696e 6465  dm10202" tabinde
│ │ │ -00041d70: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -00041d80: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -00041d90: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -00041da0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -00041db0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00041dc0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -00041dd0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -00041de0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -00041df0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -00041e00: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -00041e10: 646d 3130 3230 3222 3e3c 7461 626c 6520  dm10202"><table 
│ │ │ -00041e20: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -00041e30: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -00041e40: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -00041e50: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -00041e60: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -00041e70: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00041e80: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -00041e90: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -00041ea0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00041eb0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -00041ec0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -00041ed0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -00041ee0: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -00041ef0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00041f00: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00041f10: 3e2d 206e 616d 653a 2047 6174 6865 7220  >- name: Gather 
│ │ │ -00041f20: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ -00041f30: 730a 2020 7061 636b 6167 655f 6661 6374  s.  package_fact
│ │ │ -00041f40: 733a 0a20 2020 206d 616e 6167 6572 3a20  s:.    manager: 
│ │ │ -00041f50: 6175 746f 0a20 2074 6167 733a 0a20 202d  auto.  tags:.  -
│ │ │ -00041f60: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -00041f70: 3428 3129 0a20 202d 204e 4953 542d 3830  4(1).  - NIST-80
│ │ │ -00041f80: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ -00041f90: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -00041fa0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -00041fb0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -00041fc0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ -00041fd0: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ -00041fe0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -00041ff0: 2020 2d20 7365 7276 6963 655f 7273 7973    - service_rsys
│ │ │ -00042000: 6c6f 675f 656e 6162 6c65 640a 0a2d 206e  log_enabled..- n
│ │ │ -00042010: 616d 653a 2045 6e61 626c 6520 7273 7973  ame: Enable rsys
│ │ │ -00042020: 6c6f 6720 5365 7276 6963 6520 2d20 456e  log Service - En
│ │ │ -00042030: 6162 6c65 2073 6572 7669 6365 2072 7379  able service rsy
│ │ │ -00042040: 736c 6f67 0a20 2062 6c6f 636b 3a0a 0a20  slog.  block:.. 
│ │ │ -00042050: 202d 206e 616d 653a 2047 6174 6865 7220   - name: Gather 
│ │ │ -00042060: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ -00042070: 730a 2020 2020 7061 636b 6167 655f 6661  s.    package_fa
│ │ │ -00042080: 6374 733a 0a20 2020 2020 206d 616e 6167  cts:.      manag
│ │ │ -00042090: 6572 3a20 6175 746f 0a0a 2020 2d20 6e61  er: auto..  - na
│ │ │ -000420a0: 6d65 3a20 456e 6162 6c65 2072 7379 736c  me: Enable rsysl
│ │ │ -000420b0: 6f67 2053 6572 7669 6365 202d 2045 6e61  og Service - Ena
│ │ │ -000420c0: 626c 6520 5365 7276 6963 6520 7273 7973  ble Service rsys
│ │ │ -000420d0: 6c6f 670a 2020 2020 616e 7369 626c 652e  log.    ansible.
│ │ │ -000420e0: 6275 696c 7469 6e2e 7379 7374 656d 643a  builtin.systemd:
│ │ │ -000420f0: 0a20 2020 2020 206e 616d 653a 2072 7379  .      name: rsy
│ │ │ -00042100: 736c 6f67 0a20 2020 2020 2065 6e61 626c  slog.      enabl
│ │ │ -00042110: 6564 3a20 7472 7565 0a20 2020 2020 2073  ed: true.      s
│ │ │ -00042120: 7461 7465 3a20 7374 6172 7465 640a 2020  tate: started.  
│ │ │ -00042130: 2020 2020 6d61 736b 6564 3a20 6661 6c73      masked: fals
│ │ │ -00042140: 650a 2020 2020 7768 656e 3a0a 2020 2020  e.    when:.    
│ │ │ -00042150: 2d20 2722 7273 7973 6c6f 6722 2069 6e20  - '"rsyslog" in 
│ │ │ -00042160: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ -00042170: 636b 6167 6573 270a 2020 7768 656e 3a20  ckages'.  when: 
│ │ │ -00042180: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ -00042190: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -000421a0: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ -000421b0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -000421c0: 2d41 552d 3428 3129 0a20 202d 204e 4953  -AU-4(1).  - NIS
│ │ │ -000421d0: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -000421e0: 0a20 202d 2065 6e61 626c 655f 7374 7261  .  - enable_stra
│ │ │ -000421f0: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -00042200: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -00042210: 6469 7372 7570 7469 6f6e 0a20 202d 206d  disruption.  - m
│ │ │ -00042220: 6564 6975 6d5f 7365 7665 7269 7479 0a20  edium_severity. 
│ │ │ -00042230: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -00042240: 6465 640a 2020 2d20 7365 7276 6963 655f  ded.  - service_
│ │ │ -00042250: 7273 7973 6c6f 675f 656e 6162 6c65 640a  rsyslog_enabled.
│ │ │ +000419f0: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +00041a00: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00041a10: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00041a20: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00041a30: 6170 7365 2220 6964 3d22 6964 6d31 3032  apse" id="idm102
│ │ │ +00041a40: 3030 223e 3c74 6162 6c65 2063 6c61 7373  00"><table class
│ │ │ +00041a50: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00041a60: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00041a70: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +00041a80: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00041a90: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00041aa0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00041ab0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00041ac0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00041ad0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00041ae0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00041af0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00041b00: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00041b10: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +00041b20: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00041b30: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +00041b40: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ +00041b50: 6163 6b61 6765 2066 6163 7473 0a20 2070  ackage facts.  p
│ │ │ +00041b60: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ +00041b70: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ +00041b80: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +00041b90: 2d38 3030 2d35 332d 4155 2d34 2831 290a  -800-53-AU-4(1).
│ │ │ +00041ba0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00041bb0: 434d 2d36 2861 290a 2020 2d20 656e 6162  CM-6(a).  - enab
│ │ │ +00041bc0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +00041bd0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +00041be0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +00041bf0: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +00041c00: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +00041c10: 6f6f 745f 6e65 6564 6564 0a20 202d 2073  oot_needed.  - s
│ │ │ +00041c20: 6572 7669 6365 5f72 7379 736c 6f67 5f65  ervice_rsyslog_e
│ │ │ +00041c30: 6e61 626c 6564 0a0a 2d20 6e61 6d65 3a20  nabled..- name: 
│ │ │ +00041c40: 456e 6162 6c65 2072 7379 736c 6f67 2053  Enable rsyslog S
│ │ │ +00041c50: 6572 7669 6365 202d 2045 6e61 626c 6520  ervice - Enable 
│ │ │ +00041c60: 7365 7276 6963 6520 7273 7973 6c6f 670a  service rsyslog.
│ │ │ +00041c70: 2020 626c 6f63 6b3a 0a0a 2020 2d20 6e61    block:..  - na
│ │ │ +00041c80: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ +00041c90: 6163 6b61 6765 2066 6163 7473 0a20 2020  ackage facts.   
│ │ │ +00041ca0: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ +00041cb0: 2020 2020 2020 6d61 6e61 6765 723a 2061        manager: a
│ │ │ +00041cc0: 7574 6f0a 0a20 202d 206e 616d 653a 2045  uto..  - name: E
│ │ │ +00041cd0: 6e61 626c 6520 7273 7973 6c6f 6720 5365  nable rsyslog Se
│ │ │ +00041ce0: 7276 6963 6520 2d20 456e 6162 6c65 2053  rvice - Enable S
│ │ │ +00041cf0: 6572 7669 6365 2072 7379 736c 6f67 0a20  ervice rsyslog. 
│ │ │ +00041d00: 2020 2061 6e73 6962 6c65 2e62 7569 6c74     ansible.built
│ │ │ +00041d10: 696e 2e73 7973 7465 6d64 3a0a 2020 2020  in.systemd:.    
│ │ │ +00041d20: 2020 6e61 6d65 3a20 7273 7973 6c6f 670a    name: rsyslog.
│ │ │ +00041d30: 2020 2020 2020 656e 6162 6c65 643a 2074        enabled: t
│ │ │ +00041d40: 7275 650a 2020 2020 2020 7374 6174 653a  rue.      state:
│ │ │ +00041d50: 2073 7461 7274 6564 0a20 2020 2020 206d   started.      m
│ │ │ +00041d60: 6173 6b65 643a 2066 616c 7365 0a20 2020  asked: false.   
│ │ │ +00041d70: 2077 6865 6e3a 0a20 2020 202d 2027 2272   when:.    - '"r
│ │ │ +00041d80: 7379 736c 6f67 2220 696e 2061 6e73 6962  syslog" in ansib
│ │ │ +00041d90: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ +00041da0: 7327 0a20 2077 6865 6e3a 2027 226c 696e  s'.  when: '"lin
│ │ │ +00041db0: 7578 2d62 6173 6522 2069 6e20 616e 7369  ux-base" in ansi
│ │ │ +00041dc0: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ +00041dd0: 6573 270a 2020 7461 6773 3a0a 2020 2d20  es'.  tags:.  - 
│ │ │ +00041de0: 4e49 5354 2d38 3030 2d35 332d 4155 2d34  NIST-800-53-AU-4
│ │ │ +00041df0: 2831 290a 2020 2d20 4e49 5354 2d38 3030  (1).  - NIST-800
│ │ │ +00041e00: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +00041e10: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ +00041e20: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ +00041e30: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ +00041e40: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ +00041e50: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ +00041e60: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +00041e70: 202d 2073 6572 7669 6365 5f72 7379 736c   - service_rsysl
│ │ │ +00041e80: 6f67 5f65 6e61 626c 6564 0a3c 2f63 6f64  og_enabled.</cod
│ │ │ +00041e90: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00041ea0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00041eb0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00041ec0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00041ed0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00041ee0: 6d31 3032 3031 2220 7461 6269 6e64 6578  m10201" tabindex
│ │ │ +00041ef0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +00041f00: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +00041f10: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00041f20: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +00041f30: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00041f40: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ +00041f50: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +00041f60: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +00041f70: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00041f80: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00041f90: 3130 3230 3122 3e3c 7461 626c 6520 636c  10201"><table cl
│ │ │ +00041fa0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +00041fb0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +00041fc0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +00041fd0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +00041fe0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +00041ff0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00042000: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +00042010: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +00042020: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00042030: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +00042040: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +00042050: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +00042060: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ +00042070: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +00042080: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ +00042090: 6e63 6c75 6465 2065 6e61 626c 655f 7273  nclude enable_rs
│ │ │ +000420a0: 7973 6c6f 670a 0a63 6c61 7373 2065 6e61  yslog..class ena
│ │ │ +000420b0: 626c 655f 7273 7973 6c6f 6720 7b0a 2020  ble_rsyslog {.  
│ │ │ +000420c0: 7365 7276 6963 6520 7b27 7273 7973 6c6f  service {'rsyslo
│ │ │ +000420d0: 6727 3a0a 2020 2020 656e 6162 6c65 203d  g':.    enable =
│ │ │ +000420e0: 2667 743b 2074 7275 652c 0a20 2020 2065  &gt; true,.    e
│ │ │ +000420f0: 6e73 7572 6520 3d26 6774 3b20 2772 756e  nsure =&gt; 'run
│ │ │ +00042100: 6e69 6e67 272c 0a20 207d 0a7d 0a3c 2f63  ning',.  }.}.</c
│ │ │ +00042110: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +00042120: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +00042130: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +00042140: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +00042150: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +00042160: 6964 6d31 3032 3032 2220 7461 6269 6e64  idm10202" tabind
│ │ │ +00042170: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +00042180: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +00042190: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +000421a0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +000421b0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +000421c0: 5265 6d65 6469 6174 696f 6e20 4f53 4275  Remediation OSBu
│ │ │ +000421d0: 696c 6420 426c 7565 7072 696e 7420 736e  ild Blueprint sn
│ │ │ +000421e0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +000421f0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00042200: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00042210: 6170 7365 2220 6964 3d22 6964 6d31 3032  apse" id="idm102
│ │ │ +00042220: 3032 223e 3c70 7265 3e3c 636f 6465 3e0a  02"><pre><code>.
│ │ │ +00042230: 5b63 7573 746f 6d69 7a61 7469 6f6e 732e  [customizations.
│ │ │ +00042240: 7365 7276 6963 6573 5d0a 656e 6162 6c65  services].enable
│ │ │ +00042250: 6420 3d20 5b22 7273 7973 6c6f 6722 5d0a  d = ["rsyslog"].
│ │ │  00042260: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  00042270: 6976 3e3c 2f64 6976 3e3c 2f74 643e 3c2f  iv></div></td></
│ │ │  00042280: 7472 3e3c 2f74 626f 6479 3e3c 2f74 6162  tr></tbody></tab
│ │ │  00042290: 6c65 3e3c 2f74 643e 3c2f 7472 3e3c 7472  le></td></tr><tr
│ │ │  000422a0: 2064 6174 612d 7474 2d69 643d 2263 6869   data-tt-id="chi
│ │ │  000422b0: 6c64 7265 6e2d 7863 6364 665f 6f72 672e  ldren-xccdf_org.
│ │ │  000422c0: 7373 6770 726f 6a65 6374 2e63 6f6e 7465  ssgproject.conte
│ │ │ @@ -22151,95 +22151,95 @@
│ │ │  00056860: 743d 2223 6964 6d31 3936 3337 2220 7461  t="#idm19637" ta
│ │ │  00056870: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  00056880: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │  00056890: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │  000568a0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │  000568b0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │  000568c0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -000568d0: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ -000568e0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -000568f0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00056900: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00056910: 643d 2269 646d 3139 3633 3722 3e3c 7461  d="idm19637"><ta
│ │ │ -00056920: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00056930: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00056940: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00056950: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00056960: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -00056970: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -00056980: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00056990: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -000569a0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -000569b0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -000569c0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -000569d0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -000569e0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -000569f0: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -00056a00: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00056a10: 3c63 6f64 653e 696e 636c 7564 6520 7265  <code>include re
│ │ │ -00056a20: 6d6f 7665 5f69 6e65 7475 7469 6c73 2d74  move_inetutils-t
│ │ │ -00056a30: 656c 6e65 7464 0a0a 636c 6173 7320 7265  elnetd..class re
│ │ │ -00056a40: 6d6f 7665 5f69 6e65 7475 7469 6c73 2d74  move_inetutils-t
│ │ │ -00056a50: 656c 6e65 7464 207b 0a20 2070 6163 6b61  elnetd {.  packa
│ │ │ -00056a60: 6765 207b 2027 696e 6574 7574 696c 732d  ge { 'inetutils-
│ │ │ -00056a70: 7465 6c6e 6574 6427 3a0a 2020 2020 656e  telnetd':.    en
│ │ │ -00056a80: 7375 7265 203d 2667 743b 2027 7075 7267  sure =&gt; 'purg
│ │ │ -00056a90: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ -00056aa0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -00056ab0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -00056ac0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -00056ad0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -00056ae0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -00056af0: 6d31 3936 3338 2220 7461 6269 6e64 6578  m19638" tabindex
│ │ │ -00056b00: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00056b10: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00056b20: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00056b30: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00056b40: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00056b50: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -00056b60: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -00056b70: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00056b80: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00056b90: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00056ba0: 6d31 3936 3338 223e 3c74 6162 6c65 2063  m19638"><table c
│ │ │ -00056bb0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00056bc0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00056bd0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00056be0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00056bf0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00056c00: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00056c10: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00056c20: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00056c30: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00056c40: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00056c50: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00056c60: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00056c70: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -00056c80: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00056c90: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00056ca0: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ -00056cb0: 696e 6574 7574 696c 732d 7465 6c6e 6574  inetutils-telnet
│ │ │ -00056cc0: 6420 6973 2072 656d 6f76 6564 0a20 2070  d is removed.  p
│ │ │ -00056cd0: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -00056ce0: 3a20 696e 6574 7574 696c 732d 7465 6c6e  : inetutils-teln
│ │ │ -00056cf0: 6574 640a 2020 2020 7374 6174 653a 2061  etd.    state: a
│ │ │ -00056d00: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ -00056d10: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00056d20: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ -00056d30: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ -00056d40: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00056d50: 2d37 2862 290a 2020 2d20 6469 7361 626c  -7(b).  - disabl
│ │ │ -00056d60: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ -00056d70: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ -00056d80: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00056d90: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00056da0: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ -00056db0: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -00056dc0: 6167 655f 696e 6574 7574 696c 732d 7465  age_inetutils-te
│ │ │ -00056dd0: 6c6e 6574 645f 7265 6d6f 7665 640a 3c2f  lnetd_removed.</
│ │ │ +000568d0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ +000568e0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +000568f0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +00056900: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +00056910: 6964 3d22 6964 6d31 3936 3337 223e 3c74  id="idm19637"><t
│ │ │ +00056920: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +00056930: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +00056940: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +00056950: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +00056960: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +00056970: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +00056980: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00056990: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +000569a0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +000569b0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +000569c0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +000569d0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +000569e0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +000569f0: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +00056a00: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +00056a10: 3e3c 636f 6465 3e2d 206e 616d 653a 2045  ><code>- name: E
│ │ │ +00056a20: 6e73 7572 6520 696e 6574 7574 696c 732d  nsure inetutils-
│ │ │ +00056a30: 7465 6c6e 6574 6420 6973 2072 656d 6f76  telnetd is remov
│ │ │ +00056a40: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +00056a50: 2020 6e61 6d65 3a20 696e 6574 7574 696c    name: inetutil
│ │ │ +00056a60: 732d 7465 6c6e 6574 640a 2020 2020 7374  s-telnetd.    st
│ │ │ +00056a70: 6174 653a 2061 6273 656e 740a 2020 7461  ate: absent.  ta
│ │ │ +00056a80: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +00056a90: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +00056aa0: 4e49 5354 2d38 3030 2d35 332d 434d 2d37  NIST-800-53-CM-7
│ │ │ +00056ab0: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ +00056ac0: 2d35 332d 434d 2d37 2862 290a 2020 2d20  -53-CM-7(b).  - 
│ │ │ +00056ad0: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ +00056ae0: 0a20 202d 2068 6967 685f 7365 7665 7269  .  - high_severi
│ │ │ +00056af0: 7479 0a20 202d 206c 6f77 5f63 6f6d 706c  ty.  - low_compl
│ │ │ +00056b00: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +00056b10: 7372 7570 7469 6f6e 0a20 202d 206e 6f5f  sruption.  - no_
│ │ │ +00056b20: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +00056b30: 2d20 7061 636b 6167 655f 696e 6574 7574  - package_inetut
│ │ │ +00056b40: 696c 732d 7465 6c6e 6574 645f 7265 6d6f  ils-telnetd_remo
│ │ │ +00056b50: 7665 640a 3c2f 636f 6465 3e3c 2f70 7265  ved.</code></pre
│ │ │ +00056b60: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +00056b70: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +00056b80: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +00056b90: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +00056ba0: 7267 6574 3d22 2369 646d 3139 3633 3822  rget="#idm19638"
│ │ │ +00056bb0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00056bc0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00056bd0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00056be0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00056bf0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00056c00: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +00056c10: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +00056c20: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00056c30: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00056c40: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00056c50: 2220 6964 3d22 6964 6d31 3936 3338 223e  " id="idm19638">
│ │ │ +00056c60: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00056c70: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00056c80: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00056c90: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00056ca0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00056cb0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00056cc0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00056cd0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00056ce0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00056cf0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00056d00: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00056d10: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00056d20: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00056d30: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +00056d40: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00056d50: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +00056d60: 2072 656d 6f76 655f 696e 6574 7574 696c   remove_inetutil
│ │ │ +00056d70: 732d 7465 6c6e 6574 640a 0a63 6c61 7373  s-telnetd..class
│ │ │ +00056d80: 2072 656d 6f76 655f 696e 6574 7574 696c   remove_inetutil
│ │ │ +00056d90: 732d 7465 6c6e 6574 6420 7b0a 2020 7061  s-telnetd {.  pa
│ │ │ +00056da0: 636b 6167 6520 7b20 2769 6e65 7475 7469  ckage { 'inetuti
│ │ │ +00056db0: 6c73 2d74 656c 6e65 7464 273a 0a20 2020  ls-telnetd':.   
│ │ │ +00056dc0: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ +00056dd0: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │  00056de0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │  00056df0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │  00056e00: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │  00056e10: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │  00056e20: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  00056e30: 2369 646d 3139 3633 3922 2074 6162 696e  #idm19639" tabin
│ │ │  00056e40: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ @@ -22385,86 +22385,86 @@
│ │ │  00057700: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  00057710: 3d22 2369 646d 3139 3634 3622 2074 6162  ="#idm19646" tab
│ │ │  00057720: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │  00057730: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │  00057740: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │  00057750: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │  00057760: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -00057770: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -00057780: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -00057790: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -000577a0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -000577b0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -000577c0: 3d22 6964 6d31 3936 3436 223e 3c74 6162  ="idm19646"><tab
│ │ │ -000577d0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -000577e0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -000577f0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00057800: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00057810: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00057820: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00057830: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00057840: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -00057850: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00057860: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -00057870: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -00057880: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -00057890: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -000578a0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -000578b0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -000578c0: 636f 6465 3e69 6e63 6c75 6465 2072 656d  code>include rem
│ │ │ -000578d0: 6f76 655f 6e69 730a 0a63 6c61 7373 2072  ove_nis..class r
│ │ │ -000578e0: 656d 6f76 655f 6e69 7320 7b0a 2020 7061  emove_nis {.  pa
│ │ │ -000578f0: 636b 6167 6520 7b20 276e 6973 273a 0a20  ckage { 'nis':. 
│ │ │ -00057900: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -00057910: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │ -00057920: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00057930: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00057940: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00057950: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00057960: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00057970: 3d22 2369 646d 3139 3634 3722 2074 6162  ="#idm19647" tab
│ │ │ -00057980: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -00057990: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -000579a0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -000579b0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -000579c0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -000579d0: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ -000579e0: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ -000579f0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -00057a00: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -00057a10: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -00057a20: 643d 2269 646d 3139 3634 3722 3e3c 7461  d="idm19647"><ta
│ │ │ -00057a30: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -00057a40: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -00057a50: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -00057a60: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -00057a70: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -00057a80: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -00057a90: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00057aa0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -00057ab0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00057ac0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -00057ad0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -00057ae0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00057af0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -00057b00: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ -00057b10: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -00057b20: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ -00057b30: 7375 7265 206e 6973 2069 7320 7265 6d6f  sure nis is remo
│ │ │ -00057b40: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ -00057b50: 2020 206e 616d 653a 206e 6973 0a20 2020     name: nis.   
│ │ │ -00057b60: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ -00057b70: 2074 6167 733a 0a20 202d 2064 6973 6162   tags:.  - disab
│ │ │ -00057b80: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00057b90: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -00057ba0: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -00057bb0: 6e0a 2020 2d20 6c6f 775f 7365 7665 7269  n.  - low_severi
│ │ │ -00057bc0: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -00057bd0: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -00057be0: 6167 655f 6e69 735f 7265 6d6f 7665 640a  age_nis_removed.
│ │ │ +00057770: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ +00057780: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ +00057790: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +000577a0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +000577b0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +000577c0: 643d 2269 646d 3139 3634 3622 3e3c 7461  d="idm19646"><ta
│ │ │ +000577d0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +000577e0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +000577f0: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +00057800: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00057810: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +00057820: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +00057830: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00057840: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +00057850: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00057860: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +00057870: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +00057880: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00057890: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +000578a0: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +000578b0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +000578c0: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ +000578d0: 7375 7265 206e 6973 2069 7320 7265 6d6f  sure nis is remo
│ │ │ +000578e0: 7665 640a 2020 7061 636b 6167 653a 0a20  ved.  package:. 
│ │ │ +000578f0: 2020 206e 616d 653a 206e 6973 0a20 2020     name: nis.   
│ │ │ +00057900: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ +00057910: 2074 6167 733a 0a20 202d 2064 6973 6162   tags:.  - disab
│ │ │ +00057920: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +00057930: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +00057940: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +00057950: 6e0a 2020 2d20 6c6f 775f 7365 7665 7269  n.  - low_severi
│ │ │ +00057960: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +00057970: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +00057980: 6167 655f 6e69 735f 7265 6d6f 7665 640a  age_nis_removed.
│ │ │ +00057990: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +000579a0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +000579b0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +000579c0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +000579d0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +000579e0: 3d22 2369 646d 3139 3634 3722 2074 6162  ="#idm19647" tab
│ │ │ +000579f0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +00057a00: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +00057a10: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +00057a20: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +00057a30: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +00057a40: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ +00057a50: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ +00057a60: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00057a70: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00057a80: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00057a90: 3d22 6964 6d31 3936 3437 223e 3c74 6162  ="idm19647"><tab
│ │ │ +00057aa0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00057ab0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00057ac0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00057ad0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00057ae0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00057af0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00057b00: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +00057b10: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +00057b20: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00057b30: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +00057b40: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +00057b50: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +00057b60: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +00057b70: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ +00057b80: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +00057b90: 636f 6465 3e69 6e63 6c75 6465 2072 656d  code>include rem
│ │ │ +00057ba0: 6f76 655f 6e69 730a 0a63 6c61 7373 2072  ove_nis..class r
│ │ │ +00057bb0: 656d 6f76 655f 6e69 7320 7b0a 2020 7061  emove_nis {.  pa
│ │ │ +00057bc0: 636b 6167 6520 7b20 276e 6973 273a 0a20  ckage { 'nis':. 
│ │ │ +00057bd0: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ +00057be0: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │  00057bf0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  00057c00: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │  00057c10: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │  00057c20: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │  00057c30: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  00057c40: 3d22 2369 646d 3139 3634 3822 2074 6162  ="#idm19648" tab
│ │ │  00057c50: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ @@ -22725,93 +22725,93 @@
│ │ │  00058c40: 2d74 6172 6765 743d 2223 6964 6d31 3937  -target="#idm197
│ │ │  00058c50: 3536 2220 7461 6269 6e64 6578 3d22 3022  56" tabindex="0"
│ │ │  00058c60: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  00058c70: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  00058c80: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  00058c90: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  00058ca0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00058cb0: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -00058cc0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00058cd0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00058ce0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00058cf0: 7073 6522 2069 643d 2269 646d 3139 3735  pse" id="idm1975
│ │ │ -00058d00: 3622 3e3c 7461 626c 6520 636c 6173 733d  6"><table class=
│ │ │ -00058d10: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -00058d20: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -00058d30: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -00058d40: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -00058d50: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -00058d60: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00058d70: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -00058d80: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00058d90: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00058da0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00058db0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00058dc0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00058dd0: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -00058de0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -00058df0: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ -00058e00: 7564 6520 7265 6d6f 7665 5f74 656c 6e65  ude remove_telne
│ │ │ -00058e10: 7464 2d73 736c 0a0a 636c 6173 7320 7265  td-ssl..class re
│ │ │ -00058e20: 6d6f 7665 5f74 656c 6e65 7464 2d73 736c  move_telnetd-ssl
│ │ │ -00058e30: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ -00058e40: 7465 6c6e 6574 642d 7373 6c27 3a0a 2020  telnetd-ssl':.  
│ │ │ -00058e50: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -00058e60: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │ -00058e70: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -00058e80: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -00058e90: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -00058ea0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -00058eb0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -00058ec0: 2223 6964 6d31 3937 3537 2220 7461 6269  "#idm19757" tabi
│ │ │ -00058ed0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -00058ee0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -00058ef0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -00058f00: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -00058f10: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00058f20: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -00058f30: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -00058f40: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00058f50: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00058f60: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00058f70: 3d22 6964 6d31 3937 3537 223e 3c74 6162  ="idm19757"><tab
│ │ │ -00058f80: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00058f90: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00058fa0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00058fb0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00058fc0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00058fd0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00058fe0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00058ff0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -00059000: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00059010: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -00059020: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -00059030: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -00059040: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00059050: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -00059060: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -00059070: 636f 6465 3e2d 206e 616d 653a 2045 6e73  code>- name: Ens
│ │ │ -00059080: 7572 6520 7465 6c6e 6574 642d 7373 6c20  ure telnetd-ssl 
│ │ │ -00059090: 6973 2072 656d 6f76 6564 0a20 2070 6163  is removed.  pac
│ │ │ -000590a0: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -000590b0: 7465 6c6e 6574 642d 7373 6c0a 2020 2020  telnetd-ssl.    
│ │ │ -000590c0: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ -000590d0: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -000590e0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ -000590f0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00059100: 2d37 2861 290a 2020 2d20 4e49 5354 2d38  -7(a).  - NIST-8
│ │ │ -00059110: 3030 2d35 332d 434d 2d37 2862 290a 2020  00-53-CM-7(b).  
│ │ │ -00059120: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ -00059130: 6779 0a20 202d 2068 6967 685f 7365 7665  gy.  - high_seve
│ │ │ -00059140: 7269 7479 0a20 202d 206c 6f77 5f63 6f6d  rity.  - low_com
│ │ │ -00059150: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -00059160: 6469 7372 7570 7469 6f6e 0a20 202d 206e  disruption.  - n
│ │ │ -00059170: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -00059180: 2020 2d20 7061 636b 6167 655f 7465 6c6e    - package_teln
│ │ │ -00059190: 6574 642d 7373 6c5f 7265 6d6f 7665 640a  etd-ssl_removed.
│ │ │ +00058cb0: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +00058cc0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00058cd0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00058ce0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00058cf0: 6170 7365 2220 6964 3d22 6964 6d31 3937  apse" id="idm197
│ │ │ +00058d00: 3536 223e 3c74 6162 6c65 2063 6c61 7373  56"><table class
│ │ │ +00058d10: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00058d20: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00058d30: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +00058d40: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00058d50: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00058d60: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00058d70: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00058d80: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00058d90: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00058da0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00058db0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00058dc0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00058dd0: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +00058de0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00058df0: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +00058e00: 616d 653a 2045 6e73 7572 6520 7465 6c6e  ame: Ensure teln
│ │ │ +00058e10: 6574 642d 7373 6c20 6973 2072 656d 6f76  etd-ssl is remov
│ │ │ +00058e20: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +00058e30: 2020 6e61 6d65 3a20 7465 6c6e 6574 642d    name: telnetd-
│ │ │ +00058e40: 7373 6c0a 2020 2020 7374 6174 653a 2061  ssl.    state: a
│ │ │ +00058e50: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ +00058e60: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +00058e70: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ +00058e80: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ +00058e90: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +00058ea0: 2d37 2862 290a 2020 2d20 6469 7361 626c  -7(b).  - disabl
│ │ │ +00058eb0: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ +00058ec0: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ +00058ed0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +00058ee0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +00058ef0: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ +00058f00: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +00058f10: 6167 655f 7465 6c6e 6574 642d 7373 6c5f  age_telnetd-ssl_
│ │ │ +00058f20: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ +00058f30: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +00058f40: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +00058f50: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +00058f60: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +00058f70: 612d 7461 7267 6574 3d22 2369 646d 3139  a-target="#idm19
│ │ │ +00058f80: 3735 3722 2074 6162 696e 6465 783d 2230  757" tabindex="0
│ │ │ +00058f90: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +00058fa0: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +00058fb0: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +00058fc0: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +00058fd0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +00058fe0: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +00058ff0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00059000: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00059010: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00059020: 6170 7365 2220 6964 3d22 6964 6d31 3937  apse" id="idm197
│ │ │ +00059030: 3537 223e 3c74 6162 6c65 2063 6c61 7373  57"><table class
│ │ │ +00059040: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00059050: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00059060: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +00059070: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00059080: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00059090: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +000590a0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +000590b0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +000590c0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +000590d0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +000590e0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +000590f0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00059100: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +00059110: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00059120: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +00059130: 6c75 6465 2072 656d 6f76 655f 7465 6c6e  lude remove_teln
│ │ │ +00059140: 6574 642d 7373 6c0a 0a63 6c61 7373 2072  etd-ssl..class r
│ │ │ +00059150: 656d 6f76 655f 7465 6c6e 6574 642d 7373  emove_telnetd-ss
│ │ │ +00059160: 6c20 7b0a 2020 7061 636b 6167 6520 7b20  l {.  package { 
│ │ │ +00059170: 2774 656c 6e65 7464 2d73 736c 273a 0a20  'telnetd-ssl':. 
│ │ │ +00059180: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ +00059190: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │  000591a0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  000591b0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │  000591c0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │  000591d0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │  000591e0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  000591f0: 3d22 2369 646d 3139 3735 3822 2074 6162  ="#idm19758" tab
│ │ │  00059200: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ @@ -23073,92 +23073,92 @@
│ │ │  0005a200: 2d74 6172 6765 743d 2223 6964 6d31 3938  -target="#idm198
│ │ │  0005a210: 3536 2220 7461 6269 6e64 6578 3d22 3022  56" tabindex="0"
│ │ │  0005a220: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  0005a230: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  0005a240: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  0005a250: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  0005a260: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -0005a270: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ -0005a280: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -0005a290: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -0005a2a0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -0005a2b0: 7073 6522 2069 643d 2269 646d 3139 3835  pse" id="idm1985
│ │ │ -0005a2c0: 3622 3e3c 7461 626c 6520 636c 6173 733d  6"><table class=
│ │ │ -0005a2d0: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -0005a2e0: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -0005a2f0: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -0005a300: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -0005a310: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -0005a320: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0005a330: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -0005a340: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0005a350: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -0005a360: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -0005a370: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -0005a380: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -0005a390: 2f74 683e 3c74 643e 6469 7361 626c 653c  /th><td>disable<
│ │ │ -0005a3a0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -0005a3b0: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ -0005a3c0: 7564 6520 7265 6d6f 7665 5f74 656c 6e65  ude remove_telne
│ │ │ -0005a3d0: 7464 0a0a 636c 6173 7320 7265 6d6f 7665  td..class remove
│ │ │ -0005a3e0: 5f74 656c 6e65 7464 207b 0a20 2070 6163  _telnetd {.  pac
│ │ │ -0005a3f0: 6b61 6765 207b 2027 7465 6c6e 6574 6427  kage { 'telnetd'
│ │ │ -0005a400: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ -0005a410: 743b 2027 7075 7267 6564 272c 0a20 207d  t; 'purged',.  }
│ │ │ -0005a420: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -0005a430: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -0005a440: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -0005a450: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -0005a460: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -0005a470: 6765 743d 2223 6964 6d31 3938 3537 2220  get="#idm19857" 
│ │ │ -0005a480: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -0005a490: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -0005a4a0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -0005a4b0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -0005a4c0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -0005a4d0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0005a4e0: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -0005a4f0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0005a500: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0005a510: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0005a520: 2220 6964 3d22 6964 6d31 3938 3537 223e  " id="idm19857">
│ │ │ -0005a530: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -0005a540: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -0005a550: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -0005a560: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -0005a570: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -0005a580: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -0005a590: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0005a5a0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -0005a5b0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0005a5c0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -0005a5d0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -0005a5e0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -0005a5f0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -0005a600: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ -0005a610: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -0005a620: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -0005a630: 2045 6e73 7572 6520 7465 6c6e 6574 6420   Ensure telnetd 
│ │ │ -0005a640: 6973 2072 656d 6f76 6564 0a20 2070 6163  is removed.  pac
│ │ │ -0005a650: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -0005a660: 7465 6c6e 6574 640a 2020 2020 7374 6174  telnetd.    stat
│ │ │ -0005a670: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ -0005a680: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -0005a690: 332d 434d 2d36 2861 290a 2020 2d20 4e49  3-CM-6(a).  - NI
│ │ │ -0005a6a0: 5354 2d38 3030 2d35 332d 434d 2d37 2861  ST-800-53-CM-7(a
│ │ │ -0005a6b0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -0005a6c0: 332d 434d 2d37 2862 290a 2020 2d20 6469  3-CM-7(b).  - di
│ │ │ -0005a6d0: 7361 626c 655f 7374 7261 7465 6779 0a20  sable_strategy. 
│ │ │ -0005a6e0: 202d 2068 6967 685f 7365 7665 7269 7479   - high_severity
│ │ │ -0005a6f0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -0005a700: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -0005a710: 7570 7469 6f6e 0a20 202d 206e 6f5f 7265  uption.  - no_re
│ │ │ -0005a720: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -0005a730: 7061 636b 6167 655f 7465 6c6e 6574 645f  package_telnetd_
│ │ │ -0005a740: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ +0005a270: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +0005a280: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +0005a290: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0005a2a0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0005a2b0: 6170 7365 2220 6964 3d22 6964 6d31 3938  apse" id="idm198
│ │ │ +0005a2c0: 3536 223e 3c74 6162 6c65 2063 6c61 7373  56"><table class
│ │ │ +0005a2d0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0005a2e0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0005a2f0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0005a300: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0005a310: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +0005a320: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0005a330: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +0005a340: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +0005a350: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0005a360: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +0005a370: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +0005a380: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +0005a390: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +0005a3a0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +0005a3b0: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ +0005a3c0: 616d 653a 2045 6e73 7572 6520 7465 6c6e  ame: Ensure teln
│ │ │ +0005a3d0: 6574 6420 6973 2072 656d 6f76 6564 0a20  etd is removed. 
│ │ │ +0005a3e0: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +0005a3f0: 6d65 3a20 7465 6c6e 6574 640a 2020 2020  me: telnetd.    
│ │ │ +0005a400: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ +0005a410: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +0005a420: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +0005a430: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +0005a440: 2d37 2861 290a 2020 2d20 4e49 5354 2d38  -7(a).  - NIST-8
│ │ │ +0005a450: 3030 2d35 332d 434d 2d37 2862 290a 2020  00-53-CM-7(b).  
│ │ │ +0005a460: 2d20 6469 7361 626c 655f 7374 7261 7465  - disable_strate
│ │ │ +0005a470: 6779 0a20 202d 2068 6967 685f 7365 7665  gy.  - high_seve
│ │ │ +0005a480: 7269 7479 0a20 202d 206c 6f77 5f63 6f6d  rity.  - low_com
│ │ │ +0005a490: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +0005a4a0: 6469 7372 7570 7469 6f6e 0a20 202d 206e  disruption.  - n
│ │ │ +0005a4b0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +0005a4c0: 2020 2d20 7061 636b 6167 655f 7465 6c6e    - package_teln
│ │ │ +0005a4d0: 6574 645f 7265 6d6f 7665 640a 3c2f 636f  etd_removed.</co
│ │ │ +0005a4e0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +0005a4f0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +0005a500: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +0005a510: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +0005a520: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +0005a530: 646d 3139 3835 3722 2074 6162 696e 6465  dm19857" tabinde
│ │ │ +0005a540: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +0005a550: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +0005a560: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +0005a570: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +0005a580: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +0005a590: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ +0005a5a0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +0005a5b0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +0005a5c0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +0005a5d0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +0005a5e0: 6d31 3938 3537 223e 3c74 6162 6c65 2063  m19857"><table c
│ │ │ +0005a5f0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +0005a600: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +0005a610: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +0005a620: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +0005a630: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +0005a640: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +0005a650: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +0005a660: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +0005a670: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0005a680: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +0005a690: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +0005a6a0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +0005a6b0: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ +0005a6c0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +0005a6d0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +0005a6e0: 3e69 6e63 6c75 6465 2072 656d 6f76 655f  >include remove_
│ │ │ +0005a6f0: 7465 6c6e 6574 640a 0a63 6c61 7373 2072  telnetd..class r
│ │ │ +0005a700: 656d 6f76 655f 7465 6c6e 6574 6420 7b0a  emove_telnetd {.
│ │ │ +0005a710: 2020 7061 636b 6167 6520 7b20 2774 656c    package { 'tel
│ │ │ +0005a720: 6e65 7464 273a 0a20 2020 2065 6e73 7572  netd':.    ensur
│ │ │ +0005a730: 6520 3d26 6774 3b20 2770 7572 6765 6427  e =&gt; 'purged'
│ │ │ +0005a740: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │  0005a750: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │  0005a760: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │  0005a770: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │  0005a780: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │  0005a790: 612d 7461 7267 6574 3d22 2369 646d 3139  a-target="#idm19
│ │ │  0005a7a0: 3835 3822 2074 6162 696e 6465 783d 2230  858" tabindex="0
│ │ │  0005a7b0: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button"
│ │ │ ├── html2text {}
│ │ │ │ @@ -276,31 +276,14 @@
│ │ │ │              _d_i_s_a           CCI-001311, CCI-001312
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "syslog-ng"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_syslog-ng
│ │ │ │ -
│ │ │ │ -class install_syslog-ng {
│ │ │ │ -  package { 'syslog-ng':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -323,14 +306,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_syslogng_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_syslog-ng
│ │ │ │ +
│ │ │ │ +class install_syslog-ng {
│ │ │ │ +  package { 'syslog-ng':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "syslog-ng"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -360,31 +360,14 @@
│ │ │ │                             4.4.2.2, 4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["syslog-ng"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_syslog-ng
│ │ │ │ -
│ │ │ │ -class enable_syslog-ng {
│ │ │ │ -  service {'syslog-ng':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -420,14 +403,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_syslogng_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_syslog-ng
│ │ │ │ +
│ │ │ │ +class enable_syslog-ng {
│ │ │ │ +  service {'syslog-ng':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["syslog-ng"]
│ │ │ │  ****** RRuullee? ?  EEnnssuurree rrssyysslloogg iiss IInnssttaalllleedd ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Rsyslog is installed by default. The rsyslog package can be installed with the
│ │ │ │  following command:
│ │ │ │   $ apt-get install rsyslog
│ │ │ │  Rationale:  The rsyslog package provides the rsyslog daemon, which provides
│ │ │ │              system logging services.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -440,31 +440,14 @@
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000479-GPOS-00224, SRG-OS-000051-GPOS-00024,
│ │ │ │                             SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -487,14 +470,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsyslog_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -525,31 +525,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -585,14 +568,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]
│ │ │ │  Group   File Permissions and Masks   Group contains 2 groups and 12 rules
│ │ │ │  _[_r_e_f_]   Traditional Unix security relies heavily on file and directory
│ │ │ │  permissions to prevent unauthorized users from reading or modifying files to
│ │ │ │  which they should not have access.
│ │ │ │  
│ │ │ │  Several of the commands in this section search filesystems for files or
│ │ │ │  directories with certain characteristics, and are intended to be run on every
│ │ │ │ @@ -1566,26 +1566,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_inetutils-telnetd
│ │ │ │ -
│ │ │ │ -class remove_inetutils-telnetd {
│ │ │ │ -  package { 'inetutils-telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure inetutils-telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -1597,14 +1585,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_inetutils-telnetd_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_inetutils-telnetd
│ │ │ │ +
│ │ │ │ +class remove_inetutils-telnetd {
│ │ │ │ +  package { 'inetutils-telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove inetutils-telnetd
│ │ │ │ @@ -1617,26 +1617,14 @@
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The support for Yellowpages should not be installed unless it is required.
│ │ │ │             NIS is the historical SUN service for central account management,
│ │ │ │  Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │             security constraints, ACL, etc. and should not be used.
│ │ │ │  Severity:  low
│ │ │ │  Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_nis
│ │ │ │ -
│ │ │ │ -class remove_nis {
│ │ │ │ -  package { 'nis':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure nis is removed
│ │ │ │    package:
│ │ │ │ @@ -1645,14 +1633,26 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_nis_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_nis
│ │ │ │ +
│ │ │ │ +class remove_nis {
│ │ │ │ +  package { 'nis':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove nis
│ │ │ │ @@ -1683,26 +1683,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd-ssl
│ │ │ │ -
│ │ │ │ -class remove_telnetd-ssl {
│ │ │ │ -  package { 'telnetd-ssl':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd-ssl is removed
│ │ │ │    package:
│ │ │ │ @@ -1714,14 +1702,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd-ssl_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd-ssl
│ │ │ │ +
│ │ │ │ +class remove_telnetd-ssl {
│ │ │ │ +  package { 'telnetd-ssl':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnetd-ssl
│ │ │ │ @@ -1753,26 +1753,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd
│ │ │ │ -
│ │ │ │ -class remove_telnetd {
│ │ │ │ -  package { 'telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -1784,14 +1772,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd
│ │ │ │ +
│ │ │ │ +class remove_telnetd {
│ │ │ │ +  package { 'telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnetd
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian12-guide-anssi_np_nt28_restrictive.html
│ │ │ @@ -20665,129 +20665,129 @@
│ │ │  00050b80: 7267 6574 3d22 2369 646d 3130 3730 3122  rget="#idm10701"
│ │ │  00050b90: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  00050ba0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  00050bb0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  00050bc0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  00050bd0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  00050be0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00050bf0: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ -00050c00: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ -00050c10: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00050c20: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00050c30: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00050c40: 2269 646d 3130 3730 3122 3e3c 7072 653e  "idm10701"><pre>
│ │ │ -00050c50: 3c63 6f64 653e 0a5b 5b70 6163 6b61 6765  <code>.[[package
│ │ │ -00050c60: 735d 5d0a 6e61 6d65 203d 2022 7379 736c  s]].name = "sysl
│ │ │ -00050c70: 6f67 2d6e 6722 0a76 6572 7369 6f6e 203d  og-ng".version =
│ │ │ -00050c80: 2022 2a22 0a3c 2f63 6f64 653e 3c2f 7072   "*".</code></pr
│ │ │ -00050c90: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -00050ca0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -00050cb0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -00050cc0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -00050cd0: 6172 6765 743d 2223 6964 6d31 3037 3032  arget="#idm10702
│ │ │ -00050ce0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00050cf0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00050d00: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -00050d10: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -00050d20: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -00050d30: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00050d40: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ -00050d50: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -00050d60: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00050d70: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -00050d80: 6522 2069 643d 2269 646d 3130 3730 3222  e" id="idm10702"
│ │ │ -00050d90: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00050da0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00050db0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00050dc0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00050dd0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00050de0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -00050df0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00050e00: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -00050e10: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00050e20: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -00050e30: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -00050e40: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -00050e50: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00050e60: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -00050e70: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00050e80: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ -00050e90: 2069 6e73 7461 6c6c 5f73 7973 6c6f 672d   install_syslog-
│ │ │ -00050ea0: 6e67 0a0a 636c 6173 7320 696e 7374 616c  ng..class instal
│ │ │ -00050eb0: 6c5f 7379 736c 6f67 2d6e 6720 7b0a 2020  l_syslog-ng {.  
│ │ │ -00050ec0: 7061 636b 6167 6520 7b20 2773 7973 6c6f  package { 'syslo
│ │ │ -00050ed0: 672d 6e67 273a 0a20 2020 2065 6e73 7572  g-ng':.    ensur
│ │ │ -00050ee0: 6520 3d26 6774 3b20 2769 6e73 7461 6c6c  e =&gt; 'install
│ │ │ -00050ef0: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ -00050f00: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -00050f10: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -00050f20: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -00050f30: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -00050f40: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -00050f50: 6d31 3037 3033 2220 7461 6269 6e64 6578  m10703" tabindex
│ │ │ -00050f60: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00050f70: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00050f80: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00050f90: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00050fa0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00050fb0: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -00050fc0: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -00050fd0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00050fe0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00050ff0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00051000: 6d31 3037 3033 223e 3c74 6162 6c65 2063  m10703"><table c
│ │ │ -00051010: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00051020: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00051030: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00051040: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00051050: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00051060: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00051070: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00051080: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00051090: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -000510a0: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -000510b0: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -000510c0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -000510d0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -000510e0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -000510f0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00051100: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ -00051110: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ -00051120: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ -00051130: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ -00051140: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ -00051150: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -00051160: 2861 290a 2020 2d20 656e 6162 6c65 5f73  (a).  - enable_s
│ │ │ -00051170: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -00051180: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -00051190: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -000511a0: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -000511b0: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -000511c0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -000511d0: 6765 5f73 7973 6c6f 676e 675f 696e 7374  ge_syslogng_inst
│ │ │ -000511e0: 616c 6c65 640a 0a2d 206e 616d 653a 2045  alled..- name: E
│ │ │ -000511f0: 6e73 7572 6520 7379 736c 6f67 2d6e 6720  nsure syslog-ng 
│ │ │ -00051200: 6973 2069 6e73 7461 6c6c 6564 0a20 2070  is installed.  p
│ │ │ -00051210: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -00051220: 3a20 7379 736c 6f67 2d6e 670a 2020 2020  : syslog-ng.    
│ │ │ -00051230: 7374 6174 653a 2070 7265 7365 6e74 0a20  state: present. 
│ │ │ -00051240: 2077 6865 6e3a 2027 226c 696e 7578 2d62   when: '"linux-b
│ │ │ -00051250: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ -00051260: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ -00051270: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ -00051280: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -00051290: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ -000512a0: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ -000512b0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ -000512c0: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ -000512d0: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ -000512e0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ -000512f0: 6564 0a20 202d 2070 6163 6b61 6765 5f73  ed.  - package_s
│ │ │ -00051300: 7973 6c6f 676e 675f 696e 7374 616c 6c65  yslogng_installe
│ │ │ -00051310: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +00050bf0: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +00050c00: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00050c10: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00050c20: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00050c30: 6522 2069 643d 2269 646d 3130 3730 3122  e" id="idm10701"
│ │ │ +00050c40: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00050c50: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00050c60: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00050c70: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00050c80: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00050c90: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00050ca0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00050cb0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00050cc0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00050cd0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00050ce0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00050cf0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00050d00: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00050d10: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +00050d20: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00050d30: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +00050d40: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ +00050d50: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ +00050d60: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ +00050d70: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ +00050d80: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +00050d90: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +00050da0: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ +00050db0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +00050dc0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +00050dd0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ +00050de0: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ +00050df0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +00050e00: 2020 2d20 7061 636b 6167 655f 7379 736c    - package_sysl
│ │ │ +00050e10: 6f67 6e67 5f69 6e73 7461 6c6c 6564 0a0a  ogng_installed..
│ │ │ +00050e20: 2d20 6e61 6d65 3a20 456e 7375 7265 2073  - name: Ensure s
│ │ │ +00050e30: 7973 6c6f 672d 6e67 2069 7320 696e 7374  yslog-ng is inst
│ │ │ +00050e40: 616c 6c65 640a 2020 7061 636b 6167 653a  alled.  package:
│ │ │ +00050e50: 0a20 2020 206e 616d 653a 2073 7973 6c6f  .    name: syslo
│ │ │ +00050e60: 672d 6e67 0a20 2020 2073 7461 7465 3a20  g-ng.    state: 
│ │ │ +00050e70: 7072 6573 656e 740a 2020 7768 656e 3a20  present.  when: 
│ │ │ +00050e80: 2722 6c69 6e75 782d 6261 7365 2220 696e  '"linux-base" in
│ │ │ +00050e90: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ +00050ea0: 6163 6b61 6765 7327 0a20 2074 6167 733a  ackages'.  tags:
│ │ │ +00050eb0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00050ec0: 2d43 4d2d 3628 6129 0a20 202d 2065 6e61  -CM-6(a).  - ena
│ │ │ +00050ed0: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +00050ee0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +00050ef0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +00050f00: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ +00050f10: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +00050f20: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +00050f30: 7061 636b 6167 655f 7379 736c 6f67 6e67  package_syslogng
│ │ │ +00050f40: 5f69 6e73 7461 6c6c 6564 0a3c 2f63 6f64  _installed.</cod
│ │ │ +00050f50: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00050f60: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00050f70: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +00050f80: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +00050f90: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +00050fa0: 6d31 3037 3032 2220 7461 6269 6e64 6578  m10702" tabindex
│ │ │ +00050fb0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +00050fc0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +00050fd0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00050fe0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +00050ff0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00051000: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ +00051010: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +00051020: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +00051030: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00051040: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00051050: 3130 3730 3222 3e3c 7461 626c 6520 636c  10702"><table cl
│ │ │ +00051060: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +00051070: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +00051080: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +00051090: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +000510a0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +000510b0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +000510c0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +000510d0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +000510e0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +000510f0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +00051100: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +00051110: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +00051120: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ +00051130: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +00051140: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ +00051150: 6e63 6c75 6465 2069 6e73 7461 6c6c 5f73  nclude install_s
│ │ │ +00051160: 7973 6c6f 672d 6e67 0a0a 636c 6173 7320  yslog-ng..class 
│ │ │ +00051170: 696e 7374 616c 6c5f 7379 736c 6f67 2d6e  install_syslog-n
│ │ │ +00051180: 6720 7b0a 2020 7061 636b 6167 6520 7b20  g {.  package { 
│ │ │ +00051190: 2773 7973 6c6f 672d 6e67 273a 0a20 2020  'syslog-ng':.   
│ │ │ +000511a0: 2065 6e73 7572 6520 3d26 6774 3b20 2769   ensure =&gt; 'i
│ │ │ +000511b0: 6e73 7461 6c6c 6564 272c 0a20 207d 0a7d  nstalled',.  }.}
│ │ │ +000511c0: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +000511d0: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +000511e0: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +000511f0: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +00051200: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +00051210: 743d 2223 6964 6d31 3037 3033 2220 7461  t="#idm10703" ta
│ │ │ +00051220: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +00051230: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +00051240: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +00051250: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +00051260: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +00051270: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +00051280: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ +00051290: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +000512a0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +000512b0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +000512c0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +000512d0: 6d31 3037 3033 223e 3c70 7265 3e3c 636f  m10703"><pre><co
│ │ │ +000512e0: 6465 3e0a 5b5b 7061 636b 6167 6573 5d5d  de>.[[packages]]
│ │ │ +000512f0: 0a6e 616d 6520 3d20 2273 7973 6c6f 672d  .name = "syslog-
│ │ │ +00051300: 6e67 220a 7665 7273 696f 6e20 3d20 222a  ng".version = "*
│ │ │ +00051310: 220a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ".</code></pre><
│ │ │  00051320: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │  00051330: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │  00051340: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │  00051350: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │  00051360: 6574 3d22 2369 646d 3130 3730 3422 2074  et="#idm10704" t
│ │ │  00051370: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  00051380: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ @@ -21053,151 +21053,151 @@
│ │ │  000523c0: 2d74 6172 6765 743d 2223 6964 6d31 3037  -target="#idm107
│ │ │  000523d0: 3838 2220 7461 6269 6e64 6578 3d22 3022  88" tabindex="0"
│ │ │  000523e0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  000523f0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  00052400: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  00052410: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  00052420: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00052430: 6174 696f 6e20 4f53 4275 696c 6420 426c  ation OSBuild Bl
│ │ │ -00052440: 7565 7072 696e 7420 736e 6970 7065 7420  ueprint snippet 
│ │ │ -00052450: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00052460: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00052470: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00052480: 6964 3d22 6964 6d31 3037 3838 223e 3c70  id="idm10788"><p
│ │ │ -00052490: 7265 3e3c 636f 6465 3e0a 5b63 7573 746f  re><code>.[custo
│ │ │ -000524a0: 6d69 7a61 7469 6f6e 732e 7365 7276 6963  mizations.servic
│ │ │ -000524b0: 6573 5d0a 656e 6162 6c65 6420 3d20 5b22  es].enabled = ["
│ │ │ -000524c0: 7379 736c 6f67 2d6e 6722 5d0a 3c2f 636f  syslog-ng"].</co
│ │ │ -000524d0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -000524e0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -000524f0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -00052500: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -00052510: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00052520: 646d 3130 3738 3922 2074 6162 696e 6465  dm10789" tabinde
│ │ │ -00052530: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -00052540: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -00052550: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -00052560: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -00052570: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00052580: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -00052590: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -000525a0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -000525b0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -000525c0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -000525d0: 6d31 3037 3839 223e 3c74 6162 6c65 2063  m10789"><table c
│ │ │ -000525e0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -000525f0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00052600: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00052610: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00052620: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00052630: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00052640: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00052650: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00052660: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00052670: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00052680: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00052690: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -000526a0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -000526b0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -000526c0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -000526d0: 696e 636c 7564 6520 656e 6162 6c65 5f73  include enable_s
│ │ │ -000526e0: 7973 6c6f 672d 6e67 0a0a 636c 6173 7320  yslog-ng..class 
│ │ │ -000526f0: 656e 6162 6c65 5f73 7973 6c6f 672d 6e67  enable_syslog-ng
│ │ │ -00052700: 207b 0a20 2073 6572 7669 6365 207b 2773   {.  service {'s
│ │ │ -00052710: 7973 6c6f 672d 6e67 273a 0a20 2020 2065  yslog-ng':.    e
│ │ │ -00052720: 6e61 626c 6520 3d26 6774 3b20 7472 7565  nable =&gt; true
│ │ │ -00052730: 2c0a 2020 2020 656e 7375 7265 203d 2667  ,.    ensure =&g
│ │ │ -00052740: 743b 2027 7275 6e6e 696e 6727 2c0a 2020  t; 'running',.  
│ │ │ -00052750: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -00052760: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -00052770: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -00052780: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -00052790: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -000527a0: 7267 6574 3d22 2369 646d 3130 3739 3022  rget="#idm10790"
│ │ │ -000527b0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -000527c0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -000527d0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -000527e0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -000527f0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -00052800: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00052810: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ -00052820: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -00052830: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00052840: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -00052850: 6522 2069 643d 2269 646d 3130 3739 3022  e" id="idm10790"
│ │ │ -00052860: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00052870: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00052880: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00052890: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -000528a0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -000528b0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -000528c0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -000528d0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -000528e0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -000528f0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -00052900: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -00052910: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -00052920: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00052930: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -00052940: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00052950: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -00052960: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -00052970: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ -00052980: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ -00052990: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ -000529a0: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ -000529b0: 302d 3533 2d41 552d 3428 3129 0a20 202d  0-53-AU-4(1).  -
│ │ │ -000529c0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -000529d0: 3628 6129 0a20 202d 2065 6e61 626c 655f  6(a).  - enable_
│ │ │ -000529e0: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -000529f0: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -00052a00: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -00052a10: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ -00052a20: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -00052a30: 5f6e 6565 6465 640a 2020 2d20 7365 7276  _needed.  - serv
│ │ │ -00052a40: 6963 655f 7379 736c 6f67 6e67 5f65 6e61  ice_syslogng_ena
│ │ │ -00052a50: 626c 6564 0a0a 2d20 6e61 6d65 3a20 456e  bled..- name: En
│ │ │ -00052a60: 6162 6c65 2073 7973 6c6f 672d 6e67 2053  able syslog-ng S
│ │ │ -00052a70: 6572 7669 6365 202d 2045 6e61 626c 6520  ervice - Enable 
│ │ │ -00052a80: 7365 7276 6963 6520 7379 736c 6f67 2d6e  service syslog-n
│ │ │ -00052a90: 670a 2020 626c 6f63 6b3a 0a0a 2020 2d20  g.  block:..  - 
│ │ │ -00052aa0: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ -00052ab0: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ -00052ac0: 2020 2070 6163 6b61 6765 5f66 6163 7473     package_facts
│ │ │ -00052ad0: 3a0a 2020 2020 2020 6d61 6e61 6765 723a  :.      manager:
│ │ │ -00052ae0: 2061 7574 6f0a 0a20 202d 206e 616d 653a   auto..  - name:
│ │ │ -00052af0: 2045 6e61 626c 6520 7379 736c 6f67 2d6e   Enable syslog-n
│ │ │ -00052b00: 6720 5365 7276 6963 6520 2d20 456e 6162  g Service - Enab
│ │ │ -00052b10: 6c65 2053 6572 7669 6365 2073 7973 6c6f  le Service syslo
│ │ │ -00052b20: 672d 6e67 0a20 2020 2061 6e73 6962 6c65  g-ng.    ansible
│ │ │ -00052b30: 2e62 7569 6c74 696e 2e73 7973 7465 6d64  .builtin.systemd
│ │ │ -00052b40: 3a0a 2020 2020 2020 6e61 6d65 3a20 7379  :.      name: sy
│ │ │ -00052b50: 736c 6f67 2d6e 670a 2020 2020 2020 656e  slog-ng.      en
│ │ │ -00052b60: 6162 6c65 643a 2074 7275 650a 2020 2020  abled: true.    
│ │ │ -00052b70: 2020 7374 6174 653a 2073 7461 7274 6564    state: started
│ │ │ -00052b80: 0a20 2020 2020 206d 6173 6b65 643a 2066  .      masked: f
│ │ │ -00052b90: 616c 7365 0a20 2020 2077 6865 6e3a 0a20  alse.    when:. 
│ │ │ -00052ba0: 2020 202d 2027 2273 7973 6c6f 672d 6e67     - '"syslog-ng
│ │ │ -00052bb0: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ -00052bc0: 7473 2e70 6163 6b61 6765 7327 0a20 2077  ts.packages'.  w
│ │ │ -00052bd0: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ -00052be0: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ -00052bf0: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -00052c00: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -00052c10: 3030 2d35 332d 4155 2d34 2831 290a 2020  00-53-AU-4(1).  
│ │ │ -00052c20: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00052c30: 2d36 2861 290a 2020 2d20 656e 6162 6c65  -6(a).  - enable
│ │ │ -00052c40: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -00052c50: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -00052c60: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -00052c70: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -00052c80: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -00052c90: 745f 6e65 6564 6564 0a20 202d 2073 6572  t_needed.  - ser
│ │ │ -00052ca0: 7669 6365 5f73 7973 6c6f 676e 675f 656e  vice_syslogng_en
│ │ │ -00052cb0: 6162 6c65 640a 3c2f 636f 6465 3e3c 2f70  abled.</code></p
│ │ │ +00052430: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +00052440: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00052450: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00052460: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00052470: 6170 7365 2220 6964 3d22 6964 6d31 3037  apse" id="idm107
│ │ │ +00052480: 3838 223e 3c74 6162 6c65 2063 6c61 7373  88"><table class
│ │ │ +00052490: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +000524a0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +000524b0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +000524c0: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +000524d0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +000524e0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +000524f0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00052500: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00052510: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00052520: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00052530: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00052540: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00052550: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +00052560: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00052570: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +00052580: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ +00052590: 6163 6b61 6765 2066 6163 7473 0a20 2070  ackage facts.  p
│ │ │ +000525a0: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ +000525b0: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ +000525c0: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +000525d0: 2d38 3030 2d35 332d 4155 2d34 2831 290a  -800-53-AU-4(1).
│ │ │ +000525e0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +000525f0: 434d 2d36 2861 290a 2020 2d20 656e 6162  CM-6(a).  - enab
│ │ │ +00052600: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +00052610: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +00052620: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +00052630: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ +00052640: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ +00052650: 6f6f 745f 6e65 6564 6564 0a20 202d 2073  oot_needed.  - s
│ │ │ +00052660: 6572 7669 6365 5f73 7973 6c6f 676e 675f  ervice_syslogng_
│ │ │ +00052670: 656e 6162 6c65 640a 0a2d 206e 616d 653a  enabled..- name:
│ │ │ +00052680: 2045 6e61 626c 6520 7379 736c 6f67 2d6e   Enable syslog-n
│ │ │ +00052690: 6720 5365 7276 6963 6520 2d20 456e 6162  g Service - Enab
│ │ │ +000526a0: 6c65 2073 6572 7669 6365 2073 7973 6c6f  le service syslo
│ │ │ +000526b0: 672d 6e67 0a20 2062 6c6f 636b 3a0a 0a20  g-ng.  block:.. 
│ │ │ +000526c0: 202d 206e 616d 653a 2047 6174 6865 7220   - name: Gather 
│ │ │ +000526d0: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ +000526e0: 730a 2020 2020 7061 636b 6167 655f 6661  s.    package_fa
│ │ │ +000526f0: 6374 733a 0a20 2020 2020 206d 616e 6167  cts:.      manag
│ │ │ +00052700: 6572 3a20 6175 746f 0a0a 2020 2d20 6e61  er: auto..  - na
│ │ │ +00052710: 6d65 3a20 456e 6162 6c65 2073 7973 6c6f  me: Enable syslo
│ │ │ +00052720: 672d 6e67 2053 6572 7669 6365 202d 2045  g-ng Service - E
│ │ │ +00052730: 6e61 626c 6520 5365 7276 6963 6520 7379  nable Service sy
│ │ │ +00052740: 736c 6f67 2d6e 670a 2020 2020 616e 7369  slog-ng.    ansi
│ │ │ +00052750: 626c 652e 6275 696c 7469 6e2e 7379 7374  ble.builtin.syst
│ │ │ +00052760: 656d 643a 0a20 2020 2020 206e 616d 653a  emd:.      name:
│ │ │ +00052770: 2073 7973 6c6f 672d 6e67 0a20 2020 2020   syslog-ng.     
│ │ │ +00052780: 2065 6e61 626c 6564 3a20 7472 7565 0a20   enabled: true. 
│ │ │ +00052790: 2020 2020 2073 7461 7465 3a20 7374 6172       state: star
│ │ │ +000527a0: 7465 640a 2020 2020 2020 6d61 736b 6564  ted.      masked
│ │ │ +000527b0: 3a20 6661 6c73 650a 2020 2020 7768 656e  : false.    when
│ │ │ +000527c0: 3a0a 2020 2020 2d20 2722 7379 736c 6f67  :.    - '"syslog
│ │ │ +000527d0: 2d6e 6722 2069 6e20 616e 7369 626c 655f  -ng" in ansible_
│ │ │ +000527e0: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +000527f0: 2020 7768 656e 3a20 2722 6c69 6e75 782d    when: '"linux-
│ │ │ +00052800: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ +00052810: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ +00052820: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +00052830: 542d 3830 302d 3533 2d41 552d 3428 3129  T-800-53-AU-4(1)
│ │ │ +00052840: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00052850: 2d43 4d2d 3628 6129 0a20 202d 2065 6e61  -CM-6(a).  - ena
│ │ │ +00052860: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +00052870: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +00052880: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +00052890: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ +000528a0: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +000528b0: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +000528c0: 7365 7276 6963 655f 7379 736c 6f67 6e67  service_syslogng
│ │ │ +000528d0: 5f65 6e61 626c 6564 0a3c 2f63 6f64 653e  _enabled.</code>
│ │ │ +000528e0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +000528f0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +00052900: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +00052910: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +00052920: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ +00052930: 3037 3839 2220 7461 6269 6e64 6578 3d22  0789" tabindex="
│ │ │ +00052940: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +00052950: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +00052960: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +00052970: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +00052980: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +00052990: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +000529a0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +000529b0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +000529c0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +000529d0: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ +000529e0: 3738 3922 3e3c 7461 626c 6520 636c 6173  789"><table clas
│ │ │ +000529f0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00052a00: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00052a10: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00052a20: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00052a30: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00052a40: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00052a50: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +00052a60: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +00052a70: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00052a80: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00052a90: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00052aa0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00052ab0: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ +00052ac0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +00052ad0: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +00052ae0: 6c75 6465 2065 6e61 626c 655f 7379 736c  lude enable_sysl
│ │ │ +00052af0: 6f67 2d6e 670a 0a63 6c61 7373 2065 6e61  og-ng..class ena
│ │ │ +00052b00: 626c 655f 7379 736c 6f67 2d6e 6720 7b0a  ble_syslog-ng {.
│ │ │ +00052b10: 2020 7365 7276 6963 6520 7b27 7379 736c    service {'sysl
│ │ │ +00052b20: 6f67 2d6e 6727 3a0a 2020 2020 656e 6162  og-ng':.    enab
│ │ │ +00052b30: 6c65 203d 2667 743b 2074 7275 652c 0a20  le =&gt; true,. 
│ │ │ +00052b40: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ +00052b50: 2772 756e 6e69 6e67 272c 0a20 207d 0a7d  'running',.  }.}
│ │ │ +00052b60: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +00052b70: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +00052b80: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +00052b90: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +00052ba0: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +00052bb0: 743d 2223 6964 6d31 3037 3930 2220 7461  t="#idm10790" ta
│ │ │ +00052bc0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +00052bd0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +00052be0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +00052bf0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +00052c00: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +00052c10: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +00052c20: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ +00052c30: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ +00052c40: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00052c50: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00052c60: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00052c70: 6d31 3037 3930 223e 3c70 7265 3e3c 636f  m10790"><pre><co
│ │ │ +00052c80: 6465 3e0a 5b63 7573 746f 6d69 7a61 7469  de>.[customizati
│ │ │ +00052c90: 6f6e 732e 7365 7276 6963 6573 5d0a 656e  ons.services].en
│ │ │ +00052ca0: 6162 6c65 6420 3d20 5b22 7379 736c 6f67  abled = ["syslog
│ │ │ +00052cb0: 2d6e 6722 5d0a 3c2f 636f 6465 3e3c 2f70  -ng"].</code></p
│ │ │  00052cc0: 7265 3e3c 2f64 6976 3e3c 2f64 6976 3e3c  re></div></div><
│ │ │  00052cd0: 2f74 643e 3c2f 7472 3e3c 2f74 626f 6479  /td></tr></tbody
│ │ │  00052ce0: 3e3c 2f74 6162 6c65 3e3c 2f74 643e 3c2f  ></table></td></
│ │ │  00052cf0: 7472 3e3c 7472 2064 6174 612d 7474 2d69  tr><tr data-tt-i
│ │ │  00052d00: 643d 2278 6363 6466 5f6f 7267 2e73 7367  d="xccdf_org.ssg
│ │ │  00052d10: 7072 6f6a 6563 742e 636f 6e74 656e 745f  project.content_
│ │ │  00052d20: 7275 6c65 5f70 6163 6b61 6765 5f72 7379  rule_package_rsy
│ │ │ @@ -21405,128 +21405,128 @@
│ │ │  000539c0: 6172 6765 743d 2223 6964 6d31 3031 3134  arget="#idm10114
│ │ │  000539d0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │  000539e0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │  000539f0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │  00053a00: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │  00053a10: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │  00053a20: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00053a30: 696f 6e20 4f53 4275 696c 6420 426c 7565  ion OSBuild Blue
│ │ │ -00053a40: 7072 696e 7420 736e 6970 7065 7420 e287  print snippet ..
│ │ │ -00053a50: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00053a60: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00053a70: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00053a80: 3d22 6964 6d31 3031 3134 223e 3c70 7265  ="idm10114"><pre
│ │ │ -00053a90: 3e3c 636f 6465 3e0a 5b5b 7061 636b 6167  ><code>.[[packag
│ │ │ -00053aa0: 6573 5d5d 0a6e 616d 6520 3d20 2272 7379  es]].name = "rsy
│ │ │ -00053ab0: 736c 6f67 220a 7665 7273 696f 6e20 3d20  slog".version = 
│ │ │ -00053ac0: 222a 220a 3c2f 636f 6465 3e3c 2f70 7265  "*".</code></pre
│ │ │ -00053ad0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -00053ae0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -00053af0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -00053b00: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -00053b10: 7267 6574 3d22 2369 646d 3130 3131 3522  rget="#idm10115"
│ │ │ -00053b20: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -00053b30: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -00053b40: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -00053b50: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -00053b60: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -00053b70: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00053b80: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ -00053b90: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -00053ba0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00053bb0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00053bc0: 2220 6964 3d22 6964 6d31 3031 3135 223e  " id="idm10115">
│ │ │ -00053bd0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -00053be0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -00053bf0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -00053c00: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -00053c10: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -00053c20: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -00053c30: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00053c40: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -00053c50: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00053c60: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -00053c70: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -00053c80: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -00053c90: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -00053ca0: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ -00053cb0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00053cc0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -00053cd0: 696e 7374 616c 6c5f 7273 7973 6c6f 670a  install_rsyslog.
│ │ │ -00053ce0: 0a63 6c61 7373 2069 6e73 7461 6c6c 5f72  .class install_r
│ │ │ -00053cf0: 7379 736c 6f67 207b 0a20 2070 6163 6b61  syslog {.  packa
│ │ │ -00053d00: 6765 207b 2027 7273 7973 6c6f 6727 3a0a  ge { 'rsyslog':.
│ │ │ -00053d10: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ -00053d20: 2027 696e 7374 616c 6c65 6427 2c0a 2020   'installed',.  
│ │ │ -00053d30: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -00053d40: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -00053d50: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -00053d60: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -00053d70: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -00053d80: 7267 6574 3d22 2369 646d 3130 3131 3622  rget="#idm10116"
│ │ │ -00053d90: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -00053da0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -00053db0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -00053dc0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -00053dd0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -00053de0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00053df0: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ -00053e00: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -00053e10: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00053e20: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -00053e30: 6522 2069 643d 2269 646d 3130 3131 3622  e" id="idm10116"
│ │ │ -00053e40: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00053e50: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00053e60: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00053e70: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00053e80: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00053e90: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -00053ea0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00053eb0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -00053ec0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00053ed0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -00053ee0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -00053ef0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -00053f00: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00053f10: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -00053f20: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -00053f30: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -00053f40: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -00053f50: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ -00053f60: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ -00053f70: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ -00053f80: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ -00053f90: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ -00053fa0: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -00053fb0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -00053fc0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -00053fd0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ -00053fe0: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ -00053ff0: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ -00054000: 2020 2d20 7061 636b 6167 655f 7273 7973    - package_rsys
│ │ │ -00054010: 6c6f 675f 696e 7374 616c 6c65 640a 0a2d  log_installed..-
│ │ │ -00054020: 206e 616d 653a 2045 6e73 7572 6520 7273   name: Ensure rs
│ │ │ -00054030: 7973 6c6f 6720 6973 2069 6e73 7461 6c6c  yslog is install
│ │ │ -00054040: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ -00054050: 2020 6e61 6d65 3a20 7273 7973 6c6f 670a    name: rsyslog.
│ │ │ -00054060: 2020 2020 7374 6174 653a 2070 7265 7365      state: prese
│ │ │ -00054070: 6e74 0a20 2077 6865 6e3a 2027 226c 696e  nt.  when: '"lin
│ │ │ -00054080: 7578 2d62 6173 6522 2069 6e20 616e 7369  ux-base" in ansi
│ │ │ -00054090: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ -000540a0: 6573 270a 2020 7461 6773 3a0a 2020 2d20  es'.  tags:.  - 
│ │ │ -000540b0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -000540c0: 2861 290a 2020 2d20 656e 6162 6c65 5f73  (a).  - enable_s
│ │ │ -000540d0: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -000540e0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -000540f0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -00054100: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -00054110: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -00054120: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -00054130: 6765 5f72 7379 736c 6f67 5f69 6e73 7461  ge_rsyslog_insta
│ │ │ -00054140: 6c6c 6564 0a3c 2f63 6f64 653e 3c2f 7072  lled.</code></pr
│ │ │ +00053a30: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ +00053a40: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00053a50: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00053a60: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00053a70: 7365 2220 6964 3d22 6964 6d31 3031 3134  se" id="idm10114
│ │ │ +00053a80: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +00053a90: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +00053aa0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +00053ab0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +00053ac0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +00053ad0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +00053ae0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00053af0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +00053b00: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00053b10: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +00053b20: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +00053b30: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +00053b40: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +00053b50: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +00053b60: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00053b70: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +00053b80: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ +00053b90: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ +00053ba0: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ +00053bb0: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ +00053bc0: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +00053bd0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +00053be0: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +00053bf0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00053c00: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00053c10: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +00053c20: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +00053c30: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +00053c40: 0a20 202d 2070 6163 6b61 6765 5f72 7379  .  - package_rsy
│ │ │ +00053c50: 736c 6f67 5f69 6e73 7461 6c6c 6564 0a0a  slog_installed..
│ │ │ +00053c60: 2d20 6e61 6d65 3a20 456e 7375 7265 2072  - name: Ensure r
│ │ │ +00053c70: 7379 736c 6f67 2069 7320 696e 7374 616c  syslog is instal
│ │ │ +00053c80: 6c65 640a 2020 7061 636b 6167 653a 0a20  led.  package:. 
│ │ │ +00053c90: 2020 206e 616d 653a 2072 7379 736c 6f67     name: rsyslog
│ │ │ +00053ca0: 0a20 2020 2073 7461 7465 3a20 7072 6573  .    state: pres
│ │ │ +00053cb0: 656e 740a 2020 7768 656e 3a20 2722 6c69  ent.  when: '"li
│ │ │ +00053cc0: 6e75 782d 6261 7365 2220 696e 2061 6e73  nux-base" in ans
│ │ │ +00053cd0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ +00053ce0: 6765 7327 0a20 2074 6167 733a 0a20 202d  ges'.  tags:.  -
│ │ │ +00053cf0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +00053d00: 3628 6129 0a20 202d 2065 6e61 626c 655f  6(a).  - enable_
│ │ │ +00053d10: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ +00053d20: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +00053d30: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +00053d40: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ +00053d50: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +00053d60: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +00053d70: 6167 655f 7273 7973 6c6f 675f 696e 7374  age_rsyslog_inst
│ │ │ +00053d80: 616c 6c65 640a 3c2f 636f 6465 3e3c 2f70  alled.</code></p
│ │ │ +00053d90: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +00053da0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +00053db0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +00053dc0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +00053dd0: 7461 7267 6574 3d22 2369 646d 3130 3131  target="#idm1011
│ │ │ +00053de0: 3522 2074 6162 696e 6465 783d 2230 2220  5" tabindex="0" 
│ │ │ +00053df0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +00053e00: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +00053e10: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +00053e20: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +00053e30: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +00053e40: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ +00053e50: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00053e60: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00053e70: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00053e80: 7365 2220 6964 3d22 6964 6d31 3031 3135  se" id="idm10115
│ │ │ +00053e90: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +00053ea0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +00053eb0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +00053ec0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +00053ed0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +00053ee0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +00053ef0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00053f00: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +00053f10: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00053f20: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +00053f30: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +00053f40: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +00053f50: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +00053f60: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +00053f70: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00053f80: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +00053f90: 6520 696e 7374 616c 6c5f 7273 7973 6c6f  e install_rsyslo
│ │ │ +00053fa0: 670a 0a63 6c61 7373 2069 6e73 7461 6c6c  g..class install
│ │ │ +00053fb0: 5f72 7379 736c 6f67 207b 0a20 2070 6163  _rsyslog {.  pac
│ │ │ +00053fc0: 6b61 6765 207b 2027 7273 7973 6c6f 6727  kage { 'rsyslog'
│ │ │ +00053fd0: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ +00053fe0: 743b 2027 696e 7374 616c 6c65 6427 2c0a  t; 'installed',.
│ │ │ +00053ff0: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ +00054000: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +00054010: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +00054020: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +00054030: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +00054040: 7461 7267 6574 3d22 2369 646d 3130 3131  target="#idm1011
│ │ │ +00054050: 3622 2074 6162 696e 6465 783d 2230 2220  6" tabindex="0" 
│ │ │ +00054060: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +00054070: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +00054080: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +00054090: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +000540a0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +000540b0: 7469 6f6e 204f 5342 7569 6c64 2042 6c75  tion OSBuild Blu
│ │ │ +000540c0: 6570 7269 6e74 2073 6e69 7070 6574 20e2  eprint snippet .
│ │ │ +000540d0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +000540e0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +000540f0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +00054100: 643d 2269 646d 3130 3131 3622 3e3c 7072  d="idm10116"><pr
│ │ │ +00054110: 653e 3c63 6f64 653e 0a5b 5b70 6163 6b61  e><code>.[[packa
│ │ │ +00054120: 6765 735d 5d0a 6e61 6d65 203d 2022 7273  ges]].name = "rs
│ │ │ +00054130: 7973 6c6f 6722 0a76 6572 7369 6f6e 203d  yslog".version =
│ │ │ +00054140: 2022 2a22 0a3c 2f63 6f64 653e 3c2f 7072   "*".</code></pr
│ │ │  00054150: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │  00054160: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │  00054170: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │  00054180: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │  00054190: 6172 6765 743d 2223 6964 6d31 3031 3137  arget="#idm10117
│ │ │  000541a0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │  000541b0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ @@ -21806,150 +21806,150 @@
│ │ │  000552d0: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │  000552e0: 3032 3030 2220 7461 6269 6e64 6578 3d22  0200" tabindex="
│ │ │  000552f0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │  00055300: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │  00055310: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │  00055320: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │  00055330: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00055340: 6469 6174 696f 6e20 4f53 4275 696c 6420  diation OSBuild 
│ │ │ -00055350: 426c 7565 7072 696e 7420 736e 6970 7065  Blueprint snippe
│ │ │ -00055360: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -00055370: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -00055380: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -00055390: 2220 6964 3d22 6964 6d31 3032 3030 223e  " id="idm10200">
│ │ │ -000553a0: 3c70 7265 3e3c 636f 6465 3e0a 5b63 7573  <pre><code>.[cus
│ │ │ -000553b0: 746f 6d69 7a61 7469 6f6e 732e 7365 7276  tomizations.serv
│ │ │ -000553c0: 6963 6573 5d0a 656e 6162 6c65 6420 3d20  ices].enabled = 
│ │ │ -000553d0: 5b22 7273 7973 6c6f 6722 5d0a 3c2f 636f  ["rsyslog"].</co
│ │ │ -000553e0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -000553f0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -00055400: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -00055410: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -00055420: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00055430: 646d 3130 3230 3122 2074 6162 696e 6465  dm10201" tabinde
│ │ │ -00055440: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -00055450: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -00055460: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -00055470: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -00055480: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -00055490: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -000554a0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -000554b0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -000554c0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -000554d0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -000554e0: 6d31 3032 3031 223e 3c74 6162 6c65 2063  m10201"><table c
│ │ │ -000554f0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00055500: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00055510: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00055520: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00055530: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00055540: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00055550: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00055560: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00055570: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00055580: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00055590: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -000555a0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -000555b0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -000555c0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -000555d0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -000555e0: 696e 636c 7564 6520 656e 6162 6c65 5f72  include enable_r
│ │ │ -000555f0: 7379 736c 6f67 0a0a 636c 6173 7320 656e  syslog..class en
│ │ │ -00055600: 6162 6c65 5f72 7379 736c 6f67 207b 0a20  able_rsyslog {. 
│ │ │ -00055610: 2073 6572 7669 6365 207b 2772 7379 736c   service {'rsysl
│ │ │ -00055620: 6f67 273a 0a20 2020 2065 6e61 626c 6520  og':.    enable 
│ │ │ -00055630: 3d26 6774 3b20 7472 7565 2c0a 2020 2020  =&gt; true,.    
│ │ │ -00055640: 656e 7375 7265 203d 2667 743b 2027 7275  ensure =&gt; 'ru
│ │ │ -00055650: 6e6e 696e 6727 2c0a 2020 7d0a 7d0a 3c2f  nning',.  }.}.</
│ │ │ -00055660: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00055670: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00055680: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00055690: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -000556a0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -000556b0: 2369 646d 3130 3230 3222 2074 6162 696e  #idm10202" tabin
│ │ │ -000556c0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -000556d0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -000556e0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -000556f0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00055700: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00055710: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -00055720: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -00055730: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00055740: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00055750: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00055760: 2269 646d 3130 3230 3222 3e3c 7461 626c  "idm10202"><tabl
│ │ │ -00055770: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00055780: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00055790: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -000557a0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -000557b0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -000557c0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -000557d0: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -000557e0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -000557f0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00055800: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00055810: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00055820: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00055830: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00055840: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -00055850: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -00055860: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ -00055870: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ -00055880: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ -00055890: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ -000558a0: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ -000558b0: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -000558c0: 552d 3428 3129 0a20 202d 204e 4953 542d  U-4(1).  - NIST-
│ │ │ -000558d0: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -000558e0: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ -000558f0: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ -00055900: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -00055910: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ -00055920: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ -00055930: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -00055940: 640a 2020 2d20 7365 7276 6963 655f 7273  d.  - service_rs
│ │ │ -00055950: 7973 6c6f 675f 656e 6162 6c65 640a 0a2d  yslog_enabled..-
│ │ │ -00055960: 206e 616d 653a 2045 6e61 626c 6520 7273   name: Enable rs
│ │ │ -00055970: 7973 6c6f 6720 5365 7276 6963 6520 2d20  yslog Service - 
│ │ │ -00055980: 456e 6162 6c65 2073 6572 7669 6365 2072  Enable service r
│ │ │ -00055990: 7379 736c 6f67 0a20 2062 6c6f 636b 3a0a  syslog.  block:.
│ │ │ -000559a0: 0a20 202d 206e 616d 653a 2047 6174 6865  .  - name: Gathe
│ │ │ -000559b0: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ -000559c0: 6374 730a 2020 2020 7061 636b 6167 655f  cts.    package_
│ │ │ -000559d0: 6661 6374 733a 0a20 2020 2020 206d 616e  facts:.      man
│ │ │ -000559e0: 6167 6572 3a20 6175 746f 0a0a 2020 2d20  ager: auto..  - 
│ │ │ -000559f0: 6e61 6d65 3a20 456e 6162 6c65 2072 7379  name: Enable rsy
│ │ │ -00055a00: 736c 6f67 2053 6572 7669 6365 202d 2045  slog Service - E
│ │ │ -00055a10: 6e61 626c 6520 5365 7276 6963 6520 7273  nable Service rs
│ │ │ -00055a20: 7973 6c6f 670a 2020 2020 616e 7369 626c  yslog.    ansibl
│ │ │ -00055a30: 652e 6275 696c 7469 6e2e 7379 7374 656d  e.builtin.system
│ │ │ -00055a40: 643a 0a20 2020 2020 206e 616d 653a 2072  d:.      name: r
│ │ │ -00055a50: 7379 736c 6f67 0a20 2020 2020 2065 6e61  syslog.      ena
│ │ │ -00055a60: 626c 6564 3a20 7472 7565 0a20 2020 2020  bled: true.     
│ │ │ -00055a70: 2073 7461 7465 3a20 7374 6172 7465 640a   state: started.
│ │ │ -00055a80: 2020 2020 2020 6d61 736b 6564 3a20 6661        masked: fa
│ │ │ -00055a90: 6c73 650a 2020 2020 7768 656e 3a0a 2020  lse.    when:.  
│ │ │ -00055aa0: 2020 2d20 2722 7273 7973 6c6f 6722 2069    - '"rsyslog" i
│ │ │ -00055ab0: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ -00055ac0: 7061 636b 6167 6573 270a 2020 7768 656e  packages'.  when
│ │ │ -00055ad0: 3a20 2722 6c69 6e75 782d 6261 7365 2220  : '"linux-base" 
│ │ │ -00055ae0: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ -00055af0: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ -00055b00: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -00055b10: 3533 2d41 552d 3428 3129 0a20 202d 204e  53-AU-4(1).  - N
│ │ │ -00055b20: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -00055b30: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ -00055b40: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -00055b50: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -00055b60: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -00055b70: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -00055b80: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -00055b90: 6565 6465 640a 2020 2d20 7365 7276 6963  eeded.  - servic
│ │ │ -00055ba0: 655f 7273 7973 6c6f 675f 656e 6162 6c65  e_rsyslog_enable
│ │ │ -00055bb0: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +00055340: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ +00055350: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00055360: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00055370: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00055380: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ +00055390: 3032 3030 223e 3c74 6162 6c65 2063 6c61  0200"><table cla
│ │ │ +000553a0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +000553b0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +000553c0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +000553d0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +000553e0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +000553f0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00055400: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +00055410: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +00055420: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00055430: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +00055440: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +00055450: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +00055460: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ +00055470: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00055480: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ +00055490: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ +000554a0: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ +000554b0: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ +000554c0: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ +000554d0: 6f0a 2020 7461 6773 3a0a 2020 2d20 4e49  o.  tags:.  - NI
│ │ │ +000554e0: 5354 2d38 3030 2d35 332d 4155 2d34 2831  ST-800-53-AU-4(1
│ │ │ +000554f0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +00055500: 332d 434d 2d36 2861 290a 2020 2d20 656e  3-CM-6(a).  - en
│ │ │ +00055510: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +00055520: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +00055530: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +00055540: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +00055550: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +00055560: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +00055570: 2073 6572 7669 6365 5f72 7379 736c 6f67   service_rsyslog
│ │ │ +00055580: 5f65 6e61 626c 6564 0a0a 2d20 6e61 6d65  _enabled..- name
│ │ │ +00055590: 3a20 456e 6162 6c65 2072 7379 736c 6f67  : Enable rsyslog
│ │ │ +000555a0: 2053 6572 7669 6365 202d 2045 6e61 626c   Service - Enabl
│ │ │ +000555b0: 6520 7365 7276 6963 6520 7273 7973 6c6f  e service rsyslo
│ │ │ +000555c0: 670a 2020 626c 6f63 6b3a 0a0a 2020 2d20  g.  block:..  - 
│ │ │ +000555d0: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ +000555e0: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ +000555f0: 2020 2070 6163 6b61 6765 5f66 6163 7473     package_facts
│ │ │ +00055600: 3a0a 2020 2020 2020 6d61 6e61 6765 723a  :.      manager:
│ │ │ +00055610: 2061 7574 6f0a 0a20 202d 206e 616d 653a   auto..  - name:
│ │ │ +00055620: 2045 6e61 626c 6520 7273 7973 6c6f 6720   Enable rsyslog 
│ │ │ +00055630: 5365 7276 6963 6520 2d20 456e 6162 6c65  Service - Enable
│ │ │ +00055640: 2053 6572 7669 6365 2072 7379 736c 6f67   Service rsyslog
│ │ │ +00055650: 0a20 2020 2061 6e73 6962 6c65 2e62 7569  .    ansible.bui
│ │ │ +00055660: 6c74 696e 2e73 7973 7465 6d64 3a0a 2020  ltin.systemd:.  
│ │ │ +00055670: 2020 2020 6e61 6d65 3a20 7273 7973 6c6f      name: rsyslo
│ │ │ +00055680: 670a 2020 2020 2020 656e 6162 6c65 643a  g.      enabled:
│ │ │ +00055690: 2074 7275 650a 2020 2020 2020 7374 6174   true.      stat
│ │ │ +000556a0: 653a 2073 7461 7274 6564 0a20 2020 2020  e: started.     
│ │ │ +000556b0: 206d 6173 6b65 643a 2066 616c 7365 0a20   masked: false. 
│ │ │ +000556c0: 2020 2077 6865 6e3a 0a20 2020 202d 2027     when:.    - '
│ │ │ +000556d0: 2272 7379 736c 6f67 2220 696e 2061 6e73  "rsyslog" in ans
│ │ │ +000556e0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ +000556f0: 6765 7327 0a20 2077 6865 6e3a 2027 226c  ges'.  when: '"l
│ │ │ +00055700: 696e 7578 2d62 6173 6522 2069 6e20 616e  inux-base" in an
│ │ │ +00055710: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ +00055720: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ +00055730: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +00055740: 2d34 2831 290a 2020 2d20 4e49 5354 2d38  -4(1).  - NIST-8
│ │ │ +00055750: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +00055760: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +00055770: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00055780: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00055790: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ +000557a0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ +000557b0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +000557c0: 0a20 202d 2073 6572 7669 6365 5f72 7379  .  - service_rsy
│ │ │ +000557d0: 736c 6f67 5f65 6e61 626c 6564 0a3c 2f63  slog_enabled.</c
│ │ │ +000557e0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +000557f0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +00055800: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +00055810: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +00055820: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +00055830: 6964 6d31 3032 3031 2220 7461 6269 6e64  idm10201" tabind
│ │ │ +00055840: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +00055850: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +00055860: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +00055870: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +00055880: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +00055890: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ +000558a0: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ +000558b0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +000558c0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +000558d0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +000558e0: 646d 3130 3230 3122 3e3c 7461 626c 6520  dm10201"><table 
│ │ │ +000558f0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +00055900: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +00055910: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +00055920: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +00055930: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +00055940: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00055950: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +00055960: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +00055970: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00055980: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +00055990: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +000559a0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +000559b0: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ +000559c0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ +000559d0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ +000559e0: 3e69 6e63 6c75 6465 2065 6e61 626c 655f  >include enable_
│ │ │ +000559f0: 7273 7973 6c6f 670a 0a63 6c61 7373 2065  rsyslog..class e
│ │ │ +00055a00: 6e61 626c 655f 7273 7973 6c6f 6720 7b0a  nable_rsyslog {.
│ │ │ +00055a10: 2020 7365 7276 6963 6520 7b27 7273 7973    service {'rsys
│ │ │ +00055a20: 6c6f 6727 3a0a 2020 2020 656e 6162 6c65  log':.    enable
│ │ │ +00055a30: 203d 2667 743b 2074 7275 652c 0a20 2020   =&gt; true,.   
│ │ │ +00055a40: 2065 6e73 7572 6520 3d26 6774 3b20 2772   ensure =&gt; 'r
│ │ │ +00055a50: 756e 6e69 6e67 272c 0a20 207d 0a7d 0a3c  unning',.  }.}.<
│ │ │ +00055a60: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +00055a70: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +00055a80: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +00055a90: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +00055aa0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +00055ab0: 2223 6964 6d31 3032 3032 2220 7461 6269  "#idm10202" tabi
│ │ │ +00055ac0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00055ad0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00055ae0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00055af0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00055b00: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00055b10: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ +00055b20: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ +00055b30: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00055b40: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +00055b50: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +00055b60: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ +00055b70: 3032 3032 223e 3c70 7265 3e3c 636f 6465  0202"><pre><code
│ │ │ +00055b80: 3e0a 5b63 7573 746f 6d69 7a61 7469 6f6e  >.[customization
│ │ │ +00055b90: 732e 7365 7276 6963 6573 5d0a 656e 6162  s.services].enab
│ │ │ +00055ba0: 6c65 6420 3d20 5b22 7273 7973 6c6f 6722  led = ["rsyslog"
│ │ │ +00055bb0: 5d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ].</code></pre><
│ │ │  00055bc0: 2f64 6976 3e3c 2f64 6976 3e3c 2f74 643e  /div></div></td>
│ │ │  00055bd0: 3c2f 7472 3e3c 2f74 626f 6479 3e3c 2f74  </tr></tbody></t
│ │ │  00055be0: 6162 6c65 3e3c 2f74 643e 3c2f 7472 3e3c  able></td></tr><
│ │ │  00055bf0: 7472 2064 6174 612d 7474 2d69 643d 2263  tr data-tt-id="c
│ │ │  00055c00: 6869 6c64 7265 6e2d 7863 6364 665f 6f72  hildren-xccdf_or
│ │ │  00055c10: 672e 7373 6770 726f 6a65 6374 2e63 6f6e  g.ssgproject.con
│ │ │  00055c20: 7465 6e74 5f67 726f 7570 5f70 6572 6d69  tent_group_permi
│ │ │ @@ -29887,131 +29887,131 @@
│ │ │  00074be0: 7267 6574 3d22 2369 646d 3139 3434 3622  rget="#idm19446"
│ │ │  00074bf0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  00074c00: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │  00074c10: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │  00074c20: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │  00074c30: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │  00074c40: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00074c50: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ -00074c60: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ -00074c70: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00074c80: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00074c90: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00074ca0: 2269 646d 3139 3434 3622 3e3c 7072 653e  "idm19446"><pre>
│ │ │ -00074cb0: 3c63 6f64 653e 0a5b 5b70 6163 6b61 6765  <code>.[[package
│ │ │ -00074cc0: 735d 5d0a 6e61 6d65 203d 2022 6372 6f6e  s]].name = "cron
│ │ │ -00074cd0: 220a 7665 7273 696f 6e20 3d20 222a 220a  ".version = "*".
│ │ │ -00074ce0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -00074cf0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -00074d00: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -00074d10: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -00074d20: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -00074d30: 3d22 2369 646d 3139 3434 3722 2074 6162  ="#idm19447" tab
│ │ │ -00074d40: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -00074d50: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -00074d60: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -00074d70: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -00074d80: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -00074d90: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -00074da0: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -00074db0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00074dc0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00074dd0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00074de0: 3d22 6964 6d31 3934 3437 223e 3c74 6162  ="idm19447"><tab
│ │ │ -00074df0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00074e00: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00074e10: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00074e20: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00074e30: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00074e40: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00074e50: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00074e60: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -00074e70: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00074e80: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -00074e90: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -00074ea0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -00074eb0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00074ec0: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -00074ed0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00074ee0: 6f64 653e 696e 636c 7564 6520 696e 7374  ode>include inst
│ │ │ -00074ef0: 616c 6c5f 6372 6f6e 0a0a 636c 6173 7320  all_cron..class 
│ │ │ -00074f00: 696e 7374 616c 6c5f 6372 6f6e 207b 0a20  install_cron {. 
│ │ │ -00074f10: 2070 6163 6b61 6765 207b 2027 6372 6f6e   package { 'cron
│ │ │ -00074f20: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ -00074f30: 6774 3b20 2769 6e73 7461 6c6c 6564 272c  gt; 'installed',
│ │ │ -00074f40: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │ -00074f50: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ -00074f60: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ -00074f70: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ -00074f80: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ -00074f90: 2d74 6172 6765 743d 2223 6964 6d31 3934  -target="#idm194
│ │ │ -00074fa0: 3438 2220 7461 6269 6e64 6578 3d22 3022  48" tabindex="0"
│ │ │ -00074fb0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ -00074fc0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ -00074fd0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ -00074fe0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ -00074ff0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00075000: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ -00075010: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -00075020: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -00075030: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -00075040: 6170 7365 2220 6964 3d22 6964 6d31 3934  apse" id="idm194
│ │ │ -00075050: 3438 223e 3c74 6162 6c65 2063 6c61 7373  48"><table class
│ │ │ -00075060: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -00075070: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -00075080: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -00075090: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -000750a0: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -000750b0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -000750c0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -000750d0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -000750e0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -000750f0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -00075100: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -00075110: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -00075120: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ -00075130: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ -00075140: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ -00075150: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ -00075160: 6163 6b61 6765 2066 6163 7473 0a20 2070  ackage facts.  p
│ │ │ -00075170: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ -00075180: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ -00075190: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ -000751a0: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -000751b0: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ -000751c0: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ -000751d0: 322e 322e 360a 2020 2d20 656e 6162 6c65  2.2.6.  - enable
│ │ │ -000751e0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ -000751f0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -00075200: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -00075210: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ -00075220: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ -00075230: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ -00075240: 6b61 6765 5f63 726f 6e5f 696e 7374 616c  kage_cron_instal
│ │ │ -00075250: 6c65 640a 0a2d 206e 616d 653a 2045 6e73  led..- name: Ens
│ │ │ -00075260: 7572 6520 6372 6f6e 2069 7320 696e 7374  ure cron is inst
│ │ │ -00075270: 616c 6c65 640a 2020 7061 636b 6167 653a  alled.  package:
│ │ │ -00075280: 0a20 2020 206e 616d 653a 2063 726f 6e0a  .    name: cron.
│ │ │ -00075290: 2020 2020 7374 6174 653a 2070 7265 7365      state: prese
│ │ │ -000752a0: 6e74 0a20 2077 6865 6e3a 2027 226c 696e  nt.  when: '"lin
│ │ │ -000752b0: 7578 2d62 6173 6522 2069 6e20 616e 7369  ux-base" in ansi
│ │ │ -000752c0: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ -000752d0: 6573 270a 2020 7461 6773 3a0a 2020 2d20  es'.  tags:.  - 
│ │ │ -000752e0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -000752f0: 2861 290a 2020 2d20 5043 492d 4453 5376  (a).  - PCI-DSSv
│ │ │ -00075300: 342d 322e 320a 2020 2d20 5043 492d 4453  4-2.2.  - PCI-DS
│ │ │ -00075310: 5376 342d 322e 322e 360a 2020 2d20 656e  Sv4-2.2.6.  - en
│ │ │ -00075320: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -00075330: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -00075340: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -00075350: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -00075360: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -00075370: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -00075380: 2070 6163 6b61 6765 5f63 726f 6e5f 696e   package_cron_in
│ │ │ -00075390: 7374 616c 6c65 640a 3c2f 636f 6465 3e3c  stalled.</code><
│ │ │ +00074c50: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ +00074c60: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00074c70: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00074c80: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00074c90: 6522 2069 643d 2269 646d 3139 3434 3622  e" id="idm19446"
│ │ │ +00074ca0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00074cb0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00074cc0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00074cd0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00074ce0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00074cf0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00074d00: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00074d10: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00074d20: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00074d30: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00074d40: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +00074d50: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +00074d60: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +00074d70: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +00074d80: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00074d90: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +00074da0: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ +00074db0: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ +00074dc0: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ +00074dd0: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ +00074de0: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +00074df0: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +00074e00: 2050 4349 2d44 5353 7634 2d32 2e32 0a20   PCI-DSSv4-2.2. 
│ │ │ +00074e10: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ +00074e20: 2e36 0a20 202d 2065 6e61 626c 655f 7374  .6.  - enable_st
│ │ │ +00074e30: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +00074e40: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +00074e50: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +00074e60: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +00074e70: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +00074e80: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +00074e90: 655f 6372 6f6e 5f69 6e73 7461 6c6c 6564  e_cron_installed
│ │ │ +00074ea0: 0a0a 2d20 6e61 6d65 3a20 456e 7375 7265  ..- name: Ensure
│ │ │ +00074eb0: 2063 726f 6e20 6973 2069 6e73 7461 6c6c   cron is install
│ │ │ +00074ec0: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +00074ed0: 2020 6e61 6d65 3a20 6372 6f6e 0a20 2020    name: cron.   
│ │ │ +00074ee0: 2073 7461 7465 3a20 7072 6573 656e 740a   state: present.
│ │ │ +00074ef0: 2020 7768 656e 3a20 2722 6c69 6e75 782d    when: '"linux-
│ │ │ +00074f00: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ +00074f10: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ +00074f20: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ +00074f30: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +00074f40: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ +00074f50: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ +00074f60: 2d32 2e32 2e36 0a20 202d 2065 6e61 626c  -2.2.6.  - enabl
│ │ │ +00074f70: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +00074f80: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +00074f90: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +00074fa0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ +00074fb0: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ +00074fc0: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ +00074fd0: 636b 6167 655f 6372 6f6e 5f69 6e73 7461  ckage_cron_insta
│ │ │ +00074fe0: 6c6c 6564 0a3c 2f63 6f64 653e 3c2f 7072  lled.</code></pr
│ │ │ +00074ff0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00075000: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00075010: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00075020: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00075030: 6172 6765 743d 2223 6964 6d31 3934 3437  arget="#idm19447
│ │ │ +00075040: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00075050: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00075060: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00075070: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00075080: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +00075090: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +000750a0: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +000750b0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +000750c0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +000750d0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +000750e0: 6522 2069 643d 2269 646d 3139 3434 3722  e" id="idm19447"
│ │ │ +000750f0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00075100: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00075110: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00075120: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00075130: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00075140: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00075150: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00075160: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00075170: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00075180: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +00075190: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +000751a0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +000751b0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +000751c0: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +000751d0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +000751e0: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +000751f0: 2069 6e73 7461 6c6c 5f63 726f 6e0a 0a63   install_cron..c
│ │ │ +00075200: 6c61 7373 2069 6e73 7461 6c6c 5f63 726f  lass install_cro
│ │ │ +00075210: 6e20 7b0a 2020 7061 636b 6167 6520 7b20  n {.  package { 
│ │ │ +00075220: 2763 726f 6e27 3a0a 2020 2020 656e 7375  'cron':.    ensu
│ │ │ +00075230: 7265 203d 2667 743b 2027 696e 7374 616c  re =&gt; 'instal
│ │ │ +00075240: 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  led',.  }.}.</co
│ │ │ +00075250: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ +00075260: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ +00075270: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ +00075280: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ +00075290: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ +000752a0: 646d 3139 3434 3822 2074 6162 696e 6465  dm19448" tabinde
│ │ │ +000752b0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ +000752c0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ +000752d0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ +000752e0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ +000752f0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ +00075300: 656d 6564 6961 7469 6f6e 204f 5342 7569  emediation OSBui
│ │ │ +00075310: 6c64 2042 6c75 6570 7269 6e74 2073 6e69  ld Blueprint sni
│ │ │ +00075320: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +00075330: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00075340: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00075350: 7073 6522 2069 643d 2269 646d 3139 3434  pse" id="idm1944
│ │ │ +00075360: 3822 3e3c 7072 653e 3c63 6f64 653e 0a5b  8"><pre><code>.[
│ │ │ +00075370: 5b70 6163 6b61 6765 735d 5d0a 6e61 6d65  [packages]].name
│ │ │ +00075380: 203d 2022 6372 6f6e 220a 7665 7273 696f   = "cron".versio
│ │ │ +00075390: 6e20 3d20 222a 220a 3c2f 636f 6465 3e3c  n = "*".</code><
│ │ │  000753a0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │  000753b0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │  000753c0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │  000753d0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │  000753e0: 612d 7461 7267 6574 3d22 2369 646d 3139  a-target="#idm19
│ │ │  000753f0: 3434 3922 2074 6162 696e 6465 783d 2230  449" tabindex="0
│ │ │  00075400: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ @@ -30342,96 +30342,96 @@
│ │ │  00076850: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  00076860: 3139 3633 3722 2074 6162 696e 6465 783d  19637" tabindex=
│ │ │  00076870: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │  00076880: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │  00076890: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │  000768a0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │  000768b0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -000768c0: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ -000768d0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -000768e0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -000768f0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00076900: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -00076910: 3936 3337 223e 3c74 6162 6c65 2063 6c61  9637"><table cla
│ │ │ -00076920: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00076930: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00076940: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00076950: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00076960: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00076970: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00076980: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00076990: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -000769a0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -000769b0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -000769c0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -000769d0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -000769e0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -000769f0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00076a00: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ -00076a10: 6e63 6c75 6465 2072 656d 6f76 655f 696e  nclude remove_in
│ │ │ -00076a20: 6574 7574 696c 732d 7465 6c6e 6574 640a  etutils-telnetd.
│ │ │ -00076a30: 0a63 6c61 7373 2072 656d 6f76 655f 696e  .class remove_in
│ │ │ -00076a40: 6574 7574 696c 732d 7465 6c6e 6574 6420  etutils-telnetd 
│ │ │ -00076a50: 7b0a 2020 7061 636b 6167 6520 7b20 2769  {.  package { 'i
│ │ │ -00076a60: 6e65 7475 7469 6c73 2d74 656c 6e65 7464  netutils-telnetd
│ │ │ -00076a70: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ -00076a80: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ -00076a90: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -00076aa0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -00076ab0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -00076ac0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -00076ad0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -00076ae0: 7267 6574 3d22 2369 646d 3139 3633 3822  rget="#idm19638"
│ │ │ -00076af0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -00076b00: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -00076b10: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -00076b20: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -00076b30: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -00076b40: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -00076b50: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ -00076b60: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -00076b70: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00076b80: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -00076b90: 6522 2069 643d 2269 646d 3139 3633 3822  e" id="idm19638"
│ │ │ -00076ba0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00076bb0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00076bc0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00076bd0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00076be0: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00076bf0: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -00076c00: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00076c10: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -00076c20: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -00076c30: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -00076c40: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -00076c50: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -00076c60: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00076c70: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -00076c80: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00076c90: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -00076ca0: 3a20 456e 7375 7265 2069 6e65 7475 7469  : Ensure inetuti
│ │ │ -00076cb0: 6c73 2d74 656c 6e65 7464 2069 7320 7265  ls-telnetd is re
│ │ │ -00076cc0: 6d6f 7665 640a 2020 7061 636b 6167 653a  moved.  package:
│ │ │ -00076cd0: 0a20 2020 206e 616d 653a 2069 6e65 7475  .    name: inetu
│ │ │ -00076ce0: 7469 6c73 2d74 656c 6e65 7464 0a20 2020  tils-telnetd.   
│ │ │ -00076cf0: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ -00076d00: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -00076d10: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -00076d20: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -00076d30: 4d2d 3728 6129 0a20 202d 204e 4953 542d  M-7(a).  - NIST-
│ │ │ -00076d40: 3830 302d 3533 2d43 4d2d 3728 6229 0a20  800-53-CM-7(b). 
│ │ │ -00076d50: 202d 2064 6973 6162 6c65 5f73 7472 6174   - disable_strat
│ │ │ -00076d60: 6567 790a 2020 2d20 6869 6768 5f73 6576  egy.  - high_sev
│ │ │ -00076d70: 6572 6974 790a 2020 2d20 6c6f 775f 636f  erity.  - low_co
│ │ │ -00076d80: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ -00076d90: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ -00076da0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -00076db0: 0a20 202d 2070 6163 6b61 6765 5f69 6e65  .  - package_ine
│ │ │ -00076dc0: 7475 7469 6c73 2d74 656c 6e65 7464 5f72  tutils-telnetd_r
│ │ │ -00076dd0: 656d 6f76 6564 0a3c 2f63 6f64 653e 3c2f  emoved.</code></
│ │ │ +000768c0: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ +000768d0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +000768e0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +000768f0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +00076900: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +00076910: 3139 3633 3722 3e3c 7461 626c 6520 636c  19637"><table cl
│ │ │ +00076920: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +00076930: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +00076940: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +00076950: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +00076960: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +00076970: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +00076980: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +00076990: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +000769a0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +000769b0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +000769c0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +000769d0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +000769e0: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ +000769f0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00076a00: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00076a10: 2d20 6e61 6d65 3a20 456e 7375 7265 2069  - name: Ensure i
│ │ │ +00076a20: 6e65 7475 7469 6c73 2d74 656c 6e65 7464  netutils-telnetd
│ │ │ +00076a30: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ +00076a40: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ +00076a50: 2069 6e65 7475 7469 6c73 2d74 656c 6e65   inetutils-telne
│ │ │ +00076a60: 7464 0a20 2020 2073 7461 7465 3a20 6162  td.    state: ab
│ │ │ +00076a70: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ +00076a80: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +00076a90: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ +00076aa0: 302d 3533 2d43 4d2d 3728 6129 0a20 202d  0-53-CM-7(a).  -
│ │ │ +00076ab0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +00076ac0: 3728 6229 0a20 202d 2064 6973 6162 6c65  7(b).  - disable
│ │ │ +00076ad0: 5f73 7472 6174 6567 790a 2020 2d20 6869  _strategy.  - hi
│ │ │ +00076ae0: 6768 5f73 6576 6572 6974 790a 2020 2d20  gh_severity.  - 
│ │ │ +00076af0: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +00076b00: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +00076b10: 6e0a 2020 2d20 6e6f 5f72 6562 6f6f 745f  n.  - no_reboot_
│ │ │ +00076b20: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ +00076b30: 6765 5f69 6e65 7475 7469 6c73 2d74 656c  ge_inetutils-tel
│ │ │ +00076b40: 6e65 7464 5f72 656d 6f76 6564 0a3c 2f63  netd_removed.</c
│ │ │ +00076b50: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +00076b60: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +00076b70: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +00076b80: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +00076b90: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +00076ba0: 6964 6d31 3936 3338 2220 7461 6269 6e64  idm19638" tabind
│ │ │ +00076bb0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +00076bc0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +00076bd0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +00076be0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +00076bf0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +00076c00: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ +00076c10: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ +00076c20: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ +00076c30: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ +00076c40: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ +00076c50: 646d 3139 3633 3822 3e3c 7461 626c 6520  dm19638"><table 
│ │ │ +00076c60: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ +00076c70: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ +00076c80: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ +00076c90: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ +00076ca0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ +00076cb0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00076cc0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ +00076cd0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ +00076ce0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +00076cf0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ +00076d00: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ +00076d10: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ +00076d20: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ +00076d30: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ +00076d40: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00076d50: 653e 696e 636c 7564 6520 7265 6d6f 7665  e>include remove
│ │ │ +00076d60: 5f69 6e65 7475 7469 6c73 2d74 656c 6e65  _inetutils-telne
│ │ │ +00076d70: 7464 0a0a 636c 6173 7320 7265 6d6f 7665  td..class remove
│ │ │ +00076d80: 5f69 6e65 7475 7469 6c73 2d74 656c 6e65  _inetutils-telne
│ │ │ +00076d90: 7464 207b 0a20 2070 6163 6b61 6765 207b  td {.  package {
│ │ │ +00076da0: 2027 696e 6574 7574 696c 732d 7465 6c6e   'inetutils-teln
│ │ │ +00076db0: 6574 6427 3a0a 2020 2020 656e 7375 7265  etd':.    ensure
│ │ │ +00076dc0: 203d 2667 743b 2027 7075 7267 6564 272c   =&gt; 'purged',
│ │ │ +00076dd0: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │  00076de0: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │  00076df0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │  00076e00: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │  00076e10: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │  00076e20: 2d74 6172 6765 743d 2223 6964 6d31 3936  -target="#idm196
│ │ │  00076e30: 3339 2220 7461 6269 6e64 6578 3d22 3022  39" tabindex="0"
│ │ │  00076e40: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ @@ -30577,86 +30577,86 @@
│ │ │  00077700: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │  00077710: 3936 3436 2220 7461 6269 6e64 6578 3d22  9646" tabindex="
│ │ │  00077720: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │  00077730: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │  00077740: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │  00077750: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │  00077760: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00077770: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ -00077780: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00077790: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -000777a0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -000777b0: 6c61 7073 6522 2069 643d 2269 646d 3139  lapse" id="idm19
│ │ │ -000777c0: 3634 3622 3e3c 7461 626c 6520 636c 6173  646"><table clas
│ │ │ -000777d0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -000777e0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -000777f0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -00077800: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00077810: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00077820: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00077830: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00077840: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00077850: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00077860: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -00077870: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -00077880: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -00077890: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ -000778a0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -000778b0: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -000778c0: 636c 7564 6520 7265 6d6f 7665 5f6e 6973  clude remove_nis
│ │ │ -000778d0: 0a0a 636c 6173 7320 7265 6d6f 7665 5f6e  ..class remove_n
│ │ │ -000778e0: 6973 207b 0a20 2070 6163 6b61 6765 207b  is {.  package {
│ │ │ -000778f0: 2027 6e69 7327 3a0a 2020 2020 656e 7375   'nis':.    ensu
│ │ │ -00077900: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ -00077910: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -00077920: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00077930: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -00077940: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -00077950: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -00077960: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ -00077970: 3936 3437 2220 7461 6269 6e64 6578 3d22  9647" tabindex="
│ │ │ -00077980: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -00077990: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -000779a0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -000779b0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -000779c0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -000779d0: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -000779e0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -000779f0: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00077a00: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00077a10: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -00077a20: 3936 3437 223e 3c74 6162 6c65 2063 6c61  9647"><table cla
│ │ │ -00077a30: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -00077a40: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -00077a50: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -00077a60: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -00077a70: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -00077a80: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -00077a90: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00077aa0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00077ab0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00077ac0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00077ad0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00077ae0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00077af0: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -00077b00: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -00077b10: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -00077b20: 206e 616d 653a 2045 6e73 7572 6520 6e69   name: Ensure ni
│ │ │ -00077b30: 7320 6973 2072 656d 6f76 6564 0a20 2070  s is removed.  p
│ │ │ -00077b40: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ -00077b50: 3a20 6e69 730a 2020 2020 7374 6174 653a  : nis.    state:
│ │ │ -00077b60: 2061 6273 656e 740a 2020 7461 6773 3a0a   absent.  tags:.
│ │ │ -00077b70: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -00077b80: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ -00077b90: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ -00077ba0: 6469 7372 7570 7469 6f6e 0a20 202d 206c  disruption.  - l
│ │ │ -00077bb0: 6f77 5f73 6576 6572 6974 790a 2020 2d20  ow_severity.  - 
│ │ │ -00077bc0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -00077bd0: 0a20 202d 2070 6163 6b61 6765 5f6e 6973  .  - package_nis
│ │ │ -00077be0: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ +00077770: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ +00077780: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +00077790: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +000777a0: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +000777b0: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ +000777c0: 3936 3436 223e 3c74 6162 6c65 2063 6c61  9646"><table cla
│ │ │ +000777d0: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +000777e0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +000777f0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +00077800: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +00077810: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +00077820: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +00077830: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +00077840: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +00077850: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00077860: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +00077870: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +00077880: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +00077890: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ +000778a0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +000778b0: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ +000778c0: 206e 616d 653a 2045 6e73 7572 6520 6e69   name: Ensure ni
│ │ │ +000778d0: 7320 6973 2072 656d 6f76 6564 0a20 2070  s is removed.  p
│ │ │ +000778e0: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ +000778f0: 3a20 6e69 730a 2020 2020 7374 6174 653a  : nis.    state:
│ │ │ +00077900: 2061 6273 656e 740a 2020 7461 6773 3a0a   absent.  tags:.
│ │ │ +00077910: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ +00077920: 7465 6779 0a20 202d 206c 6f77 5f63 6f6d  tegy.  - low_com
│ │ │ +00077930: 706c 6578 6974 790a 2020 2d20 6c6f 775f  plexity.  - low_
│ │ │ +00077940: 6469 7372 7570 7469 6f6e 0a20 202d 206c  disruption.  - l
│ │ │ +00077950: 6f77 5f73 6576 6572 6974 790a 2020 2d20  ow_severity.  - 
│ │ │ +00077960: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ +00077970: 0a20 202d 2070 6163 6b61 6765 5f6e 6973  .  - package_nis
│ │ │ +00077980: 5f72 656d 6f76 6564 0a3c 2f63 6f64 653e  _removed.</code>
│ │ │ +00077990: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +000779a0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +000779b0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +000779c0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +000779d0: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ +000779e0: 3936 3437 2220 7461 6269 6e64 6578 3d22  9647" tabindex="
│ │ │ +000779f0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +00077a00: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +00077a10: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +00077a20: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +00077a30: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +00077a40: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ +00077a50: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00077a60: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +00077a70: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +00077a80: 6c61 7073 6522 2069 643d 2269 646d 3139  lapse" id="idm19
│ │ │ +00077a90: 3634 3722 3e3c 7461 626c 6520 636c 6173  647"><table clas
│ │ │ +00077aa0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +00077ab0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +00077ac0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00077ad0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00077ae0: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00077af0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00077b00: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +00077b10: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +00077b20: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00077b30: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00077b40: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00077b50: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00077b60: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +00077b70: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +00077b80: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ +00077b90: 636c 7564 6520 7265 6d6f 7665 5f6e 6973  clude remove_nis
│ │ │ +00077ba0: 0a0a 636c 6173 7320 7265 6d6f 7665 5f6e  ..class remove_n
│ │ │ +00077bb0: 6973 207b 0a20 2070 6163 6b61 6765 207b  is {.  package {
│ │ │ +00077bc0: 2027 6e69 7327 3a0a 2020 2020 656e 7375   'nis':.    ensu
│ │ │ +00077bd0: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ +00077be0: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │  00077bf0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │  00077c00: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │  00077c10: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │  00077c20: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │  00077c30: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │  00077c40: 3936 3438 2220 7461 6269 6e64 6578 3d22  9648" tabindex="
│ │ │  00077c50: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ @@ -30801,87 +30801,87 @@
│ │ │  00078500: 6574 3d22 2369 646d 3139 3635 3522 2074  et="#idm19655" t
│ │ │  00078510: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │  00078520: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │  00078530: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │  00078540: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │  00078550: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │  00078560: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -00078570: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -00078580: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00078590: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -000785a0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -000785b0: 6964 3d22 6964 6d31 3936 3535 223e 3c74  id="idm19655"><t
│ │ │ -000785c0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -000785d0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -000785e0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -000785f0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -00078600: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -00078610: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -00078620: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00078630: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -00078640: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00078650: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -00078660: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -00078670: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00078680: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -00078690: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ -000786a0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -000786b0: 3e3c 636f 6465 3e69 6e63 6c75 6465 2072  ><code>include r
│ │ │ -000786c0: 656d 6f76 655f 6e74 7064 6174 650a 0a63  emove_ntpdate..c
│ │ │ -000786d0: 6c61 7373 2072 656d 6f76 655f 6e74 7064  lass remove_ntpd
│ │ │ -000786e0: 6174 6520 7b0a 2020 7061 636b 6167 6520  ate {.  package 
│ │ │ -000786f0: 7b20 276e 7470 6461 7465 273a 0a20 2020  { 'ntpdate':.   
│ │ │ -00078700: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ -00078710: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │ -00078720: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -00078730: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00078740: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00078750: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00078760: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00078770: 2369 646d 3139 3635 3622 2074 6162 696e  #idm19656" tabin
│ │ │ -00078780: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -00078790: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -000787a0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -000787b0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -000787c0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -000787d0: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -000787e0: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -000787f0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -00078800: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -00078810: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -00078820: 2269 646d 3139 3635 3622 3e3c 7461 626c  "idm19656"><tabl
│ │ │ -00078830: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00078840: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00078850: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00078860: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00078870: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00078880: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00078890: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -000788a0: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -000788b0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -000788c0: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -000788d0: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -000788e0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -000788f0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -00078900: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -00078910: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -00078920: 6f64 653e 2d20 6e61 6d65 3a20 456e 7375  ode>- name: Ensu
│ │ │ -00078930: 7265 206e 7470 6461 7465 2069 7320 7265  re ntpdate is re
│ │ │ -00078940: 6d6f 7665 640a 2020 7061 636b 6167 653a  moved.  package:
│ │ │ -00078950: 0a20 2020 206e 616d 653a 206e 7470 6461  .    name: ntpda
│ │ │ -00078960: 7465 0a20 2020 2073 7461 7465 3a20 6162  te.    state: ab
│ │ │ -00078970: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ -00078980: 2064 6973 6162 6c65 5f73 7472 6174 6567   disable_strateg
│ │ │ -00078990: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -000789a0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -000789b0: 7275 7074 696f 6e0a 2020 2d20 6c6f 775f  ruption.  - low_
│ │ │ -000789c0: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -000789d0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -000789e0: 2d20 7061 636b 6167 655f 6e74 7064 6174  - package_ntpdat
│ │ │ -000789f0: 655f 7265 6d6f 7665 640a 3c2f 636f 6465  e_removed.</code
│ │ │ +00078570: 2041 6e73 6962 6c65 2073 6e69 7070 6574   Ansible snippet
│ │ │ +00078580: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00078590: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +000785a0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +000785b0: 2069 643d 2269 646d 3139 3635 3522 3e3c   id="idm19655"><
│ │ │ +000785c0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +000785d0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +000785e0: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +000785f0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00078600: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00078610: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00078620: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00078630: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00078640: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00078650: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00078660: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00078670: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00078680: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00078690: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +000786a0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +000786b0: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ +000786c0: 456e 7375 7265 206e 7470 6461 7465 2069  Ensure ntpdate i
│ │ │ +000786d0: 7320 7265 6d6f 7665 640a 2020 7061 636b  s removed.  pack
│ │ │ +000786e0: 6167 653a 0a20 2020 206e 616d 653a 206e  age:.    name: n
│ │ │ +000786f0: 7470 6461 7465 0a20 2020 2073 7461 7465  tpdate.    state
│ │ │ +00078700: 3a20 6162 7365 6e74 0a20 2074 6167 733a  : absent.  tags:
│ │ │ +00078710: 0a20 202d 2064 6973 6162 6c65 5f73 7472  .  - disable_str
│ │ │ +00078720: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +00078730: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +00078740: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +00078750: 6c6f 775f 7365 7665 7269 7479 0a20 202d  low_severity.  -
│ │ │ +00078760: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +00078770: 640a 2020 2d20 7061 636b 6167 655f 6e74  d.  - package_nt
│ │ │ +00078780: 7064 6174 655f 7265 6d6f 7665 640a 3c2f  pdate_removed.</
│ │ │ +00078790: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +000787a0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +000787b0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +000787c0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +000787d0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +000787e0: 2369 646d 3139 3635 3622 2074 6162 696e  #idm19656" tabin
│ │ │ +000787f0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00078800: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00078810: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00078820: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00078830: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00078840: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +00078850: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +00078860: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00078870: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00078880: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00078890: 6964 6d31 3936 3536 223e 3c74 6162 6c65  idm19656"><table
│ │ │ +000788a0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +000788b0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +000788c0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +000788d0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +000788e0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +000788f0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00078900: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00078910: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00078920: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00078930: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00078940: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00078950: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00078960: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +00078970: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +00078980: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00078990: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ +000789a0: 655f 6e74 7064 6174 650a 0a63 6c61 7373  e_ntpdate..class
│ │ │ +000789b0: 2072 656d 6f76 655f 6e74 7064 6174 6520   remove_ntpdate 
│ │ │ +000789c0: 7b0a 2020 7061 636b 6167 6520 7b20 276e  {.  package { 'n
│ │ │ +000789d0: 7470 6461 7465 273a 0a20 2020 2065 6e73  tpdate':.    ens
│ │ │ +000789e0: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ +000789f0: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │  00078a00: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │  00078a10: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │  00078a20: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │  00078a30: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │  00078a40: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  00078a50: 3139 3635 3722 2074 6162 696e 6465 783d  19657" tabindex=
│ │ │  00078a60: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ @@ -31142,94 +31142,94 @@
│ │ │  00079a50: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  00079a60: 6964 6d31 3937 3536 2220 7461 6269 6e64  idm19756" tabind
│ │ │  00079a70: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │  00079a80: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │  00079a90: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │  00079aa0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │  00079ab0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -00079ac0: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ -00079ad0: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ -00079ae0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -00079af0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -00079b00: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -00079b10: 646d 3139 3735 3622 3e3c 7461 626c 6520  dm19756"><table 
│ │ │ -00079b20: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -00079b30: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -00079b40: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -00079b50: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -00079b60: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -00079b70: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00079b80: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -00079b90: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -00079ba0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00079bb0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -00079bc0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -00079bd0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -00079be0: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -00079bf0: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -00079c00: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -00079c10: 653e 696e 636c 7564 6520 7265 6d6f 7665  e>include remove
│ │ │ -00079c20: 5f74 656c 6e65 7464 2d73 736c 0a0a 636c  _telnetd-ssl..cl
│ │ │ -00079c30: 6173 7320 7265 6d6f 7665 5f74 656c 6e65  ass remove_telne
│ │ │ -00079c40: 7464 2d73 736c 207b 0a20 2070 6163 6b61  td-ssl {.  packa
│ │ │ -00079c50: 6765 207b 2027 7465 6c6e 6574 642d 7373  ge { 'telnetd-ss
│ │ │ -00079c60: 6c27 3a0a 2020 2020 656e 7375 7265 203d  l':.    ensure =
│ │ │ -00079c70: 2667 743b 2027 7075 7267 6564 272c 0a20  &gt; 'purged',. 
│ │ │ -00079c80: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ -00079c90: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ -00079ca0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ -00079cb0: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ -00079cc0: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ -00079cd0: 6172 6765 743d 2223 6964 6d31 3937 3537  arget="#idm19757
│ │ │ -00079ce0: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ -00079cf0: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ -00079d00: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ -00079d10: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ -00079d20: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ -00079d30: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -00079d40: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ -00079d50: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00079d60: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00079d70: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00079d80: 7365 2220 6964 3d22 6964 6d31 3937 3537  se" id="idm19757
│ │ │ -00079d90: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00079da0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00079db0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00079dc0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00079dd0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00079de0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00079df0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00079e00: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00079e10: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00079e20: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00079e30: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00079e40: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00079e50: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00079e60: 7468 3e3c 7464 3e64 6973 6162 6c65 3c2f  th><td>disable</
│ │ │ -00079e70: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00079e80: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ -00079e90: 653a 2045 6e73 7572 6520 7465 6c6e 6574  e: Ensure telnet
│ │ │ -00079ea0: 642d 7373 6c20 6973 2072 656d 6f76 6564  d-ssl is removed
│ │ │ -00079eb0: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ -00079ec0: 6e61 6d65 3a20 7465 6c6e 6574 642d 7373  name: telnetd-ss
│ │ │ -00079ed0: 6c0a 2020 2020 7374 6174 653a 2061 6273  l.    state: abs
│ │ │ -00079ee0: 656e 740a 2020 7461 6773 3a0a 2020 2d20  ent.  tags:.  - 
│ │ │ -00079ef0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ -00079f00: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ -00079f10: 2d35 332d 434d 2d37 2861 290a 2020 2d20  -53-CM-7(a).  - 
│ │ │ -00079f20: 4e49 5354 2d38 3030 2d35 332d 434d 2d37  NIST-800-53-CM-7
│ │ │ -00079f30: 2862 290a 2020 2d20 6469 7361 626c 655f  (b).  - disable_
│ │ │ -00079f40: 7374 7261 7465 6779 0a20 202d 2068 6967  strategy.  - hig
│ │ │ -00079f50: 685f 7365 7665 7269 7479 0a20 202d 206c  h_severity.  - l
│ │ │ -00079f60: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -00079f70: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -00079f80: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -00079f90: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ -00079fa0: 655f 7465 6c6e 6574 642d 7373 6c5f 7265  e_telnetd-ssl_re
│ │ │ -00079fb0: 6d6f 7665 640a 3c2f 636f 6465 3e3c 2f70  moved.</code></p
│ │ │ +00079ac0: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ +00079ad0: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ +00079ae0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00079af0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00079b00: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00079b10: 6964 6d31 3937 3536 223e 3c74 6162 6c65  idm19756"><table
│ │ │ +00079b20: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00079b30: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00079b40: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00079b50: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00079b60: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00079b70: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00079b80: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00079b90: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00079ba0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00079bb0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00079bc0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00079bd0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00079be0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +00079bf0: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +00079c00: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00079c10: 6465 3e2d 206e 616d 653a 2045 6e73 7572  de>- name: Ensur
│ │ │ +00079c20: 6520 7465 6c6e 6574 642d 7373 6c20 6973  e telnetd-ssl is
│ │ │ +00079c30: 2072 656d 6f76 6564 0a20 2070 6163 6b61   removed.  packa
│ │ │ +00079c40: 6765 3a0a 2020 2020 6e61 6d65 3a20 7465  ge:.    name: te
│ │ │ +00079c50: 6c6e 6574 642d 7373 6c0a 2020 2020 7374  lnetd-ssl.    st
│ │ │ +00079c60: 6174 653a 2061 6273 656e 740a 2020 7461  ate: absent.  ta
│ │ │ +00079c70: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ +00079c80: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +00079c90: 4e49 5354 2d38 3030 2d35 332d 434d 2d37  NIST-800-53-CM-7
│ │ │ +00079ca0: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ +00079cb0: 2d35 332d 434d 2d37 2862 290a 2020 2d20  -53-CM-7(b).  - 
│ │ │ +00079cc0: 6469 7361 626c 655f 7374 7261 7465 6779  disable_strategy
│ │ │ +00079cd0: 0a20 202d 2068 6967 685f 7365 7665 7269  .  - high_severi
│ │ │ +00079ce0: 7479 0a20 202d 206c 6f77 5f63 6f6d 706c  ty.  - low_compl
│ │ │ +00079cf0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +00079d00: 7372 7570 7469 6f6e 0a20 202d 206e 6f5f  sruption.  - no_
│ │ │ +00079d10: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +00079d20: 2d20 7061 636b 6167 655f 7465 6c6e 6574  - package_telnet
│ │ │ +00079d30: 642d 7373 6c5f 7265 6d6f 7665 640a 3c2f  d-ssl_removed.</
│ │ │ +00079d40: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00079d50: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00079d60: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00079d70: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00079d80: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +00079d90: 2369 646d 3139 3735 3722 2074 6162 696e  #idm19757" tabin
│ │ │ +00079da0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00079db0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00079dc0: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00079dd0: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00079de0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00079df0: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +00079e00: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +00079e10: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00079e20: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00079e30: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00079e40: 6964 6d31 3937 3537 223e 3c74 6162 6c65  idm19757"><table
│ │ │ +00079e50: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00079e60: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00079e70: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00079e80: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00079e90: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00079ea0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00079eb0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00079ec0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00079ed0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00079ee0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +00079ef0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +00079f00: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +00079f10: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +00079f20: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +00079f30: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +00079f40: 6465 3e69 6e63 6c75 6465 2072 656d 6f76  de>include remov
│ │ │ +00079f50: 655f 7465 6c6e 6574 642d 7373 6c0a 0a63  e_telnetd-ssl..c
│ │ │ +00079f60: 6c61 7373 2072 656d 6f76 655f 7465 6c6e  lass remove_teln
│ │ │ +00079f70: 6574 642d 7373 6c20 7b0a 2020 7061 636b  etd-ssl {.  pack
│ │ │ +00079f80: 6167 6520 7b20 2774 656c 6e65 7464 2d73  age { 'telnetd-s
│ │ │ +00079f90: 736c 273a 0a20 2020 2065 6e73 7572 6520  sl':.    ensure 
│ │ │ +00079fa0: 3d26 6774 3b20 2770 7572 6765 6427 2c0a  =&gt; 'purged',.
│ │ │ +00079fb0: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │  00079fc0: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │  00079fd0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │  00079fe0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │  00079ff0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │  0007a000: 7461 7267 6574 3d22 2369 646d 3139 3735  target="#idm1975
│ │ │  0007a010: 3822 2074 6162 696e 6465 783d 2230 2220  8" tabindex="0" 
│ │ │  0007a020: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ @@ -31490,92 +31490,92 @@
│ │ │  0007b010: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  0007b020: 6964 6d31 3938 3536 2220 7461 6269 6e64  idm19856" tabind
│ │ │  0007b030: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │  0007b040: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │  0007b050: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │  0007b060: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │  0007b070: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -0007b080: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ -0007b090: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ -0007b0a0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0007b0b0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0007b0c0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0007b0d0: 646d 3139 3835 3622 3e3c 7461 626c 6520  dm19856"><table 
│ │ │ -0007b0e0: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -0007b0f0: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -0007b100: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -0007b110: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -0007b120: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -0007b130: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0007b140: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -0007b150: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -0007b160: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0007b170: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -0007b180: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -0007b190: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -0007b1a0: 7465 6779 3a3c 2f74 683e 3c74 643e 6469  tegy:</th><td>di
│ │ │ -0007b1b0: 7361 626c 653c 2f74 643e 3c2f 7472 3e3c  sable</td></tr><
│ │ │ -0007b1c0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ -0007b1d0: 653e 696e 636c 7564 6520 7265 6d6f 7665  e>include remove
│ │ │ -0007b1e0: 5f74 656c 6e65 7464 0a0a 636c 6173 7320  _telnetd..class 
│ │ │ -0007b1f0: 7265 6d6f 7665 5f74 656c 6e65 7464 207b  remove_telnetd {
│ │ │ -0007b200: 0a20 2070 6163 6b61 6765 207b 2027 7465  .  package { 'te
│ │ │ -0007b210: 6c6e 6574 6427 3a0a 2020 2020 656e 7375  lnetd':.    ensu
│ │ │ -0007b220: 7265 203d 2667 743b 2027 7075 7267 6564  re =&gt; 'purged
│ │ │ -0007b230: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ -0007b240: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -0007b250: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -0007b260: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -0007b270: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -0007b280: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ -0007b290: 3938 3537 2220 7461 6269 6e64 6578 3d22  9857" tabindex="
│ │ │ -0007b2a0: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -0007b2b0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -0007b2c0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -0007b2d0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -0007b2e0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -0007b2f0: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ -0007b300: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -0007b310: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -0007b320: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -0007b330: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -0007b340: 3938 3537 223e 3c74 6162 6c65 2063 6c61  9857"><table cla
│ │ │ -0007b350: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -0007b360: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -0007b370: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -0007b380: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -0007b390: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -0007b3a0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0007b3b0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -0007b3c0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -0007b3d0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0007b3e0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -0007b3f0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -0007b400: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -0007b410: 793a 3c2f 7468 3e3c 7464 3e64 6973 6162  y:</th><td>disab
│ │ │ -0007b420: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ -0007b430: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ -0007b440: 206e 616d 653a 2045 6e73 7572 6520 7465   name: Ensure te
│ │ │ -0007b450: 6c6e 6574 6420 6973 2072 656d 6f76 6564  lnetd is removed
│ │ │ -0007b460: 0a20 2070 6163 6b61 6765 3a0a 2020 2020  .  package:.    
│ │ │ -0007b470: 6e61 6d65 3a20 7465 6c6e 6574 640a 2020  name: telnetd.  
│ │ │ -0007b480: 2020 7374 6174 653a 2061 6273 656e 740a    state: absent.
│ │ │ -0007b490: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ -0007b4a0: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -0007b4b0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0007b4c0: 434d 2d37 2861 290a 2020 2d20 4e49 5354  CM-7(a).  - NIST
│ │ │ -0007b4d0: 2d38 3030 2d35 332d 434d 2d37 2862 290a  -800-53-CM-7(b).
│ │ │ -0007b4e0: 2020 2d20 6469 7361 626c 655f 7374 7261    - disable_stra
│ │ │ -0007b4f0: 7465 6779 0a20 202d 2068 6967 685f 7365  tegy.  - high_se
│ │ │ -0007b500: 7665 7269 7479 0a20 202d 206c 6f77 5f63  verity.  - low_c
│ │ │ -0007b510: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -0007b520: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -0007b530: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ -0007b540: 640a 2020 2d20 7061 636b 6167 655f 7465  d.  - package_te
│ │ │ -0007b550: 6c6e 6574 645f 7265 6d6f 7665 640a 3c2f  lnetd_removed.</
│ │ │ +0007b080: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ +0007b090: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ +0007b0a0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +0007b0b0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +0007b0c0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +0007b0d0: 6964 6d31 3938 3536 223e 3c74 6162 6c65  idm19856"><table
│ │ │ +0007b0e0: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +0007b0f0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +0007b100: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +0007b110: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +0007b120: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +0007b130: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0007b140: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +0007b150: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +0007b160: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0007b170: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +0007b180: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +0007b190: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +0007b1a0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e64  ategy:</th><td>d
│ │ │ +0007b1b0: 6973 6162 6c65 3c2f 7464 3e3c 2f74 723e  isable</td></tr>
│ │ │ +0007b1c0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ +0007b1d0: 6465 3e2d 206e 616d 653a 2045 6e73 7572  de>- name: Ensur
│ │ │ +0007b1e0: 6520 7465 6c6e 6574 6420 6973 2072 656d  e telnetd is rem
│ │ │ +0007b1f0: 6f76 6564 0a20 2070 6163 6b61 6765 3a0a  oved.  package:.
│ │ │ +0007b200: 2020 2020 6e61 6d65 3a20 7465 6c6e 6574      name: telnet
│ │ │ +0007b210: 640a 2020 2020 7374 6174 653a 2061 6273  d.    state: abs
│ │ │ +0007b220: 656e 740a 2020 7461 6773 3a0a 2020 2d20  ent.  tags:.  - 
│ │ │ +0007b230: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ +0007b240: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ +0007b250: 2d35 332d 434d 2d37 2861 290a 2020 2d20  -53-CM-7(a).  - 
│ │ │ +0007b260: 4e49 5354 2d38 3030 2d35 332d 434d 2d37  NIST-800-53-CM-7
│ │ │ +0007b270: 2862 290a 2020 2d20 6469 7361 626c 655f  (b).  - disable_
│ │ │ +0007b280: 7374 7261 7465 6779 0a20 202d 2068 6967  strategy.  - hig
│ │ │ +0007b290: 685f 7365 7665 7269 7479 0a20 202d 206c  h_severity.  - l
│ │ │ +0007b2a0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +0007b2b0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +0007b2c0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +0007b2d0: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +0007b2e0: 655f 7465 6c6e 6574 645f 7265 6d6f 7665  e_telnetd_remove
│ │ │ +0007b2f0: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +0007b300: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +0007b310: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +0007b320: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +0007b330: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +0007b340: 6574 3d22 2369 646d 3139 3835 3722 2074  et="#idm19857" t
│ │ │ +0007b350: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +0007b360: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +0007b370: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +0007b380: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +0007b390: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +0007b3a0: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +0007b3b0: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ +0007b3c0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +0007b3d0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +0007b3e0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +0007b3f0: 6964 3d22 6964 6d31 3938 3537 223e 3c74  id="idm19857"><t
│ │ │ +0007b400: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +0007b410: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +0007b420: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +0007b430: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +0007b440: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +0007b450: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +0007b460: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0007b470: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +0007b480: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0007b490: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +0007b4a0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +0007b4b0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0007b4c0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +0007b4d0: 7464 3e64 6973 6162 6c65 3c2f 7464 3e3c  td>disable</td><
│ │ │ +0007b4e0: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ +0007b4f0: 3e3c 636f 6465 3e69 6e63 6c75 6465 2072  ><code>include r
│ │ │ +0007b500: 656d 6f76 655f 7465 6c6e 6574 640a 0a63  emove_telnetd..c
│ │ │ +0007b510: 6c61 7373 2072 656d 6f76 655f 7465 6c6e  lass remove_teln
│ │ │ +0007b520: 6574 6420 7b0a 2020 7061 636b 6167 6520  etd {.  package 
│ │ │ +0007b530: 7b20 2774 656c 6e65 7464 273a 0a20 2020  { 'telnetd':.   
│ │ │ +0007b540: 2065 6e73 7572 6520 3d26 6774 3b20 2770   ensure =&gt; 'p
│ │ │ +0007b550: 7572 6765 6427 2c0a 2020 7d0a 7d0a 3c2f  urged',.  }.}.</
│ │ │  0007b560: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │  0007b570: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │  0007b580: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │  0007b590: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │  0007b5a0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │  0007b5b0: 2369 646d 3139 3835 3822 2074 6162 696e  #idm19858" tabin
│ │ │  0007b5c0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ @@ -32072,128 +32072,128 @@
│ │ │  0007d470: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │  0007d480: 3035 3139 2220 7461 6269 6e64 6578 3d22  0519" tabindex="
│ │ │  0007d490: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │  0007d4a0: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │  0007d4b0: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │  0007d4c0: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │  0007d4d0: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -0007d4e0: 6469 6174 696f 6e20 4f53 4275 696c 6420  diation OSBuild 
│ │ │ -0007d4f0: 426c 7565 7072 696e 7420 736e 6970 7065  Blueprint snippe
│ │ │ -0007d500: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0007d510: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0007d520: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0007d530: 2220 6964 3d22 6964 6d32 3035 3139 223e  " id="idm20519">
│ │ │ -0007d540: 3c70 7265 3e3c 636f 6465 3e0a 5b5b 7061  <pre><code>.[[pa
│ │ │ -0007d550: 636b 6167 6573 5d5d 0a6e 616d 6520 3d20  ckages]].name = 
│ │ │ -0007d560: 226e 7470 220a 7665 7273 696f 6e20 3d20  "ntp".version = 
│ │ │ -0007d570: 222a 220a 3c2f 636f 6465 3e3c 2f70 7265  "*".</code></pre
│ │ │ -0007d580: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -0007d590: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -0007d5a0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -0007d5b0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -0007d5c0: 7267 6574 3d22 2369 646d 3230 3532 3022  rget="#idm20520"
│ │ │ -0007d5d0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -0007d5e0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -0007d5f0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -0007d600: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -0007d610: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -0007d620: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -0007d630: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ -0007d640: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0007d650: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0007d660: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0007d670: 2220 6964 3d22 6964 6d32 3035 3230 223e  " id="idm20520">
│ │ │ -0007d680: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -0007d690: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -0007d6a0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -0007d6b0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -0007d6c0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -0007d6d0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -0007d6e0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0007d6f0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -0007d700: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0007d710: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -0007d720: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -0007d730: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -0007d740: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -0007d750: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ -0007d760: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -0007d770: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -0007d780: 696e 7374 616c 6c5f 6e74 700a 0a63 6c61  install_ntp..cla
│ │ │ -0007d790: 7373 2069 6e73 7461 6c6c 5f6e 7470 207b  ss install_ntp {
│ │ │ -0007d7a0: 0a20 2070 6163 6b61 6765 207b 2027 6e74  .  package { 'nt
│ │ │ -0007d7b0: 7027 3a0a 2020 2020 656e 7375 7265 203d  p':.    ensure =
│ │ │ -0007d7c0: 2667 743b 2027 696e 7374 616c 6c65 6427  &gt; 'installed'
│ │ │ -0007d7d0: 2c0a 2020 7d0a 7d0a 3c2f 636f 6465 3e3c  ,.  }.}.</code><
│ │ │ -0007d7e0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ -0007d7f0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ -0007d800: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ -0007d810: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ -0007d820: 612d 7461 7267 6574 3d22 2369 646d 3230  a-target="#idm20
│ │ │ -0007d830: 3532 3122 2074 6162 696e 6465 783d 2230  521" tabindex="0
│ │ │ -0007d840: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ -0007d850: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ -0007d860: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ -0007d870: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ -0007d880: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -0007d890: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ -0007d8a0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -0007d8b0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -0007d8c0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -0007d8d0: 6c61 7073 6522 2069 643d 2269 646d 3230  lapse" id="idm20
│ │ │ -0007d8e0: 3532 3122 3e3c 7461 626c 6520 636c 6173  521"><table clas
│ │ │ -0007d8f0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -0007d900: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -0007d910: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -0007d920: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -0007d930: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -0007d940: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -0007d950: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -0007d960: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -0007d970: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0007d980: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -0007d990: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -0007d9a0: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -0007d9b0: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ -0007d9c0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -0007d9d0: 653e 3c70 7265 3e3c 636f 6465 3e2d 206e  e><pre><code>- n
│ │ │ -0007d9e0: 616d 653a 2047 6174 6865 7220 7468 6520  ame: Gather the 
│ │ │ -0007d9f0: 7061 636b 6167 6520 6661 6374 730a 2020  package facts.  
│ │ │ -0007da00: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ -0007da10: 2020 206d 616e 6167 6572 3a20 6175 746f     manager: auto
│ │ │ -0007da20: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -0007da30: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -0007da40: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -0007da50: 2d31 302e 340a 2020 2d20 656e 6162 6c65  -10.4.  - enable
│ │ │ -0007da60: 5f73 7472 6174 6567 790a 2020 2d20 6869  _strategy.  - hi
│ │ │ -0007da70: 6768 5f73 6576 6572 6974 790a 2020 2d20  gh_severity.  - 
│ │ │ -0007da80: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -0007da90: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -0007daa0: 6e0a 2020 2d20 6e6f 5f72 6562 6f6f 745f  n.  - no_reboot_
│ │ │ -0007dab0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -0007dac0: 6765 5f6e 7470 5f69 6e73 7461 6c6c 6564  ge_ntp_installed
│ │ │ -0007dad0: 0a0a 2d20 6e61 6d65 3a20 456e 7375 7265  ..- name: Ensure
│ │ │ -0007dae0: 206e 7470 2069 7320 696e 7374 616c 6c65   ntp is installe
│ │ │ -0007daf0: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ -0007db00: 206e 616d 653a 206e 7470 0a20 2020 2073   name: ntp.    s
│ │ │ -0007db10: 7461 7465 3a20 7072 6573 656e 740a 2020  tate: present.  
│ │ │ -0007db20: 7768 656e 3a20 2722 6c69 6e75 782d 6261  when: '"linux-ba
│ │ │ -0007db30: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ -0007db40: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -0007db50: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -0007db60: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -0007db70: 202d 2050 4349 2d44 5353 2d52 6571 2d31   - PCI-DSS-Req-1
│ │ │ -0007db80: 302e 340a 2020 2d20 656e 6162 6c65 5f73  0.4.  - enable_s
│ │ │ -0007db90: 7472 6174 6567 790a 2020 2d20 6869 6768  trategy.  - high
│ │ │ -0007dba0: 5f73 6576 6572 6974 790a 2020 2d20 6c6f  _severity.  - lo
│ │ │ -0007dbb0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ -0007dbc0: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ -0007dbd0: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ -0007dbe0: 6564 6564 0a20 202d 2070 6163 6b61 6765  eded.  - package
│ │ │ -0007dbf0: 5f6e 7470 5f69 6e73 7461 6c6c 6564 0a3c  _ntp_installed.<
│ │ │ +0007d4e0: 6469 6174 696f 6e20 416e 7369 626c 6520  diation Ansible 
│ │ │ +0007d4f0: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +0007d500: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +0007d510: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +0007d520: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ +0007d530: 3035 3139 223e 3c74 6162 6c65 2063 6c61  0519"><table cla
│ │ │ +0007d540: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ +0007d550: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ +0007d560: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ +0007d570: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ +0007d580: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ +0007d590: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0007d5a0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ +0007d5b0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ +0007d5c0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +0007d5d0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ +0007d5e0: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ +0007d5f0: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ +0007d600: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ +0007d610: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +0007d620: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ +0007d630: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ +0007d640: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ +0007d650: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ +0007d660: 2020 2020 6d61 6e61 6765 723a 2061 7574      manager: aut
│ │ │ +0007d670: 6f0a 2020 7461 6773 3a0a 2020 2d20 4e49  o.  tags:.  - NI
│ │ │ +0007d680: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +0007d690: 290a 2020 2d20 5043 492d 4453 532d 5265  ).  - PCI-DSS-Re
│ │ │ +0007d6a0: 712d 3130 2e34 0a20 202d 2065 6e61 626c  q-10.4.  - enabl
│ │ │ +0007d6b0: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ +0007d6c0: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ +0007d6d0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +0007d6e0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +0007d6f0: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ +0007d700: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +0007d710: 6167 655f 6e74 705f 696e 7374 616c 6c65  age_ntp_installe
│ │ │ +0007d720: 640a 0a2d 206e 616d 653a 2045 6e73 7572  d..- name: Ensur
│ │ │ +0007d730: 6520 6e74 7020 6973 2069 6e73 7461 6c6c  e ntp is install
│ │ │ +0007d740: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +0007d750: 2020 6e61 6d65 3a20 6e74 700a 2020 2020    name: ntp.    
│ │ │ +0007d760: 7374 6174 653a 2070 7265 7365 6e74 0a20  state: present. 
│ │ │ +0007d770: 2077 6865 6e3a 2027 226c 696e 7578 2d62   when: '"linux-b
│ │ │ +0007d780: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ +0007d790: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +0007d7a0: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +0007d7b0: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ +0007d7c0: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ +0007d7d0: 3130 2e34 0a20 202d 2065 6e61 626c 655f  10.4.  - enable_
│ │ │ +0007d7e0: 7374 7261 7465 6779 0a20 202d 2068 6967  strategy.  - hig
│ │ │ +0007d7f0: 685f 7365 7665 7269 7479 0a20 202d 206c  h_severity.  - l
│ │ │ +0007d800: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +0007d810: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +0007d820: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +0007d830: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ +0007d840: 655f 6e74 705f 696e 7374 616c 6c65 640a  e_ntp_installed.
│ │ │ +0007d850: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ +0007d860: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ +0007d870: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ +0007d880: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ +0007d890: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ +0007d8a0: 3d22 2369 646d 3230 3532 3022 2074 6162  ="#idm20520" tab
│ │ │ +0007d8b0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ +0007d8c0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ +0007d8d0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ +0007d8e0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ +0007d8f0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ +0007d900: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ +0007d910: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ +0007d920: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +0007d930: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +0007d940: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +0007d950: 3d22 6964 6d32 3035 3230 223e 3c74 6162  ="idm20520"><tab
│ │ │ +0007d960: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +0007d970: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +0007d980: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +0007d990: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +0007d9a0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +0007d9b0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +0007d9c0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +0007d9d0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +0007d9e0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +0007d9f0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +0007da00: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +0007da10: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +0007da20: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +0007da30: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +0007da40: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +0007da50: 6f64 653e 696e 636c 7564 6520 696e 7374  ode>include inst
│ │ │ +0007da60: 616c 6c5f 6e74 700a 0a63 6c61 7373 2069  all_ntp..class i
│ │ │ +0007da70: 6e73 7461 6c6c 5f6e 7470 207b 0a20 2070  nstall_ntp {.  p
│ │ │ +0007da80: 6163 6b61 6765 207b 2027 6e74 7027 3a0a  ackage { 'ntp':.
│ │ │ +0007da90: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ +0007daa0: 2027 696e 7374 616c 6c65 6427 2c0a 2020   'installed',.  
│ │ │ +0007dab0: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ +0007dac0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +0007dad0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +0007dae0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +0007daf0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +0007db00: 7267 6574 3d22 2369 646d 3230 3532 3122  rget="#idm20521"
│ │ │ +0007db10: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +0007db20: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +0007db30: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +0007db40: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +0007db50: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +0007db60: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +0007db70: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ +0007db80: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ +0007db90: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +0007dba0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +0007dbb0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +0007dbc0: 2269 646d 3230 3532 3122 3e3c 7072 653e  "idm20521"><pre>
│ │ │ +0007dbd0: 3c63 6f64 653e 0a5b 5b70 6163 6b61 6765  <code>.[[package
│ │ │ +0007dbe0: 735d 5d0a 6e61 6d65 203d 2022 6e74 7022  s]].name = "ntp"
│ │ │ +0007dbf0: 0a76 6572 7369 6f6e 203d 2022 2a22 0a3c  .version = "*".<
│ │ │  0007dc00: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  0007dc10: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │  0007dc20: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │  0007dc30: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │  0007dc40: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  0007dc50: 2223 6964 6d32 3035 3232 2220 7461 6269  "#idm20522" tabi
│ │ │  0007dc60: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ @@ -32473,157 +32473,157 @@
│ │ │  0007ed80: 743d 2223 6964 6d32 3036 3631 2220 7461  t="#idm20661" ta
│ │ │  0007ed90: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  0007eda0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │  0007edb0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │  0007edc0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │  0007edd0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │  0007ede0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -0007edf0: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ -0007ee00: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -0007ee10: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0007ee20: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0007ee30: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0007ee40: 6d32 3036 3631 223e 3c70 7265 3e3c 636f  m20661"><pre><co
│ │ │ -0007ee50: 6465 3e0a 5b63 7573 746f 6d69 7a61 7469  de>.[customizati
│ │ │ -0007ee60: 6f6e 732e 7365 7276 6963 6573 5d0a 656e  ons.services].en
│ │ │ -0007ee70: 6162 6c65 6420 3d20 5b22 6e74 7022 5d0a  abled = ["ntp"].
│ │ │ -0007ee80: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -0007ee90: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -0007eea0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -0007eeb0: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -0007eec0: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -0007eed0: 3d22 2369 646d 3230 3636 3222 2074 6162  ="#idm20662" tab
│ │ │ -0007eee0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -0007eef0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -0007ef00: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -0007ef10: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -0007ef20: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -0007ef30: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -0007ef40: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -0007ef50: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -0007ef60: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -0007ef70: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -0007ef80: 3d22 6964 6d32 3036 3632 223e 3c74 6162  ="idm20662"><tab
│ │ │ -0007ef90: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -0007efa0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -0007efb0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -0007efc0: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -0007efd0: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -0007efe0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0007eff0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -0007f000: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -0007f010: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -0007f020: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -0007f030: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -0007f040: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -0007f050: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -0007f060: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ -0007f070: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -0007f080: 6f64 653e 696e 636c 7564 6520 656e 6162  ode>include enab
│ │ │ -0007f090: 6c65 5f6e 7470 0a0a 636c 6173 7320 656e  le_ntp..class en
│ │ │ -0007f0a0: 6162 6c65 5f6e 7470 207b 0a20 2073 6572  able_ntp {.  ser
│ │ │ -0007f0b0: 7669 6365 207b 276e 7470 273a 0a20 2020  vice {'ntp':.   
│ │ │ -0007f0c0: 2065 6e61 626c 6520 3d26 6774 3b20 7472   enable =&gt; tr
│ │ │ -0007f0d0: 7565 2c0a 2020 2020 656e 7375 7265 203d  ue,.    ensure =
│ │ │ -0007f0e0: 2667 743b 2027 7275 6e6e 696e 6727 2c0a  &gt; 'running',.
│ │ │ -0007f0f0: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -0007f100: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -0007f110: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -0007f120: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -0007f130: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -0007f140: 7461 7267 6574 3d22 2369 646d 3230 3636  target="#idm2066
│ │ │ -0007f150: 3322 2074 6162 696e 6465 783d 2230 2220  3" tabindex="0" 
│ │ │ -0007f160: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -0007f170: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -0007f180: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -0007f190: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -0007f1a0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -0007f1b0: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -0007f1c0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -0007f1d0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -0007f1e0: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -0007f1f0: 7073 6522 2069 643d 2269 646d 3230 3636  pse" id="idm2066
│ │ │ -0007f200: 3322 3e3c 7461 626c 6520 636c 6173 733d  3"><table class=
│ │ │ -0007f210: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -0007f220: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -0007f230: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -0007f240: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -0007f250: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -0007f260: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0007f270: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -0007f280: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0007f290: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -0007f2a0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -0007f2b0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -0007f2c0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -0007f2d0: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ -0007f2e0: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -0007f2f0: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ -0007f300: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ -0007f310: 636b 6167 6520 6661 6374 730a 2020 7061  ckage facts.  pa
│ │ │ -0007f320: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ -0007f330: 206d 616e 6167 6572 3a20 6175 746f 0a20   manager: auto. 
│ │ │ -0007f340: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -0007f350: 3830 302d 3533 2d41 552d 3828 3129 2861  800-53-AU-8(1)(a
│ │ │ -0007f360: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -0007f370: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ -0007f380: 492d 4453 532d 5265 712d 3130 2e34 0a20  I-DSS-Req-10.4. 
│ │ │ -0007f390: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ -0007f3a0: 360a 2020 2d20 5043 492d 4453 5376 342d  6.  - PCI-DSSv4-
│ │ │ -0007f3b0: 3130 2e36 2e31 0a20 202d 2065 6e61 626c  10.6.1.  - enabl
│ │ │ -0007f3c0: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ -0007f3d0: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ -0007f3e0: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -0007f3f0: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -0007f400: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ -0007f410: 5f6e 6565 6465 640a 2020 2d20 7365 7276  _needed.  - serv
│ │ │ -0007f420: 6963 655f 6e74 705f 656e 6162 6c65 640a  ice_ntp_enabled.
│ │ │ -0007f430: 0a2d 206e 616d 653a 2045 6e61 626c 6520  .- name: Enable 
│ │ │ -0007f440: 7468 6520 4e54 5020 4461 656d 6f6e 202d  the NTP Daemon -
│ │ │ -0007f450: 2045 6e61 626c 6520 7365 7276 6963 6520   Enable service 
│ │ │ -0007f460: 6e74 700a 2020 626c 6f63 6b3a 0a0a 2020  ntp.  block:..  
│ │ │ -0007f470: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ -0007f480: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ -0007f490: 0a20 2020 2070 6163 6b61 6765 5f66 6163  .    package_fac
│ │ │ -0007f4a0: 7473 3a0a 2020 2020 2020 6d61 6e61 6765  ts:.      manage
│ │ │ -0007f4b0: 723a 2061 7574 6f0a 0a20 202d 206e 616d  r: auto..  - nam
│ │ │ -0007f4c0: 653a 2045 6e61 626c 6520 7468 6520 4e54  e: Enable the NT
│ │ │ -0007f4d0: 5020 4461 656d 6f6e 202d 2045 6e61 626c  P Daemon - Enabl
│ │ │ -0007f4e0: 6520 5365 7276 6963 6520 6e74 700a 2020  e Service ntp.  
│ │ │ -0007f4f0: 2020 616e 7369 626c 652e 6275 696c 7469    ansible.builti
│ │ │ -0007f500: 6e2e 7379 7374 656d 643a 0a20 2020 2020  n.systemd:.     
│ │ │ -0007f510: 206e 616d 653a 206e 7470 0a20 2020 2020   name: ntp.     
│ │ │ -0007f520: 2065 6e61 626c 6564 3a20 7472 7565 0a20   enabled: true. 
│ │ │ -0007f530: 2020 2020 2073 7461 7465 3a20 7374 6172       state: star
│ │ │ -0007f540: 7465 640a 2020 2020 2020 6d61 736b 6564  ted.      masked
│ │ │ -0007f550: 3a20 6661 6c73 650a 2020 2020 7768 656e  : false.    when
│ │ │ -0007f560: 3a0a 2020 2020 2d20 2722 6e74 7022 2069  :.    - '"ntp" i
│ │ │ -0007f570: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ -0007f580: 7061 636b 6167 6573 270a 2020 7768 656e  packages'.  when
│ │ │ -0007f590: 3a0a 2020 2d20 2722 6c69 6e75 782d 6261  :.  - '"linux-ba
│ │ │ -0007f5a0: 7365 2220 696e 2061 6e73 6962 6c65 5f66  se" in ansible_f
│ │ │ -0007f5b0: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -0007f5c0: 202d 2027 226e 7470 2220 696e 2061 6e73   - '"ntp" in ans
│ │ │ -0007f5d0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ -0007f5e0: 6765 7327 0a20 2074 6167 733a 0a20 202d  ges'.  tags:.  -
│ │ │ -0007f5f0: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -0007f600: 3828 3129 2861 290a 2020 2d20 4e49 5354  8(1)(a).  - NIST
│ │ │ -0007f610: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -0007f620: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ -0007f630: 3130 2e34 0a20 202d 2050 4349 2d44 5353  10.4.  - PCI-DSS
│ │ │ -0007f640: 7634 2d31 302e 360a 2020 2d20 5043 492d  v4-10.6.  - PCI-
│ │ │ -0007f650: 4453 5376 342d 3130 2e36 2e31 0a20 202d  DSSv4-10.6.1.  -
│ │ │ -0007f660: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -0007f670: 0a20 202d 2068 6967 685f 7365 7665 7269  .  - high_severi
│ │ │ -0007f680: 7479 0a20 202d 206c 6f77 5f63 6f6d 706c  ty.  - low_compl
│ │ │ -0007f690: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -0007f6a0: 7372 7570 7469 6f6e 0a20 202d 206e 6f5f  sruption.  - no_
│ │ │ -0007f6b0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -0007f6c0: 2d20 7365 7276 6963 655f 6e74 705f 656e  - service_ntp_en
│ │ │ -0007f6d0: 6162 6c65 640a 3c2f 636f 6465 3e3c 2f70  abled.</code></p
│ │ │ +0007edf0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ +0007ee00: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +0007ee10: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +0007ee20: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +0007ee30: 6964 3d22 6964 6d32 3036 3631 223e 3c74  id="idm20661"><t
│ │ │ +0007ee40: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +0007ee50: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +0007ee60: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +0007ee70: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +0007ee80: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +0007ee90: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +0007eea0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0007eeb0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +0007eec0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0007eed0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +0007eee0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +0007eef0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0007ef00: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +0007ef10: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +0007ef20: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +0007ef30: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ +0007ef40: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ +0007ef50: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ +0007ef60: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ +0007ef70: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ +0007ef80: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +0007ef90: 332d 4155 2d38 2831 2928 6129 0a20 202d  3-AU-8(1)(a).  -
│ │ │ +0007efa0: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ +0007efb0: 3628 6129 0a20 202d 2050 4349 2d44 5353  6(a).  - PCI-DSS
│ │ │ +0007efc0: 2d52 6571 2d31 302e 340a 2020 2d20 5043  -Req-10.4.  - PC
│ │ │ +0007efd0: 492d 4453 5376 342d 3130 2e36 0a20 202d  I-DSSv4-10.6.  -
│ │ │ +0007efe0: 2050 4349 2d44 5353 7634 2d31 302e 362e   PCI-DSSv4-10.6.
│ │ │ +0007eff0: 310a 2020 2d20 656e 6162 6c65 5f73 7472  1.  - enable_str
│ │ │ +0007f000: 6174 6567 790a 2020 2d20 6869 6768 5f73  ategy.  - high_s
│ │ │ +0007f010: 6576 6572 6974 790a 2020 2d20 6c6f 775f  everity.  - low_
│ │ │ +0007f020: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +0007f030: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +0007f040: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +0007f050: 6564 0a20 202d 2073 6572 7669 6365 5f6e  ed.  - service_n
│ │ │ +0007f060: 7470 5f65 6e61 626c 6564 0a0a 2d20 6e61  tp_enabled..- na
│ │ │ +0007f070: 6d65 3a20 456e 6162 6c65 2074 6865 204e  me: Enable the N
│ │ │ +0007f080: 5450 2044 6165 6d6f 6e20 2d20 456e 6162  TP Daemon - Enab
│ │ │ +0007f090: 6c65 2073 6572 7669 6365 206e 7470 0a20  le service ntp. 
│ │ │ +0007f0a0: 2062 6c6f 636b 3a0a 0a20 202d 206e 616d   block:..  - nam
│ │ │ +0007f0b0: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ +0007f0c0: 636b 6167 6520 6661 6374 730a 2020 2020  ckage facts.    
│ │ │ +0007f0d0: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ +0007f0e0: 2020 2020 206d 616e 6167 6572 3a20 6175       manager: au
│ │ │ +0007f0f0: 746f 0a0a 2020 2d20 6e61 6d65 3a20 456e  to..  - name: En
│ │ │ +0007f100: 6162 6c65 2074 6865 204e 5450 2044 6165  able the NTP Dae
│ │ │ +0007f110: 6d6f 6e20 2d20 456e 6162 6c65 2053 6572  mon - Enable Ser
│ │ │ +0007f120: 7669 6365 206e 7470 0a20 2020 2061 6e73  vice ntp.    ans
│ │ │ +0007f130: 6962 6c65 2e62 7569 6c74 696e 2e73 7973  ible.builtin.sys
│ │ │ +0007f140: 7465 6d64 3a0a 2020 2020 2020 6e61 6d65  temd:.      name
│ │ │ +0007f150: 3a20 6e74 700a 2020 2020 2020 656e 6162  : ntp.      enab
│ │ │ +0007f160: 6c65 643a 2074 7275 650a 2020 2020 2020  led: true.      
│ │ │ +0007f170: 7374 6174 653a 2073 7461 7274 6564 0a20  state: started. 
│ │ │ +0007f180: 2020 2020 206d 6173 6b65 643a 2066 616c       masked: fal
│ │ │ +0007f190: 7365 0a20 2020 2077 6865 6e3a 0a20 2020  se.    when:.   
│ │ │ +0007f1a0: 202d 2027 226e 7470 2220 696e 2061 6e73   - '"ntp" in ans
│ │ │ +0007f1b0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ +0007f1c0: 6765 7327 0a20 2077 6865 6e3a 0a20 202d  ges'.  when:.  -
│ │ │ +0007f1d0: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ +0007f1e0: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ +0007f1f0: 7061 636b 6167 6573 270a 2020 2d20 2722  packages'.  - '"
│ │ │ +0007f200: 6e74 7022 2069 6e20 616e 7369 626c 655f  ntp" in ansible_
│ │ │ +0007f210: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +0007f220: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +0007f230: 2d38 3030 2d35 332d 4155 2d38 2831 2928  -800-53-AU-8(1)(
│ │ │ +0007f240: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +0007f250: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ +0007f260: 4349 2d44 5353 2d52 6571 2d31 302e 340a  CI-DSS-Req-10.4.
│ │ │ +0007f270: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ +0007f280: 2e36 0a20 202d 2050 4349 2d44 5353 7634  .6.  - PCI-DSSv4
│ │ │ +0007f290: 2d31 302e 362e 310a 2020 2d20 656e 6162  -10.6.1.  - enab
│ │ │ +0007f2a0: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +0007f2b0: 6869 6768 5f73 6576 6572 6974 790a 2020  high_severity.  
│ │ │ +0007f2c0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +0007f2d0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +0007f2e0: 696f 6e0a 2020 2d20 6e6f 5f72 6562 6f6f  ion.  - no_reboo
│ │ │ +0007f2f0: 745f 6e65 6564 6564 0a20 202d 2073 6572  t_needed.  - ser
│ │ │ +0007f300: 7669 6365 5f6e 7470 5f65 6e61 626c 6564  vice_ntp_enabled
│ │ │ +0007f310: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ +0007f320: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ +0007f330: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ +0007f340: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ +0007f350: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ +0007f360: 743d 2223 6964 6d32 3036 3632 2220 7461  t="#idm20662" ta
│ │ │ +0007f370: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ +0007f380: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ +0007f390: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ +0007f3a0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ +0007f3b0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ +0007f3c0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ +0007f3d0: 5075 7070 6574 2073 6e69 7070 6574 20e2  Puppet snippet .
│ │ │ +0007f3e0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +0007f3f0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +0007f400: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +0007f410: 643d 2269 646d 3230 3636 3222 3e3c 7461  d="idm20662"><ta
│ │ │ +0007f420: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +0007f430: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +0007f440: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +0007f450: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +0007f460: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +0007f470: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +0007f480: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0007f490: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +0007f4a0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0007f4b0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +0007f4c0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +0007f4d0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0007f4e0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +0007f4f0: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ +0007f500: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +0007f510: 636f 6465 3e69 6e63 6c75 6465 2065 6e61  code>include ena
│ │ │ +0007f520: 626c 655f 6e74 700a 0a63 6c61 7373 2065  ble_ntp..class e
│ │ │ +0007f530: 6e61 626c 655f 6e74 7020 7b0a 2020 7365  nable_ntp {.  se
│ │ │ +0007f540: 7276 6963 6520 7b27 6e74 7027 3a0a 2020  rvice {'ntp':.  
│ │ │ +0007f550: 2020 656e 6162 6c65 203d 2667 743b 2074    enable =&gt; t
│ │ │ +0007f560: 7275 652c 0a20 2020 2065 6e73 7572 6520  rue,.    ensure 
│ │ │ +0007f570: 3d26 6774 3b20 2772 756e 6e69 6e67 272c  =&gt; 'running',
│ │ │ +0007f580: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │ +0007f590: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +0007f5a0: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +0007f5b0: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +0007f5c0: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +0007f5d0: 2d74 6172 6765 743d 2223 6964 6d32 3036  -target="#idm206
│ │ │ +0007f5e0: 3633 2220 7461 6269 6e64 6578 3d22 3022  63" tabindex="0"
│ │ │ +0007f5f0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +0007f600: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +0007f610: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +0007f620: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +0007f630: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +0007f640: 6174 696f 6e20 4f53 4275 696c 6420 426c  ation OSBuild Bl
│ │ │ +0007f650: 7565 7072 696e 7420 736e 6970 7065 7420  ueprint snippet 
│ │ │ +0007f660: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +0007f670: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +0007f680: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +0007f690: 6964 3d22 6964 6d32 3036 3633 223e 3c70  id="idm20663"><p
│ │ │ +0007f6a0: 7265 3e3c 636f 6465 3e0a 5b63 7573 746f  re><code>.[custo
│ │ │ +0007f6b0: 6d69 7a61 7469 6f6e 732e 7365 7276 6963  mizations.servic
│ │ │ +0007f6c0: 6573 5d0a 656e 6162 6c65 6420 3d20 5b22  es].enabled = ["
│ │ │ +0007f6d0: 6e74 7022 5d0a 3c2f 636f 6465 3e3c 2f70  ntp"].</code></p
│ │ │  0007f6e0: 7265 3e3c 2f64 6976 3e3c 2f64 6976 3e3c  re></div></div><
│ │ │  0007f6f0: 2f74 643e 3c2f 7472 3e3c 2f74 626f 6479  /td></tr></tbody
│ │ │  0007f700: 3e3c 2f74 6162 6c65 3e3c 2f74 643e 3c2f  ></table></td></
│ │ │  0007f710: 7472 3e3c 7472 2064 6174 612d 7474 2d69  tr><tr data-tt-i
│ │ │  0007f720: 643d 2263 6869 6c64 7265 6e2d 7863 6364  d="children-xccd
│ │ │  0007f730: 665f 6f72 672e 7373 6770 726f 6a65 6374  f_org.ssgproject
│ │ │  0007f740: 2e63 6f6e 7465 6e74 5f67 726f 7570 5f73  .content_group_s
│ │ │ @@ -36215,153 +36215,153 @@
│ │ │  0008d760: 6172 6765 743d 2223 6964 6d32 3436 3437  arget="#idm24647
│ │ │  0008d770: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │  0008d780: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │  0008d790: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │  0008d7a0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │  0008d7b0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │  0008d7c0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ -0008d7d0: 696f 6e20 4f53 4275 696c 6420 426c 7565  ion OSBuild Blue
│ │ │ -0008d7e0: 7072 696e 7420 736e 6970 7065 7420 e287  print snippet ..
│ │ │ -0008d7f0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -0008d800: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -0008d810: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -0008d820: 3d22 6964 6d32 3436 3437 223e 3c70 7265  ="idm24647"><pre
│ │ │ -0008d830: 3e3c 636f 6465 3e0a 5b5b 7061 636b 6167  ><code>.[[packag
│ │ │ -0008d840: 6573 5d5d 0a6e 616d 6520 3d20 2261 7564  es]].name = "aud
│ │ │ -0008d850: 6974 6422 0a76 6572 7369 6f6e 203d 2022  itd".version = "
│ │ │ -0008d860: 2a22 0a3c 2f63 6f64 653e 3c2f 7072 653e  *".</code></pre>
│ │ │ -0008d870: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -0008d880: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -0008d890: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -0008d8a0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -0008d8b0: 6765 743d 2223 6964 6d32 3436 3438 2220  get="#idm24648" 
│ │ │ -0008d8c0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -0008d8d0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -0008d8e0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -0008d8f0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -0008d900: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -0008d910: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0008d920: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -0008d930: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -0008d940: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -0008d950: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -0008d960: 2069 643d 2269 646d 3234 3634 3822 3e3c   id="idm24648"><
│ │ │ -0008d970: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -0008d980: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -0008d990: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -0008d9a0: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -0008d9b0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -0008d9c0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -0008d9d0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0008d9e0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -0008d9f0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0008da00: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -0008da10: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -0008da20: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0008da30: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -0008da40: 3c74 643e 656e 6162 6c65 3c2f 7464 3e3c  <td>enable</td><
│ │ │ -0008da50: 2f74 723e 3c2f 7461 626c 653e 3c70 7265  /tr></table><pre
│ │ │ -0008da60: 3e3c 636f 6465 3e69 6e63 6c75 6465 2069  ><code>include i
│ │ │ -0008da70: 6e73 7461 6c6c 5f61 7564 6974 640a 0a63  nstall_auditd..c
│ │ │ -0008da80: 6c61 7373 2069 6e73 7461 6c6c 5f61 7564  lass install_aud
│ │ │ -0008da90: 6974 6420 7b0a 2020 7061 636b 6167 6520  itd {.  package 
│ │ │ -0008daa0: 7b20 2761 7564 6974 6427 3a0a 2020 2020  { 'auditd':.    
│ │ │ -0008dab0: 656e 7375 7265 203d 2667 743b 2027 696e  ensure =&gt; 'in
│ │ │ -0008dac0: 7374 616c 6c65 6427 2c0a 2020 7d0a 7d0a  stalled',.  }.}.
│ │ │ -0008dad0: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │ -0008dae0: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │ -0008daf0: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │ -0008db00: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │ -0008db10: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │ -0008db20: 3d22 2369 646d 3234 3634 3922 2074 6162  ="#idm24649" tab
│ │ │ -0008db30: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ -0008db40: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │ -0008db50: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │ -0008db60: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │ -0008db70: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -0008db80: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ -0008db90: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ -0008dba0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ -0008dbb0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ -0008dbc0: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ -0008dbd0: 643d 2269 646d 3234 3634 3922 3e3c 7461  d="idm24649"><ta
│ │ │ -0008dbe0: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ -0008dbf0: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ -0008dc00: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ -0008dc10: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ -0008dc20: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ -0008dc30: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ -0008dc40: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0008dc50: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ -0008dc60: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0008dc70: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ -0008dc80: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ -0008dc90: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -0008dca0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ -0008dcb0: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ -0008dcc0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -0008dcd0: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ -0008dce0: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ -0008dcf0: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ -0008dd00: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ -0008dd10: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ -0008dd20: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -0008dd30: 2d41 432d 3728 6129 0a20 202d 204e 4953  -AC-7(a).  - NIS
│ │ │ -0008dd40: 542d 3830 302d 3533 2d41 552d 3132 2832  T-800-53-AU-12(2
│ │ │ -0008dd50: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -0008dd60: 332d 4155 2d31 340a 2020 2d20 4e49 5354  3-AU-14.  - NIST
│ │ │ -0008dd70: 2d38 3030 2d35 332d 4155 2d32 2861 290a  -800-53-AU-2(a).
│ │ │ -0008dd80: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0008dd90: 4155 2d37 2831 290a 2020 2d20 4e49 5354  AU-7(1).  - NIST
│ │ │ -0008dda0: 2d38 3030 2d35 332d 4155 2d37 2832 290a  -800-53-AU-7(2).
│ │ │ -0008ddb0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0008ddc0: 434d 2d36 2861 290a 2020 2d20 5043 492d  CM-6(a).  - PCI-
│ │ │ -0008ddd0: 4453 532d 5265 712d 3130 2e31 0a20 202d  DSS-Req-10.1.  -
│ │ │ -0008dde0: 2050 4349 2d44 5353 7634 2d31 302e 320a   PCI-DSSv4-10.2.
│ │ │ -0008ddf0: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ -0008de00: 2e32 2e31 0a20 202d 2065 6e61 626c 655f  .2.1.  - enable_
│ │ │ -0008de10: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -0008de20: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -0008de30: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -0008de40: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ -0008de50: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -0008de60: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -0008de70: 6167 655f 6175 6469 745f 696e 7374 616c  age_audit_instal
│ │ │ -0008de80: 6c65 640a 0a2d 206e 616d 653a 2045 6e73  led..- name: Ens
│ │ │ -0008de90: 7572 6520 6175 6469 7464 2069 7320 696e  ure auditd is in
│ │ │ -0008dea0: 7374 616c 6c65 640a 2020 7061 636b 6167  stalled.  packag
│ │ │ -0008deb0: 653a 0a20 2020 206e 616d 653a 2061 7564  e:.    name: aud
│ │ │ -0008dec0: 6974 640a 2020 2020 7374 6174 653a 2070  itd.    state: p
│ │ │ -0008ded0: 7265 7365 6e74 0a20 2077 6865 6e3a 2027  resent.  when: '
│ │ │ -0008dee0: 226c 696e 7578 2d62 6173 6522 2069 6e20  "linux-base" in 
│ │ │ -0008def0: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ -0008df00: 636b 6167 6573 270a 2020 7461 6773 3a0a  ckages'.  tags:.
│ │ │ -0008df10: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0008df20: 4143 2d37 2861 290a 2020 2d20 4e49 5354  AC-7(a).  - NIST
│ │ │ -0008df30: 2d38 3030 2d35 332d 4155 2d31 3228 3229  -800-53-AU-12(2)
│ │ │ -0008df40: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -0008df50: 2d41 552d 3134 0a20 202d 204e 4953 542d  -AU-14.  - NIST-
│ │ │ -0008df60: 3830 302d 3533 2d41 552d 3228 6129 0a20  800-53-AU-2(a). 
│ │ │ -0008df70: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -0008df80: 552d 3728 3129 0a20 202d 204e 4953 542d  U-7(1).  - NIST-
│ │ │ -0008df90: 3830 302d 3533 2d41 552d 3728 3229 0a20  800-53-AU-7(2). 
│ │ │ -0008dfa0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -0008dfb0: 4d2d 3628 6129 0a20 202d 2050 4349 2d44  M-6(a).  - PCI-D
│ │ │ -0008dfc0: 5353 2d52 6571 2d31 302e 310a 2020 2d20  SS-Req-10.1.  - 
│ │ │ -0008dfd0: 5043 492d 4453 5376 342d 3130 2e32 0a20  PCI-DSSv4-10.2. 
│ │ │ -0008dfe0: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ -0008dff0: 322e 310a 2020 2d20 656e 6162 6c65 5f73  2.1.  - enable_s
│ │ │ -0008e000: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -0008e010: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -0008e020: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -0008e030: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ -0008e040: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -0008e050: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -0008e060: 6765 5f61 7564 6974 5f69 6e73 7461 6c6c  ge_audit_install
│ │ │ -0008e070: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +0008d7d0: 696f 6e20 416e 7369 626c 6520 736e 6970  ion Ansible snip
│ │ │ +0008d7e0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +0008d7f0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +0008d800: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +0008d810: 7365 2220 6964 3d22 6964 6d32 3436 3437  se" id="idm24647
│ │ │ +0008d820: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +0008d830: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +0008d840: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +0008d850: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +0008d860: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +0008d870: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +0008d880: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0008d890: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +0008d8a0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0008d8b0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +0008d8c0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +0008d8d0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +0008d8e0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +0008d8f0: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +0008d900: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +0008d910: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ +0008d920: 3a20 4761 7468 6572 2074 6865 2070 6163  : Gather the pac
│ │ │ +0008d930: 6b61 6765 2066 6163 7473 0a20 2070 6163  kage facts.  pac
│ │ │ +0008d940: 6b61 6765 5f66 6163 7473 3a0a 2020 2020  kage_facts:.    
│ │ │ +0008d950: 6d61 6e61 6765 723a 2061 7574 6f0a 2020  manager: auto.  
│ │ │ +0008d960: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +0008d970: 3030 2d35 332d 4143 2d37 2861 290a 2020  00-53-AC-7(a).  
│ │ │ +0008d980: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +0008d990: 2d31 3228 3229 0a20 202d 204e 4953 542d  -12(2).  - NIST-
│ │ │ +0008d9a0: 3830 302d 3533 2d41 552d 3134 0a20 202d  800-53-AU-14.  -
│ │ │ +0008d9b0: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +0008d9c0: 3228 6129 0a20 202d 204e 4953 542d 3830  2(a).  - NIST-80
│ │ │ +0008d9d0: 302d 3533 2d41 552d 3728 3129 0a20 202d  0-53-AU-7(1).  -
│ │ │ +0008d9e0: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +0008d9f0: 3728 3229 0a20 202d 204e 4953 542d 3830  7(2).  - NIST-80
│ │ │ +0008da00: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +0008da10: 2050 4349 2d44 5353 2d52 6571 2d31 302e   PCI-DSS-Req-10.
│ │ │ +0008da20: 310a 2020 2d20 5043 492d 4453 5376 342d  1.  - PCI-DSSv4-
│ │ │ +0008da30: 3130 2e32 0a20 202d 2050 4349 2d44 5353  10.2.  - PCI-DSS
│ │ │ +0008da40: 7634 2d31 302e 322e 310a 2020 2d20 656e  v4-10.2.1.  - en
│ │ │ +0008da50: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +0008da60: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +0008da70: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +0008da80: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +0008da90: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +0008daa0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +0008dab0: 2070 6163 6b61 6765 5f61 7564 6974 5f69   package_audit_i
│ │ │ +0008dac0: 6e73 7461 6c6c 6564 0a0a 2d20 6e61 6d65  nstalled..- name
│ │ │ +0008dad0: 3a20 456e 7375 7265 2061 7564 6974 6420  : Ensure auditd 
│ │ │ +0008dae0: 6973 2069 6e73 7461 6c6c 6564 0a20 2070  is installed.  p
│ │ │ +0008daf0: 6163 6b61 6765 3a0a 2020 2020 6e61 6d65  ackage:.    name
│ │ │ +0008db00: 3a20 6175 6469 7464 0a20 2020 2073 7461  : auditd.    sta
│ │ │ +0008db10: 7465 3a20 7072 6573 656e 740a 2020 7768  te: present.  wh
│ │ │ +0008db20: 656e 3a20 2722 6c69 6e75 782d 6261 7365  en: '"linux-base
│ │ │ +0008db30: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ +0008db40: 7473 2e70 6163 6b61 6765 7327 0a20 2074  ts.packages'.  t
│ │ │ +0008db50: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +0008db60: 302d 3533 2d41 432d 3728 6129 0a20 202d  0-53-AC-7(a).  -
│ │ │ +0008db70: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +0008db80: 3132 2832 290a 2020 2d20 4e49 5354 2d38  12(2).  - NIST-8
│ │ │ +0008db90: 3030 2d35 332d 4155 2d31 340a 2020 2d20  00-53-AU-14.  - 
│ │ │ +0008dba0: 4e49 5354 2d38 3030 2d35 332d 4155 2d32  NIST-800-53-AU-2
│ │ │ +0008dbb0: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ +0008dbc0: 2d35 332d 4155 2d37 2831 290a 2020 2d20  -53-AU-7(1).  - 
│ │ │ +0008dbd0: 4e49 5354 2d38 3030 2d35 332d 4155 2d37  NIST-800-53-AU-7
│ │ │ +0008dbe0: 2832 290a 2020 2d20 4e49 5354 2d38 3030  (2).  - NIST-800
│ │ │ +0008dbf0: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ +0008dc00: 5043 492d 4453 532d 5265 712d 3130 2e31  PCI-DSS-Req-10.1
│ │ │ +0008dc10: 0a20 202d 2050 4349 2d44 5353 7634 2d31  .  - PCI-DSSv4-1
│ │ │ +0008dc20: 302e 320a 2020 2d20 5043 492d 4453 5376  0.2.  - PCI-DSSv
│ │ │ +0008dc30: 342d 3130 2e32 2e31 0a20 202d 2065 6e61  4-10.2.1.  - ena
│ │ │ +0008dc40: 626c 655f 7374 7261 7465 6779 0a20 202d  ble_strategy.  -
│ │ │ +0008dc50: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ +0008dc60: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ +0008dc70: 6f6e 0a20 202d 206d 6564 6975 6d5f 7365  on.  - medium_se
│ │ │ +0008dc80: 7665 7269 7479 0a20 202d 206e 6f5f 7265  verity.  - no_re
│ │ │ +0008dc90: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +0008dca0: 7061 636b 6167 655f 6175 6469 745f 696e  package_audit_in
│ │ │ +0008dcb0: 7374 616c 6c65 640a 3c2f 636f 6465 3e3c  stalled.</code><
│ │ │ +0008dcc0: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +0008dcd0: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +0008dce0: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +0008dcf0: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +0008dd00: 612d 7461 7267 6574 3d22 2369 646d 3234  a-target="#idm24
│ │ │ +0008dd10: 3634 3822 2074 6162 696e 6465 783d 2230  648" tabindex="0
│ │ │ +0008dd20: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +0008dd30: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +0008dd40: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +0008dd50: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +0008dd60: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +0008dd70: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +0008dd80: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +0008dd90: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +0008dda0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +0008ddb0: 6170 7365 2220 6964 3d22 6964 6d32 3436  apse" id="idm246
│ │ │ +0008ddc0: 3438 223e 3c74 6162 6c65 2063 6c61 7373  48"><table class
│ │ │ +0008ddd0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +0008dde0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +0008ddf0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +0008de00: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +0008de10: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +0008de20: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +0008de30: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +0008de40: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +0008de50: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0008de60: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +0008de70: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +0008de80: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +0008de90: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +0008dea0: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +0008deb0: 3e3c 7072 653e 3c63 6f64 653e 696e 636c  ><pre><code>incl
│ │ │ +0008dec0: 7564 6520 696e 7374 616c 6c5f 6175 6469  ude install_audi
│ │ │ +0008ded0: 7464 0a0a 636c 6173 7320 696e 7374 616c  td..class instal
│ │ │ +0008dee0: 6c5f 6175 6469 7464 207b 0a20 2070 6163  l_auditd {.  pac
│ │ │ +0008def0: 6b61 6765 207b 2027 6175 6469 7464 273a  kage { 'auditd':
│ │ │ +0008df00: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ +0008df10: 3b20 2769 6e73 7461 6c6c 6564 272c 0a20  ; 'installed',. 
│ │ │ +0008df20: 207d 0a7d 0a3c 2f63 6f64 653e 3c2f 7072   }.}.</code></pr
│ │ │ +0008df30: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +0008df40: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +0008df50: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +0008df60: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +0008df70: 6172 6765 743d 2223 6964 6d32 3436 3439  arget="#idm24649
│ │ │ +0008df80: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +0008df90: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +0008dfa0: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +0008dfb0: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +0008dfc0: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +0008dfd0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +0008dfe0: 696f 6e20 4f53 4275 696c 6420 426c 7565  ion OSBuild Blue
│ │ │ +0008dff0: 7072 696e 7420 736e 6970 7065 7420 e287  print snippet ..
│ │ │ +0008e000: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +0008e010: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +0008e020: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +0008e030: 3d22 6964 6d32 3436 3439 223e 3c70 7265  ="idm24649"><pre
│ │ │ +0008e040: 3e3c 636f 6465 3e0a 5b5b 7061 636b 6167  ><code>.[[packag
│ │ │ +0008e050: 6573 5d5d 0a6e 616d 6520 3d20 2261 7564  es]].name = "aud
│ │ │ +0008e060: 6974 6422 0a76 6572 7369 6f6e 203d 2022  itd".version = "
│ │ │ +0008e070: 2a22 0a3c 2f63 6f64 653e 3c2f 7072 653e  *".</code></pre>
│ │ │  0008e080: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │  0008e090: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │  0008e0a0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │  0008e0b0: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │  0008e0c0: 6765 743d 2223 6964 6d32 3436 3530 2220  get="#idm24650" 
│ │ │  0008e0d0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  0008e0e0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ @@ -36822,191 +36822,191 @@
│ │ │  0008fd50: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  0008fd60: 3234 3834 3822 2074 6162 696e 6465 783d  24848" tabindex=
│ │ │  0008fd70: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │  0008fd80: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │  0008fd90: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │  0008fda0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │  0008fdb0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -0008fdc0: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ -0008fdd0: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ -0008fde0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -0008fdf0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -0008fe00: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -0008fe10: 6522 2069 643d 2269 646d 3234 3834 3822  e" id="idm24848"
│ │ │ -0008fe20: 3e3c 7072 653e 3c63 6f64 653e 0a5b 6375  ><pre><code>.[cu
│ │ │ -0008fe30: 7374 6f6d 697a 6174 696f 6e73 2e73 6572  stomizations.ser
│ │ │ -0008fe40: 7669 6365 735d 0a65 6e61 626c 6564 203d  vices].enabled =
│ │ │ -0008fe50: 205b 2261 7564 6974 6422 5d0a 3c2f 636f   ["auditd"].</co
│ │ │ -0008fe60: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -0008fe70: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -0008fe80: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -0008fe90: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -0008fea0: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -0008feb0: 646d 3234 3834 3922 2074 6162 696e 6465  dm24849" tabinde
│ │ │ -0008fec0: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -0008fed0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -0008fee0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -0008fef0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -0008ff00: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0008ff10: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -0008ff20: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -0008ff30: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0008ff40: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0008ff50: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0008ff60: 6d32 3438 3439 223e 3c74 6162 6c65 2063  m24849"><table c
│ │ │ -0008ff70: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -0008ff80: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -0008ff90: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -0008ffa0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -0008ffb0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -0008ffc0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0008ffd0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -0008ffe0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -0008fff0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00090000: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00090010: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00090020: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00090030: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -00090040: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00090050: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00090060: 696e 636c 7564 6520 656e 6162 6c65 5f61  include enable_a
│ │ │ -00090070: 7564 6974 640a 0a63 6c61 7373 2065 6e61  uditd..class ena
│ │ │ -00090080: 626c 655f 6175 6469 7464 207b 0a20 2073  ble_auditd {.  s
│ │ │ -00090090: 6572 7669 6365 207b 2761 7564 6974 6427  ervice {'auditd'
│ │ │ -000900a0: 3a0a 2020 2020 656e 6162 6c65 203d 2667  :.    enable =&g
│ │ │ -000900b0: 743b 2074 7275 652c 0a20 2020 2065 6e73  t; true,.    ens
│ │ │ -000900c0: 7572 6520 3d26 6774 3b20 2772 756e 6e69  ure =&gt; 'runni
│ │ │ -000900d0: 6e67 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ng',.  }.}.</cod
│ │ │ -000900e0: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -000900f0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -00090100: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -00090110: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -00090120: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -00090130: 6d32 3438 3530 2220 7461 6269 6e64 6578  m24850" tabindex
│ │ │ -00090140: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00090150: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00090160: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00090170: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00090180: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00090190: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -000901a0: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -000901b0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -000901c0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -000901d0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -000901e0: 6d32 3438 3530 223e 3c74 6162 6c65 2063  m24850"><table c
│ │ │ -000901f0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00090200: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00090210: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00090220: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00090230: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00090240: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00090250: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00090260: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00090270: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00090280: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00090290: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -000902a0: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -000902b0: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -000902c0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -000902d0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -000902e0: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ -000902f0: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ -00090300: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ -00090310: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ -00090320: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ -00090330: 434a 4953 2d35 2e34 2e31 2e31 0a20 202d  CJIS-5.4.1.1.  -
│ │ │ -00090340: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ -00090350: 332e 310a 2020 2d20 4e49 5354 2d38 3030  3.1.  - NIST-800
│ │ │ -00090360: 2d31 3731 2d33 2e33 2e32 0a20 202d 204e  -171-3.3.2.  - N
│ │ │ -00090370: 4953 542d 3830 302d 3137 312d 332e 332e  IST-800-171-3.3.
│ │ │ -00090380: 360a 2020 2d20 4e49 5354 2d38 3030 2d35  6.  - NIST-800-5
│ │ │ -00090390: 332d 4143 2d32 2867 290a 2020 2d20 4e49  3-AC-2(g).  - NI
│ │ │ -000903a0: 5354 2d38 3030 2d35 332d 4143 2d36 2839  ST-800-53-AC-6(9
│ │ │ -000903b0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -000903c0: 332d 4155 2d31 300a 2020 2d20 4e49 5354  3-AU-10.  - NIST
│ │ │ -000903d0: 2d38 3030 2d35 332d 4155 2d31 3228 6329  -800-53-AU-12(c)
│ │ │ -000903e0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -000903f0: 2d41 552d 3134 2831 290a 2020 2d20 4e49  -AU-14(1).  - NI
│ │ │ -00090400: 5354 2d38 3030 2d35 332d 4155 2d32 2864  ST-800-53-AU-2(d
│ │ │ -00090410: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00090420: 332d 4155 2d33 0a20 202d 204e 4953 542d  3-AU-3.  - NIST-
│ │ │ -00090430: 3830 302d 3533 2d43 4d2d 3628 6129 0a20  800-53-CM-6(a). 
│ │ │ -00090440: 202d 204e 4953 542d 3830 302d 3533 2d53   - NIST-800-53-S
│ │ │ -00090450: 492d 3428 3233 290a 2020 2d20 5043 492d  I-4(23).  - PCI-
│ │ │ -00090460: 4453 532d 5265 712d 3130 2e31 0a20 202d  DSS-Req-10.1.  -
│ │ │ -00090470: 2050 4349 2d44 5353 7634 2d31 302e 320a   PCI-DSSv4-10.2.
│ │ │ -00090480: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ -00090490: 2e32 2e31 0a20 202d 2065 6e61 626c 655f  .2.1.  - enable_
│ │ │ -000904a0: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -000904b0: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -000904c0: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -000904d0: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ -000904e0: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -000904f0: 5f6e 6565 6465 640a 2020 2d20 7365 7276  _needed.  - serv
│ │ │ -00090500: 6963 655f 6175 6469 7464 5f65 6e61 626c  ice_auditd_enabl
│ │ │ -00090510: 6564 0a0a 2d20 6e61 6d65 3a20 456e 6162  ed..- name: Enab
│ │ │ -00090520: 6c65 2061 7564 6974 6420 5365 7276 6963  le auditd Servic
│ │ │ -00090530: 6520 2d20 456e 6162 6c65 2073 6572 7669  e - Enable servi
│ │ │ -00090540: 6365 2061 7564 6974 640a 2020 626c 6f63  ce auditd.  bloc
│ │ │ -00090550: 6b3a 0a0a 2020 2d20 6e61 6d65 3a20 4761  k:..  - name: Ga
│ │ │ -00090560: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ -00090570: 2066 6163 7473 0a20 2020 2070 6163 6b61   facts.    packa
│ │ │ -00090580: 6765 5f66 6163 7473 3a0a 2020 2020 2020  ge_facts:.      
│ │ │ -00090590: 6d61 6e61 6765 723a 2061 7574 6f0a 0a20  manager: auto.. 
│ │ │ -000905a0: 202d 206e 616d 653a 2045 6e61 626c 6520   - name: Enable 
│ │ │ -000905b0: 6175 6469 7464 2053 6572 7669 6365 202d  auditd Service -
│ │ │ -000905c0: 2045 6e61 626c 6520 5365 7276 6963 6520   Enable Service 
│ │ │ -000905d0: 6175 6469 7464 0a20 2020 2061 6e73 6962  auditd.    ansib
│ │ │ -000905e0: 6c65 2e62 7569 6c74 696e 2e73 7973 7465  le.builtin.syste
│ │ │ -000905f0: 6d64 3a0a 2020 2020 2020 6e61 6d65 3a20  md:.      name: 
│ │ │ -00090600: 6175 6469 7464 0a20 2020 2020 2065 6e61  auditd.      ena
│ │ │ -00090610: 626c 6564 3a20 7472 7565 0a20 2020 2020  bled: true.     
│ │ │ -00090620: 2073 7461 7465 3a20 7374 6172 7465 640a   state: started.
│ │ │ -00090630: 2020 2020 2020 6d61 736b 6564 3a20 6661        masked: fa
│ │ │ -00090640: 6c73 650a 2020 2020 7768 656e 3a0a 2020  lse.    when:.  
│ │ │ -00090650: 2020 2d20 2722 6175 6469 7464 2220 696e    - '"auditd" in
│ │ │ -00090660: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ -00090670: 6163 6b61 6765 7327 0a20 2077 6865 6e3a  ackages'.  when:
│ │ │ -00090680: 0a20 202d 2027 226c 696e 7578 2d62 6173  .  - '"linux-bas
│ │ │ -00090690: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ -000906a0: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -000906b0: 2d20 2722 6175 6469 7464 2220 696e 2061  - '"auditd" in a
│ │ │ -000906c0: 6e73 6962 6c65 5f66 6163 7473 2e70 6163  nsible_facts.pac
│ │ │ -000906d0: 6b61 6765 7327 0a20 2074 6167 733a 0a20  kages'.  tags:. 
│ │ │ -000906e0: 202d 2043 4a49 532d 352e 342e 312e 310a   - CJIS-5.4.1.1.
│ │ │ -000906f0: 2020 2d20 4e49 5354 2d38 3030 2d31 3731    - NIST-800-171
│ │ │ -00090700: 2d33 2e33 2e31 0a20 202d 204e 4953 542d  -3.3.1.  - NIST-
│ │ │ -00090710: 3830 302d 3137 312d 332e 332e 320a 2020  800-171-3.3.2.  
│ │ │ -00090720: 2d20 4e49 5354 2d38 3030 2d31 3731 2d33  - NIST-800-171-3
│ │ │ -00090730: 2e33 2e36 0a20 202d 204e 4953 542d 3830  .3.6.  - NIST-80
│ │ │ -00090740: 302d 3533 2d41 432d 3228 6729 0a20 202d  0-53-AC-2(g).  -
│ │ │ -00090750: 204e 4953 542d 3830 302d 3533 2d41 432d   NIST-800-53-AC-
│ │ │ -00090760: 3628 3929 0a20 202d 204e 4953 542d 3830  6(9).  - NIST-80
│ │ │ -00090770: 302d 3533 2d41 552d 3130 0a20 202d 204e  0-53-AU-10.  - N
│ │ │ -00090780: 4953 542d 3830 302d 3533 2d41 552d 3132  IST-800-53-AU-12
│ │ │ -00090790: 2863 290a 2020 2d20 4e49 5354 2d38 3030  (c).  - NIST-800
│ │ │ -000907a0: 2d35 332d 4155 2d31 3428 3129 0a20 202d  -53-AU-14(1).  -
│ │ │ -000907b0: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -000907c0: 3228 6429 0a20 202d 204e 4953 542d 3830  2(d).  - NIST-80
│ │ │ -000907d0: 302d 3533 2d41 552d 330a 2020 2d20 4e49  0-53-AU-3.  - NI
│ │ │ -000907e0: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ -000907f0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00090800: 332d 5349 2d34 2832 3329 0a20 202d 2050  3-SI-4(23).  - P
│ │ │ -00090810: 4349 2d44 5353 2d52 6571 2d31 302e 310a  CI-DSS-Req-10.1.
│ │ │ -00090820: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ -00090830: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -00090840: 2d31 302e 322e 310a 2020 2d20 656e 6162  -10.2.1.  - enab
│ │ │ -00090850: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ -00090860: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -00090870: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -00090880: 6e0a 2020 2d20 6d65 6469 756d 5f73 6576  n.  - medium_sev
│ │ │ -00090890: 6572 6974 790a 2020 2d20 6e6f 5f72 6562  erity.  - no_reb
│ │ │ -000908a0: 6f6f 745f 6e65 6564 6564 0a20 202d 2073  oot_needed.  - s
│ │ │ -000908b0: 6572 7669 6365 5f61 7564 6974 645f 656e  ervice_auditd_en
│ │ │ -000908c0: 6162 6c65 640a 3c2f 636f 6465 3e3c 2f70  abled.</code></p
│ │ │ +0008fdc0: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ +0008fdd0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +0008fde0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +0008fdf0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +0008fe00: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +0008fe10: 3234 3834 3822 3e3c 7461 626c 6520 636c  24848"><table cl
│ │ │ +0008fe20: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +0008fe30: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +0008fe40: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +0008fe50: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +0008fe60: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +0008fe70: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0008fe80: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +0008fe90: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +0008fea0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0008feb0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +0008fec0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +0008fed0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +0008fee0: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ +0008fef0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +0008ff00: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ +0008ff10: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ +0008ff20: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ +0008ff30: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ +0008ff40: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ +0008ff50: 746f 0a20 2074 6167 733a 0a20 202d 2043  to.  tags:.  - C
│ │ │ +0008ff60: 4a49 532d 352e 342e 312e 310a 2020 2d20  JIS-5.4.1.1.  - 
│ │ │ +0008ff70: 4e49 5354 2d38 3030 2d31 3731 2d33 2e33  NIST-800-171-3.3
│ │ │ +0008ff80: 2e31 0a20 202d 204e 4953 542d 3830 302d  .1.  - NIST-800-
│ │ │ +0008ff90: 3137 312d 332e 332e 320a 2020 2d20 4e49  171-3.3.2.  - NI
│ │ │ +0008ffa0: 5354 2d38 3030 2d31 3731 2d33 2e33 2e36  ST-800-171-3.3.6
│ │ │ +0008ffb0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0008ffc0: 2d41 432d 3228 6729 0a20 202d 204e 4953  -AC-2(g).  - NIS
│ │ │ +0008ffd0: 542d 3830 302d 3533 2d41 432d 3628 3929  T-800-53-AC-6(9)
│ │ │ +0008ffe0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +0008fff0: 2d41 552d 3130 0a20 202d 204e 4953 542d  -AU-10.  - NIST-
│ │ │ +00090000: 3830 302d 3533 2d41 552d 3132 2863 290a  800-53-AU-12(c).
│ │ │ +00090010: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00090020: 4155 2d31 3428 3129 0a20 202d 204e 4953  AU-14(1).  - NIS
│ │ │ +00090030: 542d 3830 302d 3533 2d41 552d 3228 6429  T-800-53-AU-2(d)
│ │ │ +00090040: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00090050: 2d41 552d 330a 2020 2d20 4e49 5354 2d38  -AU-3.  - NIST-8
│ │ │ +00090060: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +00090070: 2d20 4e49 5354 2d38 3030 2d35 332d 5349  - NIST-800-53-SI
│ │ │ +00090080: 2d34 2832 3329 0a20 202d 2050 4349 2d44  -4(23).  - PCI-D
│ │ │ +00090090: 5353 2d52 6571 2d31 302e 310a 2020 2d20  SS-Req-10.1.  - 
│ │ │ +000900a0: 5043 492d 4453 5376 342d 3130 2e32 0a20  PCI-DSSv4-10.2. 
│ │ │ +000900b0: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ +000900c0: 322e 310a 2020 2d20 656e 6162 6c65 5f73  2.1.  - enable_s
│ │ │ +000900d0: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +000900e0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +000900f0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +00090100: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ +00090110: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +00090120: 6e65 6564 6564 0a20 202d 2073 6572 7669  needed.  - servi
│ │ │ +00090130: 6365 5f61 7564 6974 645f 656e 6162 6c65  ce_auditd_enable
│ │ │ +00090140: 640a 0a2d 206e 616d 653a 2045 6e61 626c  d..- name: Enabl
│ │ │ +00090150: 6520 6175 6469 7464 2053 6572 7669 6365  e auditd Service
│ │ │ +00090160: 202d 2045 6e61 626c 6520 7365 7276 6963   - Enable servic
│ │ │ +00090170: 6520 6175 6469 7464 0a20 2062 6c6f 636b  e auditd.  block
│ │ │ +00090180: 3a0a 0a20 202d 206e 616d 653a 2047 6174  :..  - name: Gat
│ │ │ +00090190: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ +000901a0: 6661 6374 730a 2020 2020 7061 636b 6167  facts.    packag
│ │ │ +000901b0: 655f 6661 6374 733a 0a20 2020 2020 206d  e_facts:.      m
│ │ │ +000901c0: 616e 6167 6572 3a20 6175 746f 0a0a 2020  anager: auto..  
│ │ │ +000901d0: 2d20 6e61 6d65 3a20 456e 6162 6c65 2061  - name: Enable a
│ │ │ +000901e0: 7564 6974 6420 5365 7276 6963 6520 2d20  uditd Service - 
│ │ │ +000901f0: 456e 6162 6c65 2053 6572 7669 6365 2061  Enable Service a
│ │ │ +00090200: 7564 6974 640a 2020 2020 616e 7369 626c  uditd.    ansibl
│ │ │ +00090210: 652e 6275 696c 7469 6e2e 7379 7374 656d  e.builtin.system
│ │ │ +00090220: 643a 0a20 2020 2020 206e 616d 653a 2061  d:.      name: a
│ │ │ +00090230: 7564 6974 640a 2020 2020 2020 656e 6162  uditd.      enab
│ │ │ +00090240: 6c65 643a 2074 7275 650a 2020 2020 2020  led: true.      
│ │ │ +00090250: 7374 6174 653a 2073 7461 7274 6564 0a20  state: started. 
│ │ │ +00090260: 2020 2020 206d 6173 6b65 643a 2066 616c       masked: fal
│ │ │ +00090270: 7365 0a20 2020 2077 6865 6e3a 0a20 2020  se.    when:.   
│ │ │ +00090280: 202d 2027 2261 7564 6974 6422 2069 6e20   - '"auditd" in 
│ │ │ +00090290: 616e 7369 626c 655f 6661 6374 732e 7061  ansible_facts.pa
│ │ │ +000902a0: 636b 6167 6573 270a 2020 7768 656e 3a0a  ckages'.  when:.
│ │ │ +000902b0: 2020 2d20 2722 6c69 6e75 782d 6261 7365    - '"linux-base
│ │ │ +000902c0: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ +000902d0: 7473 2e70 6163 6b61 6765 7327 0a20 202d  ts.packages'.  -
│ │ │ +000902e0: 2027 2261 7564 6974 6422 2069 6e20 616e   '"auditd" in an
│ │ │ +000902f0: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ +00090300: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ +00090310: 2d20 434a 4953 2d35 2e34 2e31 2e31 0a20  - CJIS-5.4.1.1. 
│ │ │ +00090320: 202d 204e 4953 542d 3830 302d 3137 312d   - NIST-800-171-
│ │ │ +00090330: 332e 332e 310a 2020 2d20 4e49 5354 2d38  3.3.1.  - NIST-8
│ │ │ +00090340: 3030 2d31 3731 2d33 2e33 2e32 0a20 202d  00-171-3.3.2.  -
│ │ │ +00090350: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ +00090360: 332e 360a 2020 2d20 4e49 5354 2d38 3030  3.6.  - NIST-800
│ │ │ +00090370: 2d35 332d 4143 2d32 2867 290a 2020 2d20  -53-AC-2(g).  - 
│ │ │ +00090380: 4e49 5354 2d38 3030 2d35 332d 4143 2d36  NIST-800-53-AC-6
│ │ │ +00090390: 2839 290a 2020 2d20 4e49 5354 2d38 3030  (9).  - NIST-800
│ │ │ +000903a0: 2d35 332d 4155 2d31 300a 2020 2d20 4e49  -53-AU-10.  - NI
│ │ │ +000903b0: 5354 2d38 3030 2d35 332d 4155 2d31 3228  ST-800-53-AU-12(
│ │ │ +000903c0: 6329 0a20 202d 204e 4953 542d 3830 302d  c).  - NIST-800-
│ │ │ +000903d0: 3533 2d41 552d 3134 2831 290a 2020 2d20  53-AU-14(1).  - 
│ │ │ +000903e0: 4e49 5354 2d38 3030 2d35 332d 4155 2d32  NIST-800-53-AU-2
│ │ │ +000903f0: 2864 290a 2020 2d20 4e49 5354 2d38 3030  (d).  - NIST-800
│ │ │ +00090400: 2d35 332d 4155 2d33 0a20 202d 204e 4953  -53-AU-3.  - NIS
│ │ │ +00090410: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +00090420: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ +00090430: 2d53 492d 3428 3233 290a 2020 2d20 5043  -SI-4(23).  - PC
│ │ │ +00090440: 492d 4453 532d 5265 712d 3130 2e31 0a20  I-DSS-Req-10.1. 
│ │ │ +00090450: 202d 2050 4349 2d44 5353 7634 2d31 302e   - PCI-DSSv4-10.
│ │ │ +00090460: 320a 2020 2d20 5043 492d 4453 5376 342d  2.  - PCI-DSSv4-
│ │ │ +00090470: 3130 2e32 2e31 0a20 202d 2065 6e61 626c  10.2.1.  - enabl
│ │ │ +00090480: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +00090490: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +000904a0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +000904b0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ +000904c0: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ +000904d0: 6f74 5f6e 6565 6465 640a 2020 2d20 7365  ot_needed.  - se
│ │ │ +000904e0: 7276 6963 655f 6175 6469 7464 5f65 6e61  rvice_auditd_ena
│ │ │ +000904f0: 626c 6564 0a3c 2f63 6f64 653e 3c2f 7072  bled.</code></pr
│ │ │ +00090500: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +00090510: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +00090520: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +00090530: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +00090540: 6172 6765 743d 2223 6964 6d32 3438 3439  arget="#idm24849
│ │ │ +00090550: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +00090560: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +00090570: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +00090580: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +00090590: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +000905a0: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +000905b0: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +000905c0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +000905d0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +000905e0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +000905f0: 6522 2069 643d 2269 646d 3234 3834 3922  e" id="idm24849"
│ │ │ +00090600: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +00090610: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +00090620: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +00090630: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +00090640: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +00090650: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +00090660: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00090670: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +00090680: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00090690: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +000906a0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +000906b0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +000906c0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +000906d0: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +000906e0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +000906f0: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +00090700: 2065 6e61 626c 655f 6175 6469 7464 0a0a   enable_auditd..
│ │ │ +00090710: 636c 6173 7320 656e 6162 6c65 5f61 7564  class enable_aud
│ │ │ +00090720: 6974 6420 7b0a 2020 7365 7276 6963 6520  itd {.  service 
│ │ │ +00090730: 7b27 6175 6469 7464 273a 0a20 2020 2065  {'auditd':.    e
│ │ │ +00090740: 6e61 626c 6520 3d26 6774 3b20 7472 7565  nable =&gt; true
│ │ │ +00090750: 2c0a 2020 2020 656e 7375 7265 203d 2667  ,.    ensure =&g
│ │ │ +00090760: 743b 2027 7275 6e6e 696e 6727 2c0a 2020  t; 'running',.  
│ │ │ +00090770: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ +00090780: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +00090790: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +000907a0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +000907b0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +000907c0: 7267 6574 3d22 2369 646d 3234 3835 3022  rget="#idm24850"
│ │ │ +000907d0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +000907e0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +000907f0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00090800: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00090810: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00090820: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +00090830: 6f6e 204f 5342 7569 6c64 2042 6c75 6570  on OSBuild Bluep
│ │ │ +00090840: 7269 6e74 2073 6e69 7070 6574 20e2 87b2  rint snippet ...
│ │ │ +00090850: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00090860: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00090870: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00090880: 2269 646d 3234 3835 3022 3e3c 7072 653e  "idm24850"><pre>
│ │ │ +00090890: 3c63 6f64 653e 0a5b 6375 7374 6f6d 697a  <code>.[customiz
│ │ │ +000908a0: 6174 696f 6e73 2e73 6572 7669 6365 735d  ations.services]
│ │ │ +000908b0: 0a65 6e61 626c 6564 203d 205b 2261 7564  .enabled = ["aud
│ │ │ +000908c0: 6974 6422 5d0a 3c2f 636f 6465 3e3c 2f70  itd"].</code></p
│ │ │  000908d0: 7265 3e3c 2f64 6976 3e3c 2f64 6976 3e3c  re></div></div><
│ │ │  000908e0: 2f74 643e 3c2f 7472 3e3c 2f74 626f 6479  /td></tr></tbody
│ │ │  000908f0: 3e3c 2f74 6162 6c65 3e3c 2f74 643e 3c2f  ></table></td></
│ │ │  00090900: 7472 3e3c 2f74 626f 6479 3e3c 2f74 6162  tr></tbody></tab
│ │ │  00090910: 6c65 3e3c 2f64 6976 3e3c 6469 7620 6964  le></div><div id
│ │ │  00090920: 3d22 7265 6172 2d6d 6174 7465 7222 3e3c  ="rear-matter"><
│ │ │  00090930: 6469 7620 636c 6173 733d 2272 6f77 2074  div class="row t
│ │ │ ├── html2text {}
│ │ │ │ @@ -1818,31 +1818,14 @@
│ │ │ │              _d_i_s_a           CCI-001311, CCI-001312
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "syslog-ng"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_syslog-ng
│ │ │ │ -
│ │ │ │ -class install_syslog-ng {
│ │ │ │ -  package { 'syslog-ng':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1865,14 +1848,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_syslogng_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_syslog-ng
│ │ │ │ +
│ │ │ │ +class install_syslog-ng {
│ │ │ │ +  package { 'syslog-ng':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "syslog-ng"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -1902,31 +1902,14 @@
│ │ │ │                             4.4.2.2, 4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["syslog-ng"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_syslog-ng
│ │ │ │ -
│ │ │ │ -class enable_syslog-ng {
│ │ │ │ -  service {'syslog-ng':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1962,14 +1945,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_syslogng_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_syslog-ng
│ │ │ │ +
│ │ │ │ +class enable_syslog-ng {
│ │ │ │ +  service {'syslog-ng':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["syslog-ng"]
│ │ │ │  ****** RRuullee? ?  EEnnssuurree rrssyysslloogg iiss IInnssttaalllleedd ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  Rsyslog is installed by default. The rsyslog package can be installed with the
│ │ │ │  following command:
│ │ │ │   $ apt-get install rsyslog
│ │ │ │  Rationale:  The rsyslog package provides the rsyslog daemon, which provides
│ │ │ │              system logging services.
│ │ │ │  Severity:   medium
│ │ │ │ @@ -1982,31 +1982,14 @@
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000479-GPOS-00224, SRG-OS-000051-GPOS-00024,
│ │ │ │                             SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2029,14 +2012,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsyslog_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -2067,31 +2067,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -2127,14 +2110,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]
│ │ │ │  Group   File Permissions and Masks   Group contains 5 groups and 17 rules
│ │ │ │  _[_r_e_f_]   Traditional Unix security relies heavily on file and directory
│ │ │ │  permissions to prevent unauthorized users from reading or modifying files to
│ │ │ │  which they should not have access.
│ │ │ │  
│ │ │ │  Several of the commands in this section search filesystems for files or
│ │ │ │  directories with certain characteristics, and are intended to be run on every
│ │ │ │ @@ -3938,31 +3938,14 @@
│ │ │ │                             SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3,
│ │ │ │                             A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _p_c_i_d_s_s_4        2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "cron"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_cron
│ │ │ │ -
│ │ │ │ -class install_cron {
│ │ │ │ -  package { 'cron':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -3989,14 +3972,31 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_cron_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_cron
│ │ │ │ +
│ │ │ │ +class install_cron {
│ │ │ │ +  package { 'cron':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "cron"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -4034,26 +4034,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_inetutils-telnetd
│ │ │ │ -
│ │ │ │ -class remove_inetutils-telnetd {
│ │ │ │ -  package { 'inetutils-telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure inetutils-telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -4065,14 +4053,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_inetutils-telnetd_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_inetutils-telnetd
│ │ │ │ +
│ │ │ │ +class remove_inetutils-telnetd {
│ │ │ │ +  package { 'inetutils-telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove inetutils-telnetd
│ │ │ │ @@ -4085,26 +4085,14 @@
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The support for Yellowpages should not be installed unless it is required.
│ │ │ │             NIS is the historical SUN service for central account management,
│ │ │ │  Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │             security constraints, ACL, etc. and should not be used.
│ │ │ │  Severity:  low
│ │ │ │  Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_nis
│ │ │ │ -
│ │ │ │ -class remove_nis {
│ │ │ │ -  package { 'nis':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure nis is removed
│ │ │ │    package:
│ │ │ │ @@ -4113,14 +4101,26 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_nis_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_nis
│ │ │ │ +
│ │ │ │ +class remove_nis {
│ │ │ │ +  package { 'nis':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove nis
│ │ │ │ @@ -4134,26 +4134,14 @@
│ │ │ │  ntpdate is a historical ntp synchronization client for unixes. It sould be
│ │ │ │  uninstalled.
│ │ │ │             ntpdate is an old not security-compliant ntp client. It should be
│ │ │ │  Rationale: replaced by modern ntp clients such as ntpd, able to use
│ │ │ │             cryptographic mechanisms integrated in NTP.
│ │ │ │  Severity:  low
│ │ │ │  Rule ID:   xccdf_org.ssgproject.content_rule_package_ntpdate_removed
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ntpdate
│ │ │ │ -
│ │ │ │ -class remove_ntpdate {
│ │ │ │ -  package { 'ntpdate':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ntpdate is removed
│ │ │ │    package:
│ │ │ │ @@ -4162,14 +4150,26 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ntpdate_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ntpdate
│ │ │ │ +
│ │ │ │ +class remove_ntpdate {
│ │ │ │ +  package { 'ntpdate':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove ntpdate
│ │ │ │ @@ -4200,26 +4200,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd-ssl
│ │ │ │ -
│ │ │ │ -class remove_telnetd-ssl {
│ │ │ │ -  package { 'telnetd-ssl':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd-ssl is removed
│ │ │ │    package:
│ │ │ │ @@ -4231,14 +4219,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd-ssl_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd-ssl
│ │ │ │ +
│ │ │ │ +class remove_telnetd-ssl {
│ │ │ │ +  package { 'telnetd-ssl':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnetd-ssl
│ │ │ │ @@ -4270,26 +4270,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd
│ │ │ │ -
│ │ │ │ -class remove_telnetd {
│ │ │ │ -  package { 'telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -4301,14 +4289,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd
│ │ │ │ +
│ │ │ │ +class remove_telnetd {
│ │ │ │ +  package { 'telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnetd
│ │ │ │ @@ -4383,31 +4383,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "ntp"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_ntp
│ │ │ │ -
│ │ │ │ -class install_ntp {
│ │ │ │ -  package { 'ntp':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4432,14 +4415,31 @@
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ntp_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_ntp
│ │ │ │ +
│ │ │ │ +class install_ntp {
│ │ │ │ +  package { 'ntp':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "ntp"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -4473,31 +4473,14 @@
│ │ │ │                             4.4.2.4
│ │ │ │  References: _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-8(1)(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │              _p_c_i_d_s_s_4        10.6.1, 10.6
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["ntp"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_ntp
│ │ │ │ -
│ │ │ │ -class enable_ntp {
│ │ │ │ -  service {'ntp':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4541,14 +4524,31 @@
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ntp_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_ntp
│ │ │ │ +
│ │ │ │ +class enable_ntp {
│ │ │ │ +  service {'ntp':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["ntp"]
│ │ │ │  Group   SSH Server   Group contains 1 group and 5 rules
│ │ │ │  _[_r_e_f_]   The SSH protocol is recommended for remote login and remote file
│ │ │ │  transfer. SSH provides confidentiality and integrity for data exchanged between
│ │ │ │  two systems, as well as server authentication, through the use of public key
│ │ │ │  cryptography. The implementation included with the system is called OpenSSH,
│ │ │ │  and more detailed documentation is available from its website, _h_t_t_p_s_:_/_/
│ │ │ │  _w_w_w_._o_p_e_n_s_s_h_._c_o_m. Its server program is called sshd and provided by the RPM
│ │ │ │ @@ -5431,31 +5431,14 @@
│ │ │ │                       000349-GPOS-00137, SRG-OS-000350-GPOS-00138, SRG-OS-
│ │ │ │                       000351-GPOS-00139, SRG-OS-000352-GPOS-00140, SRG-OS-
│ │ │ │                       000353-GPOS-00141, SRG-OS-000354-GPOS-00142, SRG-OS-
│ │ │ │                       000358-GPOS-00145, SRG-OS-000365-GPOS-00152, SRG-OS-
│ │ │ │                       000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │              _a_n_s_s_i    R33, R73
│ │ │ │              _p_c_i_d_s_s_4  10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "auditd"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_auditd
│ │ │ │ -
│ │ │ │ -class install_auditd {
│ │ │ │ -  package { 'auditd':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -5496,14 +5479,31 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_audit_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_auditd
│ │ │ │ +
│ │ │ │ +class install_auditd {
│ │ │ │ +  package { 'auditd':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "auditd"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -5579,31 +5579,14 @@
│ │ │ │                             SRG-OS-000358-GPOS-00145, SRG-OS-000365-GPOS-00152,
│ │ │ │                             SRG-OS-000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │                             SRG-APP-000095-CTR-000170, SRG-APP-000409-CTR-
│ │ │ │              _a_p_p_-_s_r_g_-_c_t_r    000990, SRG-APP-000508-CTR-001300, SRG-APP-000510-
│ │ │ │                             CTR-001310
│ │ │ │              _a_n_s_s_i          R33, R73
│ │ │ │              _p_c_i_d_s_s_4        10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["auditd"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_auditd
│ │ │ │ -
│ │ │ │ -class enable_auditd {
│ │ │ │ -  service {'auditd':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -5669,11 +5652,28 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_auditd_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_auditd
│ │ │ │ +
│ │ │ │ +class enable_auditd {
│ │ │ │ +  service {'auditd':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["auditd"]
│ │ │ │  Red Hat and Red Hat Enterprise Linux are either registered trademarks or
│ │ │ │  trademarks of Red Hat, Inc. in the United States and other countries. All other
│ │ │ │  names are registered trademarks or trademarks of their respective companies.
│ │ │ │  Generated using _O_p_e_n_S_C_A_P 1.4.1
│ │ ├── ./usr/share/doc/ssg-debian/ssg-debian12-guide-standard.html
│ │ │ @@ -19788,128 +19788,128 @@
│ │ │  0004d4b0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  0004d4c0: 6964 6d31 3031 3134 2220 7461 6269 6e64  idm10114" tabind
│ │ │  0004d4d0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │  0004d4e0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │  0004d4f0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │  0004d500: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │  0004d510: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -0004d520: 5265 6d65 6469 6174 696f 6e20 4f53 4275  Remediation OSBu
│ │ │ -0004d530: 696c 6420 426c 7565 7072 696e 7420 736e  ild Blueprint sn
│ │ │ -0004d540: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -0004d550: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -0004d560: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -0004d570: 6170 7365 2220 6964 3d22 6964 6d31 3031  apse" id="idm101
│ │ │ -0004d580: 3134 223e 3c70 7265 3e3c 636f 6465 3e0a  14"><pre><code>.
│ │ │ -0004d590: 5b5b 7061 636b 6167 6573 5d5d 0a6e 616d  [[packages]].nam
│ │ │ -0004d5a0: 6520 3d20 2272 7379 736c 6f67 220a 7665  e = "rsyslog".ve
│ │ │ -0004d5b0: 7273 696f 6e20 3d20 222a 220a 3c2f 636f  rsion = "*".</co
│ │ │ -0004d5c0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -0004d5d0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -0004d5e0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -0004d5f0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -0004d600: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -0004d610: 646d 3130 3131 3522 2074 6162 696e 6465  dm10115" tabinde
│ │ │ -0004d620: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -0004d630: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -0004d640: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -0004d650: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -0004d660: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0004d670: 656d 6564 6961 7469 6f6e 2050 7570 7065  emediation Puppe
│ │ │ -0004d680: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -0004d690: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0004d6a0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0004d6b0: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0004d6c0: 6d31 3031 3135 223e 3c74 6162 6c65 2063  m10115"><table c
│ │ │ -0004d6d0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -0004d6e0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -0004d6f0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -0004d700: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -0004d710: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -0004d720: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -0004d730: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -0004d740: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -0004d750: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0004d760: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -0004d770: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -0004d780: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -0004d790: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ -0004d7a0: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -0004d7b0: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -0004d7c0: 696e 636c 7564 6520 696e 7374 616c 6c5f  include install_
│ │ │ -0004d7d0: 7273 7973 6c6f 670a 0a63 6c61 7373 2069  rsyslog..class i
│ │ │ -0004d7e0: 6e73 7461 6c6c 5f72 7379 736c 6f67 207b  nstall_rsyslog {
│ │ │ -0004d7f0: 0a20 2070 6163 6b61 6765 207b 2027 7273  .  package { 'rs
│ │ │ -0004d800: 7973 6c6f 6727 3a0a 2020 2020 656e 7375  yslog':.    ensu
│ │ │ -0004d810: 7265 203d 2667 743b 2027 696e 7374 616c  re =&gt; 'instal
│ │ │ -0004d820: 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  led',.  }.}.</co
│ │ │ -0004d830: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -0004d840: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -0004d850: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -0004d860: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -0004d870: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -0004d880: 646d 3130 3131 3622 2074 6162 696e 6465  dm10116" tabinde
│ │ │ -0004d890: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -0004d8a0: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -0004d8b0: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -0004d8c0: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -0004d8d0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -0004d8e0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -0004d8f0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -0004d900: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0004d910: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0004d920: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0004d930: 646d 3130 3131 3622 3e3c 7461 626c 6520  dm10116"><table 
│ │ │ -0004d940: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -0004d950: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -0004d960: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -0004d970: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -0004d980: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -0004d990: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0004d9a0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -0004d9b0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -0004d9c0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0004d9d0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -0004d9e0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -0004d9f0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -0004da00: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -0004da10: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0004da20: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0004da30: 3e2d 206e 616d 653a 2047 6174 6865 7220  >- name: Gather 
│ │ │ -0004da40: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ -0004da50: 730a 2020 7061 636b 6167 655f 6661 6374  s.  package_fact
│ │ │ -0004da60: 733a 0a20 2020 206d 616e 6167 6572 3a20  s:.    manager: 
│ │ │ -0004da70: 6175 746f 0a20 2074 6167 733a 0a20 202d  auto.  tags:.  -
│ │ │ -0004da80: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -0004da90: 3628 6129 0a20 202d 2065 6e61 626c 655f  6(a).  - enable_
│ │ │ -0004daa0: 7374 7261 7465 6779 0a20 202d 206c 6f77  strategy.  - low
│ │ │ -0004dab0: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -0004dac0: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -0004dad0: 202d 206d 6564 6975 6d5f 7365 7665 7269   - medium_severi
│ │ │ -0004dae0: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ -0004daf0: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -0004db00: 6167 655f 7273 7973 6c6f 675f 696e 7374  age_rsyslog_inst
│ │ │ -0004db10: 616c 6c65 640a 0a2d 206e 616d 653a 2045  alled..- name: E
│ │ │ -0004db20: 6e73 7572 6520 7273 7973 6c6f 6720 6973  nsure rsyslog is
│ │ │ -0004db30: 2069 6e73 7461 6c6c 6564 0a20 2070 6163   installed.  pac
│ │ │ -0004db40: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ -0004db50: 7273 7973 6c6f 670a 2020 2020 7374 6174  rsyslog.    stat
│ │ │ -0004db60: 653a 2070 7265 7365 6e74 0a20 2077 6865  e: present.  whe
│ │ │ -0004db70: 6e3a 2027 226c 696e 7578 2d62 6173 6522  n: '"linux-base"
│ │ │ -0004db80: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ -0004db90: 732e 7061 636b 6167 6573 270a 2020 7461  s.packages'.  ta
│ │ │ -0004dba0: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ -0004dbb0: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ -0004dbc0: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ -0004dbd0: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -0004dbe0: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -0004dbf0: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ -0004dc00: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ -0004dc10: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -0004dc20: 202d 2070 6163 6b61 6765 5f72 7379 736c   - package_rsysl
│ │ │ -0004dc30: 6f67 5f69 6e73 7461 6c6c 6564 0a3c 2f63  og_installed.</c
│ │ │ +0004d520: 5265 6d65 6469 6174 696f 6e20 416e 7369  Remediation Ansi
│ │ │ +0004d530: 626c 6520 736e 6970 7065 7420 e287 b23c  ble snippet ...<
│ │ │ +0004d540: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +0004d550: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +0004d560: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +0004d570: 6964 6d31 3031 3134 223e 3c74 6162 6c65  idm10114"><table
│ │ │ +0004d580: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +0004d590: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +0004d5a0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +0004d5b0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +0004d5c0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +0004d5d0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0004d5e0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +0004d5f0: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +0004d600: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0004d610: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +0004d620: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +0004d630: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +0004d640: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +0004d650: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +0004d660: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +0004d670: 653e 2d20 6e61 6d65 3a20 4761 7468 6572  e>- name: Gather
│ │ │ +0004d680: 2074 6865 2070 6163 6b61 6765 2066 6163   the package fac
│ │ │ +0004d690: 7473 0a20 2070 6163 6b61 6765 5f66 6163  ts.  package_fac
│ │ │ +0004d6a0: 7473 3a0a 2020 2020 6d61 6e61 6765 723a  ts:.    manager:
│ │ │ +0004d6b0: 2061 7574 6f0a 2020 7461 6773 3a0a 2020   auto.  tags:.  
│ │ │ +0004d6c0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +0004d6d0: 2d36 2861 290a 2020 2d20 656e 6162 6c65  -6(a).  - enable
│ │ │ +0004d6e0: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +0004d6f0: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +0004d700: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +0004d710: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ +0004d720: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ +0004d730: 745f 6e65 6564 6564 0a20 202d 2070 6163  t_needed.  - pac
│ │ │ +0004d740: 6b61 6765 5f72 7379 736c 6f67 5f69 6e73  kage_rsyslog_ins
│ │ │ +0004d750: 7461 6c6c 6564 0a0a 2d20 6e61 6d65 3a20  talled..- name: 
│ │ │ +0004d760: 456e 7375 7265 2072 7379 736c 6f67 2069  Ensure rsyslog i
│ │ │ +0004d770: 7320 696e 7374 616c 6c65 640a 2020 7061  s installed.  pa
│ │ │ +0004d780: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ +0004d790: 2072 7379 736c 6f67 0a20 2020 2073 7461   rsyslog.    sta
│ │ │ +0004d7a0: 7465 3a20 7072 6573 656e 740a 2020 7768  te: present.  wh
│ │ │ +0004d7b0: 656e 3a20 2722 6c69 6e75 782d 6261 7365  en: '"linux-base
│ │ │ +0004d7c0: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ +0004d7d0: 7473 2e70 6163 6b61 6765 7327 0a20 2074  ts.packages'.  t
│ │ │ +0004d7e0: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ +0004d7f0: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ +0004d800: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ +0004d810: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +0004d820: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +0004d830: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ +0004d840: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ +0004d850: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +0004d860: 2020 2d20 7061 636b 6167 655f 7273 7973    - package_rsys
│ │ │ +0004d870: 6c6f 675f 696e 7374 616c 6c65 640a 3c2f  log_installed.</
│ │ │ +0004d880: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +0004d890: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +0004d8a0: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +0004d8b0: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +0004d8c0: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +0004d8d0: 2369 646d 3130 3131 3522 2074 6162 696e  #idm10115" tabin
│ │ │ +0004d8e0: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +0004d8f0: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +0004d900: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +0004d910: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +0004d920: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +0004d930: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +0004d940: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +0004d950: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +0004d960: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +0004d970: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +0004d980: 6964 6d31 3031 3135 223e 3c74 6162 6c65  idm10115"><table
│ │ │ +0004d990: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +0004d9a0: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +0004d9b0: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +0004d9c0: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +0004d9d0: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +0004d9e0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0004d9f0: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +0004da00: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +0004da10: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +0004da20: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +0004da30: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +0004da40: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +0004da50: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +0004da60: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +0004da70: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +0004da80: 653e 696e 636c 7564 6520 696e 7374 616c  e>include instal
│ │ │ +0004da90: 6c5f 7273 7973 6c6f 670a 0a63 6c61 7373  l_rsyslog..class
│ │ │ +0004daa0: 2069 6e73 7461 6c6c 5f72 7379 736c 6f67   install_rsyslog
│ │ │ +0004dab0: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +0004dac0: 7273 7973 6c6f 6727 3a0a 2020 2020 656e  rsyslog':.    en
│ │ │ +0004dad0: 7375 7265 203d 2667 743b 2027 696e 7374  sure =&gt; 'inst
│ │ │ +0004dae0: 616c 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f  alled',.  }.}.</
│ │ │ +0004daf0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +0004db00: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +0004db10: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +0004db20: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +0004db30: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +0004db40: 2369 646d 3130 3131 3622 2074 6162 696e  #idm10116" tabin
│ │ │ +0004db50: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +0004db60: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +0004db70: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +0004db80: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +0004db90: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +0004dba0: 3e52 656d 6564 6961 7469 6f6e 204f 5342  >Remediation OSB
│ │ │ +0004dbb0: 7569 6c64 2042 6c75 6570 7269 6e74 2073  uild Blueprint s
│ │ │ +0004dbc0: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +0004dbd0: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +0004dbe0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +0004dbf0: 6c61 7073 6522 2069 643d 2269 646d 3130  lapse" id="idm10
│ │ │ +0004dc00: 3131 3622 3e3c 7072 653e 3c63 6f64 653e  116"><pre><code>
│ │ │ +0004dc10: 0a5b 5b70 6163 6b61 6765 735d 5d0a 6e61  .[[packages]].na
│ │ │ +0004dc20: 6d65 203d 2022 7273 7973 6c6f 6722 0a76  me = "rsyslog".v
│ │ │ +0004dc30: 6572 7369 6f6e 203d 2022 2a22 0a3c 2f63  ersion = "*".</c
│ │ │  0004dc40: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │  0004dc50: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │  0004dc60: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │  0004dc70: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │  0004dc80: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  0004dc90: 6964 6d31 3031 3137 2220 7461 6269 6e64  idm10117" tabind
│ │ │  0004dca0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ @@ -20190,149 +20190,149 @@
│ │ │  0004edd0: 743d 2223 6964 6d31 3032 3030 2220 7461  t="#idm10200" ta
│ │ │  0004ede0: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  0004edf0: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │  0004ee00: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │  0004ee10: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │  0004ee20: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │  0004ee30: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -0004ee40: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ -0004ee50: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -0004ee60: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0004ee70: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0004ee80: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0004ee90: 6d31 3032 3030 223e 3c70 7265 3e3c 636f  m10200"><pre><co
│ │ │ -0004eea0: 6465 3e0a 5b63 7573 746f 6d69 7a61 7469  de>.[customizati
│ │ │ -0004eeb0: 6f6e 732e 7365 7276 6963 6573 5d0a 656e  ons.services].en
│ │ │ -0004eec0: 6162 6c65 6420 3d20 5b22 7273 7973 6c6f  abled = ["rsyslo
│ │ │ -0004eed0: 6722 5d0a 3c2f 636f 6465 3e3c 2f70 7265  g"].</code></pre
│ │ │ -0004eee0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -0004eef0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -0004ef00: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -0004ef10: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -0004ef20: 7267 6574 3d22 2369 646d 3130 3230 3122  rget="#idm10201"
│ │ │ -0004ef30: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -0004ef40: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -0004ef50: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -0004ef60: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -0004ef70: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -0004ef80: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -0004ef90: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ -0004efa0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0004efb0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0004efc0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0004efd0: 2220 6964 3d22 6964 6d31 3032 3031 223e  " id="idm10201">
│ │ │ -0004efe0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -0004eff0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -0004f000: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -0004f010: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -0004f020: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -0004f030: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -0004f040: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0004f050: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -0004f060: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0004f070: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -0004f080: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -0004f090: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -0004f0a0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -0004f0b0: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ -0004f0c0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -0004f0d0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -0004f0e0: 656e 6162 6c65 5f72 7379 736c 6f67 0a0a  enable_rsyslog..
│ │ │ -0004f0f0: 636c 6173 7320 656e 6162 6c65 5f72 7379  class enable_rsy
│ │ │ -0004f100: 736c 6f67 207b 0a20 2073 6572 7669 6365  slog {.  service
│ │ │ -0004f110: 207b 2772 7379 736c 6f67 273a 0a20 2020   {'rsyslog':.   
│ │ │ -0004f120: 2065 6e61 626c 6520 3d26 6774 3b20 7472   enable =&gt; tr
│ │ │ -0004f130: 7565 2c0a 2020 2020 656e 7375 7265 203d  ue,.    ensure =
│ │ │ -0004f140: 2667 743b 2027 7275 6e6e 696e 6727 2c0a  &gt; 'running',.
│ │ │ -0004f150: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -0004f160: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -0004f170: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -0004f180: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -0004f190: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -0004f1a0: 7461 7267 6574 3d22 2369 646d 3130 3230  target="#idm1020
│ │ │ -0004f1b0: 3222 2074 6162 696e 6465 783d 2230 2220  2" tabindex="0" 
│ │ │ -0004f1c0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -0004f1d0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -0004f1e0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -0004f1f0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -0004f200: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -0004f210: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -0004f220: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -0004f230: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -0004f240: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -0004f250: 7073 6522 2069 643d 2269 646d 3130 3230  pse" id="idm1020
│ │ │ -0004f260: 3222 3e3c 7461 626c 6520 636c 6173 733d  2"><table class=
│ │ │ -0004f270: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -0004f280: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -0004f290: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -0004f2a0: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -0004f2b0: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -0004f2c0: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -0004f2d0: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -0004f2e0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -0004f2f0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -0004f300: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -0004f310: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -0004f320: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -0004f330: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ -0004f340: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -0004f350: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ -0004f360: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ -0004f370: 636b 6167 6520 6661 6374 730a 2020 7061  ckage facts.  pa
│ │ │ -0004f380: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ -0004f390: 206d 616e 6167 6572 3a20 6175 746f 0a20   manager: auto. 
│ │ │ -0004f3a0: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -0004f3b0: 3830 302d 3533 2d41 552d 3428 3129 0a20  800-53-AU-4(1). 
│ │ │ -0004f3c0: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -0004f3d0: 4d2d 3628 6129 0a20 202d 2065 6e61 626c  M-6(a).  - enabl
│ │ │ -0004f3e0: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -0004f3f0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -0004f400: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -0004f410: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -0004f420: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -0004f430: 6f74 5f6e 6565 6465 640a 2020 2d20 7365  ot_needed.  - se
│ │ │ -0004f440: 7276 6963 655f 7273 7973 6c6f 675f 656e  rvice_rsyslog_en
│ │ │ -0004f450: 6162 6c65 640a 0a2d 206e 616d 653a 2045  abled..- name: E
│ │ │ -0004f460: 6e61 626c 6520 7273 7973 6c6f 6720 5365  nable rsyslog Se
│ │ │ -0004f470: 7276 6963 6520 2d20 456e 6162 6c65 2073  rvice - Enable s
│ │ │ -0004f480: 6572 7669 6365 2072 7379 736c 6f67 0a20  ervice rsyslog. 
│ │ │ -0004f490: 2062 6c6f 636b 3a0a 0a20 202d 206e 616d   block:..  - nam
│ │ │ -0004f4a0: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ -0004f4b0: 636b 6167 6520 6661 6374 730a 2020 2020  ckage facts.    
│ │ │ -0004f4c0: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ -0004f4d0: 2020 2020 206d 616e 6167 6572 3a20 6175       manager: au
│ │ │ -0004f4e0: 746f 0a0a 2020 2d20 6e61 6d65 3a20 456e  to..  - name: En
│ │ │ -0004f4f0: 6162 6c65 2072 7379 736c 6f67 2053 6572  able rsyslog Ser
│ │ │ -0004f500: 7669 6365 202d 2045 6e61 626c 6520 5365  vice - Enable Se
│ │ │ -0004f510: 7276 6963 6520 7273 7973 6c6f 670a 2020  rvice rsyslog.  
│ │ │ -0004f520: 2020 616e 7369 626c 652e 6275 696c 7469    ansible.builti
│ │ │ -0004f530: 6e2e 7379 7374 656d 643a 0a20 2020 2020  n.systemd:.     
│ │ │ -0004f540: 206e 616d 653a 2072 7379 736c 6f67 0a20   name: rsyslog. 
│ │ │ -0004f550: 2020 2020 2065 6e61 626c 6564 3a20 7472       enabled: tr
│ │ │ -0004f560: 7565 0a20 2020 2020 2073 7461 7465 3a20  ue.      state: 
│ │ │ -0004f570: 7374 6172 7465 640a 2020 2020 2020 6d61  started.      ma
│ │ │ -0004f580: 736b 6564 3a20 6661 6c73 650a 2020 2020  sked: false.    
│ │ │ -0004f590: 7768 656e 3a0a 2020 2020 2d20 2722 7273  when:.    - '"rs
│ │ │ -0004f5a0: 7973 6c6f 6722 2069 6e20 616e 7369 626c  yslog" in ansibl
│ │ │ -0004f5b0: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -0004f5c0: 270a 2020 7768 656e 3a20 2722 6c69 6e75  '.  when: '"linu
│ │ │ -0004f5d0: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ -0004f5e0: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ -0004f5f0: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ -0004f600: 4953 542d 3830 302d 3533 2d41 552d 3428  IST-800-53-AU-4(
│ │ │ -0004f610: 3129 0a20 202d 204e 4953 542d 3830 302d  1).  - NIST-800-
│ │ │ -0004f620: 3533 2d43 4d2d 3628 6129 0a20 202d 2065  53-CM-6(a).  - e
│ │ │ -0004f630: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -0004f640: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -0004f650: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -0004f660: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -0004f670: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -0004f680: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -0004f690: 2d20 7365 7276 6963 655f 7273 7973 6c6f  - service_rsyslo
│ │ │ -0004f6a0: 675f 656e 6162 6c65 640a 3c2f 636f 6465  g_enabled.</code
│ │ │ +0004ee40: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ +0004ee50: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +0004ee60: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +0004ee70: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +0004ee80: 6964 3d22 6964 6d31 3032 3030 223e 3c74  id="idm10200"><t
│ │ │ +0004ee90: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +0004eea0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +0004eeb0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +0004eec0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +0004eed0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +0004eee0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +0004eef0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0004ef00: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +0004ef10: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0004ef20: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +0004ef30: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +0004ef40: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0004ef50: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +0004ef60: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +0004ef70: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +0004ef80: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ +0004ef90: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ +0004efa0: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ +0004efb0: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ +0004efc0: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ +0004efd0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +0004efe0: 332d 4155 2d34 2831 290a 2020 2d20 4e49  3-AU-4(1).  - NI
│ │ │ +0004eff0: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +0004f000: 290a 2020 2d20 656e 6162 6c65 5f73 7472  ).  - enable_str
│ │ │ +0004f010: 6174 6567 790a 2020 2d20 6c6f 775f 636f  ategy.  - low_co
│ │ │ +0004f020: 6d70 6c65 7869 7479 0a20 202d 206c 6f77  mplexity.  - low
│ │ │ +0004f030: 5f64 6973 7275 7074 696f 6e0a 2020 2d20  _disruption.  - 
│ │ │ +0004f040: 6d65 6469 756d 5f73 6576 6572 6974 790a  medium_severity.
│ │ │ +0004f050: 2020 2d20 6e6f 5f72 6562 6f6f 745f 6e65    - no_reboot_ne
│ │ │ +0004f060: 6564 6564 0a20 202d 2073 6572 7669 6365  eded.  - service
│ │ │ +0004f070: 5f72 7379 736c 6f67 5f65 6e61 626c 6564  _rsyslog_enabled
│ │ │ +0004f080: 0a0a 2d20 6e61 6d65 3a20 456e 6162 6c65  ..- name: Enable
│ │ │ +0004f090: 2072 7379 736c 6f67 2053 6572 7669 6365   rsyslog Service
│ │ │ +0004f0a0: 202d 2045 6e61 626c 6520 7365 7276 6963   - Enable servic
│ │ │ +0004f0b0: 6520 7273 7973 6c6f 670a 2020 626c 6f63  e rsyslog.  bloc
│ │ │ +0004f0c0: 6b3a 0a0a 2020 2d20 6e61 6d65 3a20 4761  k:..  - name: Ga
│ │ │ +0004f0d0: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ +0004f0e0: 2066 6163 7473 0a20 2020 2070 6163 6b61   facts.    packa
│ │ │ +0004f0f0: 6765 5f66 6163 7473 3a0a 2020 2020 2020  ge_facts:.      
│ │ │ +0004f100: 6d61 6e61 6765 723a 2061 7574 6f0a 0a20  manager: auto.. 
│ │ │ +0004f110: 202d 206e 616d 653a 2045 6e61 626c 6520   - name: Enable 
│ │ │ +0004f120: 7273 7973 6c6f 6720 5365 7276 6963 6520  rsyslog Service 
│ │ │ +0004f130: 2d20 456e 6162 6c65 2053 6572 7669 6365  - Enable Service
│ │ │ +0004f140: 2072 7379 736c 6f67 0a20 2020 2061 6e73   rsyslog.    ans
│ │ │ +0004f150: 6962 6c65 2e62 7569 6c74 696e 2e73 7973  ible.builtin.sys
│ │ │ +0004f160: 7465 6d64 3a0a 2020 2020 2020 6e61 6d65  temd:.      name
│ │ │ +0004f170: 3a20 7273 7973 6c6f 670a 2020 2020 2020  : rsyslog.      
│ │ │ +0004f180: 656e 6162 6c65 643a 2074 7275 650a 2020  enabled: true.  
│ │ │ +0004f190: 2020 2020 7374 6174 653a 2073 7461 7274      state: start
│ │ │ +0004f1a0: 6564 0a20 2020 2020 206d 6173 6b65 643a  ed.      masked:
│ │ │ +0004f1b0: 2066 616c 7365 0a20 2020 2077 6865 6e3a   false.    when:
│ │ │ +0004f1c0: 0a20 2020 202d 2027 2272 7379 736c 6f67  .    - '"rsyslog
│ │ │ +0004f1d0: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ +0004f1e0: 7473 2e70 6163 6b61 6765 7327 0a20 2077  ts.packages'.  w
│ │ │ +0004f1f0: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ +0004f200: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ +0004f210: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ +0004f220: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +0004f230: 3030 2d35 332d 4155 2d34 2831 290a 2020  00-53-AU-4(1).  
│ │ │ +0004f240: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +0004f250: 2d36 2861 290a 2020 2d20 656e 6162 6c65  -6(a).  - enable
│ │ │ +0004f260: 5f73 7472 6174 6567 790a 2020 2d20 6c6f  _strategy.  - lo
│ │ │ +0004f270: 775f 636f 6d70 6c65 7869 7479 0a20 202d  w_complexity.  -
│ │ │ +0004f280: 206c 6f77 5f64 6973 7275 7074 696f 6e0a   low_disruption.
│ │ │ +0004f290: 2020 2d20 6d65 6469 756d 5f73 6576 6572    - medium_sever
│ │ │ +0004f2a0: 6974 790a 2020 2d20 6e6f 5f72 6562 6f6f  ity.  - no_reboo
│ │ │ +0004f2b0: 745f 6e65 6564 6564 0a20 202d 2073 6572  t_needed.  - ser
│ │ │ +0004f2c0: 7669 6365 5f72 7379 736c 6f67 5f65 6e61  vice_rsyslog_ena
│ │ │ +0004f2d0: 626c 6564 0a3c 2f63 6f64 653e 3c2f 7072  bled.</code></pr
│ │ │ +0004f2e0: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │ +0004f2f0: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │ +0004f300: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │ +0004f310: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │ +0004f320: 6172 6765 743d 2223 6964 6d31 3032 3031  arget="#idm10201
│ │ │ +0004f330: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │ +0004f340: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ +0004f350: 612d 6578 7061 6e64 6564 3d22 6661 6c73  a-expanded="fals
│ │ │ +0004f360: 6522 2074 6974 6c65 3d22 4163 7469 7661  e" title="Activa
│ │ │ +0004f370: 7465 2074 6f20 7265 7665 616c 2220 6872  te to reveal" hr
│ │ │ +0004f380: 6566 3d22 2321 223e 5265 6d65 6469 6174  ef="#!">Remediat
│ │ │ +0004f390: 696f 6e20 5075 7070 6574 2073 6e69 7070  ion Puppet snipp
│ │ │ +0004f3a0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +0004f3b0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +0004f3c0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +0004f3d0: 6522 2069 643d 2269 646d 3130 3230 3122  e" id="idm10201"
│ │ │ +0004f3e0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ +0004f3f0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ +0004f400: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ +0004f410: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ +0004f420: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ +0004f430: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ +0004f440: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +0004f450: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ +0004f460: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +0004f470: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ +0004f480: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ +0004f490: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ +0004f4a0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ +0004f4b0: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ +0004f4c0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +0004f4d0: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +0004f4e0: 2065 6e61 626c 655f 7273 7973 6c6f 670a   enable_rsyslog.
│ │ │ +0004f4f0: 0a63 6c61 7373 2065 6e61 626c 655f 7273  .class enable_rs
│ │ │ +0004f500: 7973 6c6f 6720 7b0a 2020 7365 7276 6963  yslog {.  servic
│ │ │ +0004f510: 6520 7b27 7273 7973 6c6f 6727 3a0a 2020  e {'rsyslog':.  
│ │ │ +0004f520: 2020 656e 6162 6c65 203d 2667 743b 2074    enable =&gt; t
│ │ │ +0004f530: 7275 652c 0a20 2020 2065 6e73 7572 6520  rue,.    ensure 
│ │ │ +0004f540: 3d26 6774 3b20 2772 756e 6e69 6e67 272c  =&gt; 'running',
│ │ │ +0004f550: 0a20 207d 0a7d 0a3c 2f63 6f64 653e 3c2f  .  }.}.</code></
│ │ │ +0004f560: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +0004f570: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +0004f580: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +0004f590: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +0004f5a0: 2d74 6172 6765 743d 2223 6964 6d31 3032  -target="#idm102
│ │ │ +0004f5b0: 3032 2220 7461 6269 6e64 6578 3d22 3022  02" tabindex="0"
│ │ │ +0004f5c0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +0004f5d0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +0004f5e0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +0004f5f0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +0004f600: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +0004f610: 6174 696f 6e20 4f53 4275 696c 6420 426c  ation OSBuild Bl
│ │ │ +0004f620: 7565 7072 696e 7420 736e 6970 7065 7420  ueprint snippet 
│ │ │ +0004f630: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +0004f640: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +0004f650: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +0004f660: 6964 3d22 6964 6d31 3032 3032 223e 3c70  id="idm10202"><p
│ │ │ +0004f670: 7265 3e3c 636f 6465 3e0a 5b63 7573 746f  re><code>.[custo
│ │ │ +0004f680: 6d69 7a61 7469 6f6e 732e 7365 7276 6963  mizations.servic
│ │ │ +0004f690: 6573 5d0a 656e 6162 6c65 6420 3d20 5b22  es].enabled = ["
│ │ │ +0004f6a0: 7273 7973 6c6f 6722 5d0a 3c2f 636f 6465  rsyslog"].</code
│ │ │  0004f6b0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 2f64  ></pre></div></d
│ │ │  0004f6c0: 6976 3e3c 2f74 643e 3c2f 7472 3e3c 2f74  iv></td></tr></t
│ │ │  0004f6d0: 626f 6479 3e3c 2f74 6162 6c65 3e3c 2f74  body></table></t
│ │ │  0004f6e0: 643e 3c2f 7472 3e3c 7472 2064 6174 612d  d></tr><tr data-
│ │ │  0004f6f0: 7474 2d69 643d 2263 6869 6c64 7265 6e2d  tt-id="children-
│ │ │  0004f700: 7863 6364 665f 6f72 672e 7373 6770 726f  xccdf_org.ssgpro
│ │ │  0004f710: 6a65 6374 2e63 6f6e 7465 6e74 5f67 726f  ject.content_gro
│ │ │ @@ -27974,131 +27974,131 @@
│ │ │  0006d450: 743d 2223 6964 6d31 3934 3436 2220 7461  t="#idm19446" ta
│ │ │  0006d460: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │  0006d470: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │  0006d480: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │  0006d490: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │  0006d4a0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │  0006d4b0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -0006d4c0: 4f53 4275 696c 6420 426c 7565 7072 696e  OSBuild Blueprin
│ │ │ -0006d4d0: 7420 736e 6970 7065 7420 e287 b23c 2f61  t snippet ...</a
│ │ │ -0006d4e0: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -0006d4f0: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -0006d500: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -0006d510: 6d31 3934 3436 223e 3c70 7265 3e3c 636f  m19446"><pre><co
│ │ │ -0006d520: 6465 3e0a 5b5b 7061 636b 6167 6573 5d5d  de>.[[packages]]
│ │ │ -0006d530: 0a6e 616d 6520 3d20 2263 726f 6e22 0a76  .name = "cron".v
│ │ │ -0006d540: 6572 7369 6f6e 203d 2022 2a22 0a3c 2f63  ersion = "*".</c
│ │ │ -0006d550: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ -0006d560: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ -0006d570: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ -0006d580: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ -0006d590: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ -0006d5a0: 6964 6d31 3934 3437 2220 7461 6269 6e64  idm19447" tabind
│ │ │ -0006d5b0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ -0006d5c0: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ -0006d5d0: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ -0006d5e0: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ -0006d5f0: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ -0006d600: 5265 6d65 6469 6174 696f 6e20 5075 7070  Remediation Pupp
│ │ │ -0006d610: 6574 2073 6e69 7070 6574 20e2 87b2 3c2f  et snippet ...</
│ │ │ -0006d620: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -0006d630: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -0006d640: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -0006d650: 646d 3139 3434 3722 3e3c 7461 626c 6520  dm19447"><table 
│ │ │ -0006d660: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -0006d670: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -0006d680: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -0006d690: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -0006d6a0: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -0006d6b0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0006d6c0: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -0006d6d0: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -0006d6e0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -0006d6f0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -0006d700: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -0006d710: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -0006d720: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -0006d730: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -0006d740: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -0006d750: 3e69 6e63 6c75 6465 2069 6e73 7461 6c6c  >include install
│ │ │ -0006d760: 5f63 726f 6e0a 0a63 6c61 7373 2069 6e73  _cron..class ins
│ │ │ -0006d770: 7461 6c6c 5f63 726f 6e20 7b0a 2020 7061  tall_cron {.  pa
│ │ │ -0006d780: 636b 6167 6520 7b20 2763 726f 6e27 3a0a  ckage { 'cron':.
│ │ │ -0006d790: 2020 2020 656e 7375 7265 203d 2667 743b      ensure =&gt;
│ │ │ -0006d7a0: 2027 696e 7374 616c 6c65 6427 2c0a 2020   'installed',.  
│ │ │ -0006d7b0: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -0006d7c0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -0006d7d0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -0006d7e0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -0006d7f0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -0006d800: 7267 6574 3d22 2369 646d 3139 3434 3822  rget="#idm19448"
│ │ │ -0006d810: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -0006d820: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -0006d830: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -0006d840: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -0006d850: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -0006d860: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -0006d870: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ -0006d880: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -0006d890: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -0006d8a0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -0006d8b0: 6522 2069 643d 2269 646d 3139 3434 3822  e" id="idm19448"
│ │ │ -0006d8c0: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -0006d8d0: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -0006d8e0: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -0006d8f0: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -0006d900: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -0006d910: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -0006d920: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -0006d930: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -0006d940: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -0006d950: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -0006d960: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -0006d970: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -0006d980: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -0006d990: 683e 3c74 643e 656e 6162 6c65 3c2f 7464  h><td>enable</td
│ │ │ -0006d9a0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ -0006d9b0: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ -0006d9c0: 2047 6174 6865 7220 7468 6520 7061 636b   Gather the pack
│ │ │ -0006d9d0: 6167 6520 6661 6374 730a 2020 7061 636b  age facts.  pack
│ │ │ -0006d9e0: 6167 655f 6661 6374 733a 0a20 2020 206d  age_facts:.    m
│ │ │ -0006d9f0: 616e 6167 6572 3a20 6175 746f 0a20 2074  anager: auto.  t
│ │ │ -0006da00: 6167 733a 0a20 202d 204e 4953 542d 3830  ags:.  - NIST-80
│ │ │ -0006da10: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ -0006da20: 2050 4349 2d44 5353 7634 2d32 2e32 0a20   PCI-DSSv4-2.2. 
│ │ │ -0006da30: 202d 2050 4349 2d44 5353 7634 2d32 2e32   - PCI-DSSv4-2.2
│ │ │ -0006da40: 2e36 0a20 202d 2065 6e61 626c 655f 7374  .6.  - enable_st
│ │ │ -0006da50: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -0006da60: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -0006da70: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -0006da80: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -0006da90: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -0006daa0: 6565 6465 640a 2020 2d20 7061 636b 6167  eeded.  - packag
│ │ │ -0006dab0: 655f 6372 6f6e 5f69 6e73 7461 6c6c 6564  e_cron_installed
│ │ │ -0006dac0: 0a0a 2d20 6e61 6d65 3a20 456e 7375 7265  ..- name: Ensure
│ │ │ -0006dad0: 2063 726f 6e20 6973 2069 6e73 7461 6c6c   cron is install
│ │ │ -0006dae0: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ -0006daf0: 2020 6e61 6d65 3a20 6372 6f6e 0a20 2020    name: cron.   
│ │ │ -0006db00: 2073 7461 7465 3a20 7072 6573 656e 740a   state: present.
│ │ │ -0006db10: 2020 7768 656e 3a20 2722 6c69 6e75 782d    when: '"linux-
│ │ │ -0006db20: 6261 7365 2220 696e 2061 6e73 6962 6c65  base" in ansible
│ │ │ -0006db30: 5f66 6163 7473 2e70 6163 6b61 6765 7327  _facts.packages'
│ │ │ -0006db40: 0a20 2074 6167 733a 0a20 202d 204e 4953  .  tags:.  - NIS
│ │ │ -0006db50: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ -0006db60: 0a20 202d 2050 4349 2d44 5353 7634 2d32  .  - PCI-DSSv4-2
│ │ │ -0006db70: 2e32 0a20 202d 2050 4349 2d44 5353 7634  .2.  - PCI-DSSv4
│ │ │ -0006db80: 2d32 2e32 2e36 0a20 202d 2065 6e61 626c  -2.2.6.  - enabl
│ │ │ -0006db90: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -0006dba0: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -0006dbb0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -0006dbc0: 0a20 202d 206d 6564 6975 6d5f 7365 7665  .  - medium_seve
│ │ │ -0006dbd0: 7269 7479 0a20 202d 206e 6f5f 7265 626f  rity.  - no_rebo
│ │ │ -0006dbe0: 6f74 5f6e 6565 6465 640a 2020 2d20 7061  ot_needed.  - pa
│ │ │ -0006dbf0: 636b 6167 655f 6372 6f6e 5f69 6e73 7461  ckage_cron_insta
│ │ │ -0006dc00: 6c6c 6564 0a3c 2f63 6f64 653e 3c2f 7072  lled.</code></pr
│ │ │ +0006d4c0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ +0006d4d0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +0006d4e0: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +0006d4f0: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +0006d500: 6964 3d22 6964 6d31 3934 3436 223e 3c74  id="idm19446"><t
│ │ │ +0006d510: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +0006d520: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +0006d530: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +0006d540: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +0006d550: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +0006d560: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +0006d570: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0006d580: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +0006d590: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0006d5a0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +0006d5b0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +0006d5c0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0006d5d0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +0006d5e0: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +0006d5f0: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +0006d600: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ +0006d610: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ +0006d620: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ +0006d630: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ +0006d640: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ +0006d650: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +0006d660: 332d 434d 2d36 2861 290a 2020 2d20 5043  3-CM-6(a).  - PC
│ │ │ +0006d670: 492d 4453 5376 342d 322e 320a 2020 2d20  I-DSSv4-2.2.  - 
│ │ │ +0006d680: 5043 492d 4453 5376 342d 322e 322e 360a  PCI-DSSv4-2.2.6.
│ │ │ +0006d690: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ +0006d6a0: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ +0006d6b0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +0006d6c0: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ +0006d6d0: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ +0006d6e0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +0006d6f0: 6564 0a20 202d 2070 6163 6b61 6765 5f63  ed.  - package_c
│ │ │ +0006d700: 726f 6e5f 696e 7374 616c 6c65 640a 0a2d  ron_installed..-
│ │ │ +0006d710: 206e 616d 653a 2045 6e73 7572 6520 6372   name: Ensure cr
│ │ │ +0006d720: 6f6e 2069 7320 696e 7374 616c 6c65 640a  on is installed.
│ │ │ +0006d730: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ +0006d740: 616d 653a 2063 726f 6e0a 2020 2020 7374  ame: cron.    st
│ │ │ +0006d750: 6174 653a 2070 7265 7365 6e74 0a20 2077  ate: present.  w
│ │ │ +0006d760: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ +0006d770: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ +0006d780: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ +0006d790: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ +0006d7a0: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ +0006d7b0: 2d20 5043 492d 4453 5376 342d 322e 320a  - PCI-DSSv4-2.2.
│ │ │ +0006d7c0: 2020 2d20 5043 492d 4453 5376 342d 322e    - PCI-DSSv4-2.
│ │ │ +0006d7d0: 322e 360a 2020 2d20 656e 6162 6c65 5f73  2.6.  - enable_s
│ │ │ +0006d7e0: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ +0006d7f0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ +0006d800: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ +0006d810: 2d20 6d65 6469 756d 5f73 6576 6572 6974  - medium_severit
│ │ │ +0006d820: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +0006d830: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ +0006d840: 6765 5f63 726f 6e5f 696e 7374 616c 6c65  ge_cron_installe
│ │ │ +0006d850: 640a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  d.</code></pre><
│ │ │ +0006d860: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ +0006d870: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ +0006d880: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ +0006d890: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ +0006d8a0: 6574 3d22 2369 646d 3139 3434 3722 2074  et="#idm19447" t
│ │ │ +0006d8b0: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ +0006d8c0: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ +0006d8d0: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ +0006d8e0: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ +0006d8f0: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ +0006d900: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ +0006d910: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ +0006d920: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ +0006d930: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ +0006d940: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ +0006d950: 6964 3d22 6964 6d31 3934 3437 223e 3c74  id="idm19447"><t
│ │ │ +0006d960: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ +0006d970: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ +0006d980: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ +0006d990: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ +0006d9a0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ +0006d9b0: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ +0006d9c0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0006d9d0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ +0006d9e0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0006d9f0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ +0006da00: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ +0006da10: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +0006da20: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ +0006da30: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ +0006da40: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +0006da50: 3c63 6f64 653e 696e 636c 7564 6520 696e  <code>include in
│ │ │ +0006da60: 7374 616c 6c5f 6372 6f6e 0a0a 636c 6173  stall_cron..clas
│ │ │ +0006da70: 7320 696e 7374 616c 6c5f 6372 6f6e 207b  s install_cron {
│ │ │ +0006da80: 0a20 2070 6163 6b61 6765 207b 2027 6372  .  package { 'cr
│ │ │ +0006da90: 6f6e 273a 0a20 2020 2065 6e73 7572 6520  on':.    ensure 
│ │ │ +0006daa0: 3d26 6774 3b20 2769 6e73 7461 6c6c 6564  =&gt; 'installed
│ │ │ +0006dab0: 272c 0a20 207d 0a7d 0a3c 2f63 6f64 653e  ',.  }.}.</code>
│ │ │ +0006dac0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ +0006dad0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ +0006dae0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ +0006daf0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ +0006db00: 7461 2d74 6172 6765 743d 2223 6964 6d31  ta-target="#idm1
│ │ │ +0006db10: 3934 3438 2220 7461 6269 6e64 6578 3d22  9448" tabindex="
│ │ │ +0006db20: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ +0006db30: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ +0006db40: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ +0006db50: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ +0006db60: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ +0006db70: 6469 6174 696f 6e20 4f53 4275 696c 6420  diation OSBuild 
│ │ │ +0006db80: 426c 7565 7072 696e 7420 736e 6970 7065  Blueprint snippe
│ │ │ +0006db90: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +0006dba0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +0006dbb0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +0006dbc0: 2220 6964 3d22 6964 6d31 3934 3438 223e  " id="idm19448">
│ │ │ +0006dbd0: 3c70 7265 3e3c 636f 6465 3e0a 5b5b 7061  <pre><code>.[[pa
│ │ │ +0006dbe0: 636b 6167 6573 5d5d 0a6e 616d 6520 3d20  ckages]].name = 
│ │ │ +0006dbf0: 2263 726f 6e22 0a76 6572 7369 6f6e 203d  "cron".version =
│ │ │ +0006dc00: 2022 2a22 0a3c 2f63 6f64 653e 3c2f 7072   "*".</code></pr
│ │ │  0006dc10: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │  0006dc20: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │  0006dc30: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │  0006dc40: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │  0006dc50: 6172 6765 743d 2223 6964 6d31 3934 3439  arget="#idm19449
│ │ │  0006dc60: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │  0006dc70: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ @@ -28373,144 +28373,144 @@
│ │ │  0006ed40: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │  0006ed50: 3139 3533 3222 2074 6162 696e 6465 783d  19532" tabindex=
│ │ │  0006ed60: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │  0006ed70: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │  0006ed80: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │  0006ed90: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │  0006eda0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -0006edb0: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ -0006edc0: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ -0006edd0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -0006ede0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -0006edf0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -0006ee00: 6522 2069 643d 2269 646d 3139 3533 3222  e" id="idm19532"
│ │ │ -0006ee10: 3e3c 7072 653e 3c63 6f64 653e 0a5b 6375  ><pre><code>.[cu
│ │ │ -0006ee20: 7374 6f6d 697a 6174 696f 6e73 2e73 6572  stomizations.ser
│ │ │ -0006ee30: 7669 6365 735d 0a65 6e61 626c 6564 203d  vices].enabled =
│ │ │ -0006ee40: 205b 2263 726f 6e22 5d0a 3c2f 636f 6465   ["cron"].</code
│ │ │ -0006ee50: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -0006ee60: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -0006ee70: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -0006ee80: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -0006ee90: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -0006eea0: 3139 3533 3322 2074 6162 696e 6465 783d  19533" tabindex=
│ │ │ -0006eeb0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -0006eec0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -0006eed0: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -0006eee0: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -0006eef0: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -0006ef00: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ -0006ef10: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -0006ef20: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -0006ef30: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -0006ef40: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ -0006ef50: 3935 3333 223e 3c74 6162 6c65 2063 6c61  9533"><table cla
│ │ │ -0006ef60: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -0006ef70: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -0006ef80: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -0006ef90: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -0006efa0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -0006efb0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -0006efc0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -0006efd0: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -0006efe0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -0006eff0: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -0006f000: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -0006f010: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -0006f020: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -0006f030: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -0006f040: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -0006f050: 636c 7564 6520 656e 6162 6c65 5f63 726f  clude enable_cro
│ │ │ -0006f060: 6e0a 0a63 6c61 7373 2065 6e61 626c 655f  n..class enable_
│ │ │ -0006f070: 6372 6f6e 207b 0a20 2073 6572 7669 6365  cron {.  service
│ │ │ -0006f080: 207b 2763 726f 6e27 3a0a 2020 2020 656e   {'cron':.    en
│ │ │ -0006f090: 6162 6c65 203d 2667 743b 2074 7275 652c  able =&gt; true,
│ │ │ -0006f0a0: 0a20 2020 2065 6e73 7572 6520 3d26 6774  .    ensure =&gt
│ │ │ -0006f0b0: 3b20 2772 756e 6e69 6e67 272c 0a20 207d  ; 'running',.  }
│ │ │ -0006f0c0: 0a7d 0a3c 2f63 6f64 653e 3c2f 7072 653e  .}.</code></pre>
│ │ │ -0006f0d0: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ -0006f0e0: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ -0006f0f0: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ -0006f100: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ -0006f110: 6765 743d 2223 6964 6d31 3935 3334 2220  get="#idm19534" 
│ │ │ -0006f120: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ -0006f130: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ -0006f140: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ -0006f150: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ -0006f160: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ -0006f170: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -0006f180: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ -0006f190: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ -0006f1a0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ -0006f1b0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ -0006f1c0: 2220 6964 3d22 6964 6d31 3935 3334 223e  " id="idm19534">
│ │ │ -0006f1d0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ -0006f1e0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ -0006f1f0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ -0006f200: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ -0006f210: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ -0006f220: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ -0006f230: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -0006f240: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ -0006f250: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -0006f260: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ -0006f270: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ -0006f280: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ -0006f290: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ -0006f2a0: 3e3c 7464 3e65 6e61 626c 653c 2f74 643e  ><td>enable</td>
│ │ │ -0006f2b0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -0006f2c0: 653e 3c63 6f64 653e 2d20 6e61 6d65 3a20  e><code>- name: 
│ │ │ -0006f2d0: 4761 7468 6572 2074 6865 2070 6163 6b61  Gather the packa
│ │ │ -0006f2e0: 6765 2066 6163 7473 0a20 2070 6163 6b61  ge facts.  packa
│ │ │ -0006f2f0: 6765 5f66 6163 7473 3a0a 2020 2020 6d61  ge_facts:.    ma
│ │ │ -0006f300: 6e61 6765 723a 2061 7574 6f0a 2020 7461  nager: auto.  ta
│ │ │ -0006f310: 6773 3a0a 2020 2d20 4e49 5354 2d38 3030  gs:.  - NIST-800
│ │ │ -0006f320: 2d35 332d 434d 2d36 2861 290a 2020 2d20  -53-CM-6(a).  - 
│ │ │ -0006f330: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ -0006f340: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -0006f350: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -0006f360: 7074 696f 6e0a 2020 2d20 6d65 6469 756d  ption.  - medium
│ │ │ -0006f370: 5f73 6576 6572 6974 790a 2020 2d20 6e6f  _severity.  - no
│ │ │ -0006f380: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ -0006f390: 202d 2073 6572 7669 6365 5f63 726f 6e5f   - service_cron_
│ │ │ -0006f3a0: 656e 6162 6c65 640a 0a2d 206e 616d 653a  enabled..- name:
│ │ │ -0006f3b0: 2045 6e61 626c 6520 6372 6f6e 2053 6572   Enable cron Ser
│ │ │ -0006f3c0: 7669 6365 202d 2045 6e61 626c 6520 7365  vice - Enable se
│ │ │ -0006f3d0: 7276 6963 6520 6372 6f6e 0a20 2062 6c6f  rvice cron.  blo
│ │ │ -0006f3e0: 636b 3a0a 0a20 202d 206e 616d 653a 2047  ck:..  - name: G
│ │ │ -0006f3f0: 6174 6865 7220 7468 6520 7061 636b 6167  ather the packag
│ │ │ -0006f400: 6520 6661 6374 730a 2020 2020 7061 636b  e facts.    pack
│ │ │ -0006f410: 6167 655f 6661 6374 733a 0a20 2020 2020  age_facts:.     
│ │ │ -0006f420: 206d 616e 6167 6572 3a20 6175 746f 0a0a   manager: auto..
│ │ │ -0006f430: 2020 2d20 6e61 6d65 3a20 456e 6162 6c65    - name: Enable
│ │ │ -0006f440: 2063 726f 6e20 5365 7276 6963 6520 2d20   cron Service - 
│ │ │ -0006f450: 456e 6162 6c65 2053 6572 7669 6365 2063  Enable Service c
│ │ │ -0006f460: 726f 6e0a 2020 2020 616e 7369 626c 652e  ron.    ansible.
│ │ │ -0006f470: 6275 696c 7469 6e2e 7379 7374 656d 643a  builtin.systemd:
│ │ │ -0006f480: 0a20 2020 2020 206e 616d 653a 2063 726f  .      name: cro
│ │ │ -0006f490: 6e0a 2020 2020 2020 656e 6162 6c65 643a  n.      enabled:
│ │ │ -0006f4a0: 2074 7275 650a 2020 2020 2020 7374 6174   true.      stat
│ │ │ -0006f4b0: 653a 2073 7461 7274 6564 0a20 2020 2020  e: started.     
│ │ │ -0006f4c0: 206d 6173 6b65 643a 2066 616c 7365 0a20   masked: false. 
│ │ │ -0006f4d0: 2020 2077 6865 6e3a 0a20 2020 202d 2027     when:.    - '
│ │ │ -0006f4e0: 2263 726f 6e22 2069 6e20 616e 7369 626c  "cron" in ansibl
│ │ │ -0006f4f0: 655f 6661 6374 732e 7061 636b 6167 6573  e_facts.packages
│ │ │ -0006f500: 270a 2020 7768 656e 3a20 2722 6c69 6e75  '.  when: '"linu
│ │ │ -0006f510: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ -0006f520: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ -0006f530: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ -0006f540: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ -0006f550: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ -0006f560: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ -0006f570: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ -0006f580: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ -0006f590: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ -0006f5a0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ -0006f5b0: 6565 6465 640a 2020 2d20 7365 7276 6963  eeded.  - servic
│ │ │ -0006f5c0: 655f 6372 6f6e 5f65 6e61 626c 6564 0a3c  e_cron_enabled.<
│ │ │ +0006edb0: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ +0006edc0: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +0006edd0: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +0006ede0: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +0006edf0: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +0006ee00: 3139 3533 3222 3e3c 7461 626c 6520 636c  19532"><table cl
│ │ │ +0006ee10: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +0006ee20: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +0006ee30: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +0006ee40: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +0006ee50: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +0006ee60: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0006ee70: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +0006ee80: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +0006ee90: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0006eea0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +0006eeb0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +0006eec0: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +0006eed0: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ +0006eee0: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +0006eef0: 626c 653e 3c70 7265 3e3c 636f 6465 3e2d  ble><pre><code>-
│ │ │ +0006ef00: 206e 616d 653a 2047 6174 6865 7220 7468   name: Gather th
│ │ │ +0006ef10: 6520 7061 636b 6167 6520 6661 6374 730a  e package facts.
│ │ │ +0006ef20: 2020 7061 636b 6167 655f 6661 6374 733a    package_facts:
│ │ │ +0006ef30: 0a20 2020 206d 616e 6167 6572 3a20 6175  .    manager: au
│ │ │ +0006ef40: 746f 0a20 2074 6167 733a 0a20 202d 204e  to.  tags:.  - N
│ │ │ +0006ef50: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +0006ef60: 6129 0a20 202d 2065 6e61 626c 655f 7374  a).  - enable_st
│ │ │ +0006ef70: 7261 7465 6779 0a20 202d 206c 6f77 5f63  rategy.  - low_c
│ │ │ +0006ef80: 6f6d 706c 6578 6974 790a 2020 2d20 6c6f  omplexity.  - lo
│ │ │ +0006ef90: 775f 6469 7372 7570 7469 6f6e 0a20 202d  w_disruption.  -
│ │ │ +0006efa0: 206d 6564 6975 6d5f 7365 7665 7269 7479   medium_severity
│ │ │ +0006efb0: 0a20 202d 206e 6f5f 7265 626f 6f74 5f6e  .  - no_reboot_n
│ │ │ +0006efc0: 6565 6465 640a 2020 2d20 7365 7276 6963  eeded.  - servic
│ │ │ +0006efd0: 655f 6372 6f6e 5f65 6e61 626c 6564 0a0a  e_cron_enabled..
│ │ │ +0006efe0: 2d20 6e61 6d65 3a20 456e 6162 6c65 2063  - name: Enable c
│ │ │ +0006eff0: 726f 6e20 5365 7276 6963 6520 2d20 456e  ron Service - En
│ │ │ +0006f000: 6162 6c65 2073 6572 7669 6365 2063 726f  able service cro
│ │ │ +0006f010: 6e0a 2020 626c 6f63 6b3a 0a0a 2020 2d20  n.  block:..  - 
│ │ │ +0006f020: 6e61 6d65 3a20 4761 7468 6572 2074 6865  name: Gather the
│ │ │ +0006f030: 2070 6163 6b61 6765 2066 6163 7473 0a20   package facts. 
│ │ │ +0006f040: 2020 2070 6163 6b61 6765 5f66 6163 7473     package_facts
│ │ │ +0006f050: 3a0a 2020 2020 2020 6d61 6e61 6765 723a  :.      manager:
│ │ │ +0006f060: 2061 7574 6f0a 0a20 202d 206e 616d 653a   auto..  - name:
│ │ │ +0006f070: 2045 6e61 626c 6520 6372 6f6e 2053 6572   Enable cron Ser
│ │ │ +0006f080: 7669 6365 202d 2045 6e61 626c 6520 5365  vice - Enable Se
│ │ │ +0006f090: 7276 6963 6520 6372 6f6e 0a20 2020 2061  rvice cron.    a
│ │ │ +0006f0a0: 6e73 6962 6c65 2e62 7569 6c74 696e 2e73  nsible.builtin.s
│ │ │ +0006f0b0: 7973 7465 6d64 3a0a 2020 2020 2020 6e61  ystemd:.      na
│ │ │ +0006f0c0: 6d65 3a20 6372 6f6e 0a20 2020 2020 2065  me: cron.      e
│ │ │ +0006f0d0: 6e61 626c 6564 3a20 7472 7565 0a20 2020  nabled: true.   
│ │ │ +0006f0e0: 2020 2073 7461 7465 3a20 7374 6172 7465     state: starte
│ │ │ +0006f0f0: 640a 2020 2020 2020 6d61 736b 6564 3a20  d.      masked: 
│ │ │ +0006f100: 6661 6c73 650a 2020 2020 7768 656e 3a0a  false.    when:.
│ │ │ +0006f110: 2020 2020 2d20 2722 6372 6f6e 2220 696e      - '"cron" in
│ │ │ +0006f120: 2061 6e73 6962 6c65 5f66 6163 7473 2e70   ansible_facts.p
│ │ │ +0006f130: 6163 6b61 6765 7327 0a20 2077 6865 6e3a  ackages'.  when:
│ │ │ +0006f140: 2027 226c 696e 7578 2d62 6173 6522 2069   '"linux-base" i
│ │ │ +0006f150: 6e20 616e 7369 626c 655f 6661 6374 732e  n ansible_facts.
│ │ │ +0006f160: 7061 636b 6167 6573 270a 2020 7461 6773  packages'.  tags
│ │ │ +0006f170: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +0006f180: 332d 434d 2d36 2861 290a 2020 2d20 656e  3-CM-6(a).  - en
│ │ │ +0006f190: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +0006f1a0: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +0006f1b0: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +0006f1c0: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +0006f1d0: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +0006f1e0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +0006f1f0: 2073 6572 7669 6365 5f63 726f 6e5f 656e   service_cron_en
│ │ │ +0006f200: 6162 6c65 640a 3c2f 636f 6465 3e3c 2f70  abled.</code></p
│ │ │ +0006f210: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +0006f220: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +0006f230: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +0006f240: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +0006f250: 7461 7267 6574 3d22 2369 646d 3139 3533  target="#idm1953
│ │ │ +0006f260: 3322 2074 6162 696e 6465 783d 2230 2220  3" tabindex="0" 
│ │ │ +0006f270: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +0006f280: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +0006f290: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +0006f2a0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +0006f2b0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +0006f2c0: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ +0006f2d0: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +0006f2e0: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +0006f2f0: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +0006f300: 7365 2220 6964 3d22 6964 6d31 3935 3333  se" id="idm19533
│ │ │ +0006f310: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +0006f320: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +0006f330: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +0006f340: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +0006f350: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +0006f360: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +0006f370: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +0006f380: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +0006f390: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +0006f3a0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +0006f3b0: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +0006f3c0: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +0006f3d0: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +0006f3e0: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +0006f3f0: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +0006f400: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +0006f410: 6520 656e 6162 6c65 5f63 726f 6e0a 0a63  e enable_cron..c
│ │ │ +0006f420: 6c61 7373 2065 6e61 626c 655f 6372 6f6e  lass enable_cron
│ │ │ +0006f430: 207b 0a20 2073 6572 7669 6365 207b 2763   {.  service {'c
│ │ │ +0006f440: 726f 6e27 3a0a 2020 2020 656e 6162 6c65  ron':.    enable
│ │ │ +0006f450: 203d 2667 743b 2074 7275 652c 0a20 2020   =&gt; true,.   
│ │ │ +0006f460: 2065 6e73 7572 6520 3d26 6774 3b20 2772   ensure =&gt; 'r
│ │ │ +0006f470: 756e 6e69 6e67 272c 0a20 207d 0a7d 0a3c  unning',.  }.}.<
│ │ │ +0006f480: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +0006f490: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +0006f4a0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +0006f4b0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +0006f4c0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +0006f4d0: 2223 6964 6d31 3935 3334 2220 7461 6269  "#idm19534" tabi
│ │ │ +0006f4e0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +0006f4f0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +0006f500: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +0006f510: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +0006f520: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +0006f530: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ +0006f540: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ +0006f550: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ +0006f560: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ +0006f570: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ +0006f580: 6c6c 6170 7365 2220 6964 3d22 6964 6d31  llapse" id="idm1
│ │ │ +0006f590: 3935 3334 223e 3c70 7265 3e3c 636f 6465  9534"><pre><code
│ │ │ +0006f5a0: 3e0a 5b63 7573 746f 6d69 7a61 7469 6f6e  >.[customization
│ │ │ +0006f5b0: 732e 7365 7276 6963 6573 5d0a 656e 6162  s.services].enab
│ │ │ +0006f5c0: 6c65 6420 3d20 5b22 6372 6f6e 225d 0a3c  led = ["cron"].<
│ │ │  0006f5d0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  0006f5e0: 763e 3c2f 6469 763e 3c2f 7464 3e3c 2f74  v></div></td></t
│ │ │  0006f5f0: 723e 3c2f 7462 6f64 793e 3c2f 7461 626c  r></tbody></tabl
│ │ │  0006f600: 653e 3c2f 7464 3e3c 2f74 723e 3c74 7220  e></td></tr><tr 
│ │ │  0006f610: 6461 7461 2d74 742d 6964 3d22 6368 696c  data-tt-id="chil
│ │ │  0006f620: 6472 656e 2d78 6363 6466 5f6f 7267 2e73  dren-xccdf_org.s
│ │ │  0006f630: 7367 7072 6f6a 6563 742e 636f 6e74 656e  sgproject.conten
│ │ │ @@ -28790,96 +28790,96 @@
│ │ │  00070750: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  00070760: 3d22 2369 646d 3139 3633 3722 2074 6162  ="#idm19637" tab
│ │ │  00070770: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │  00070780: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │  00070790: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │  000707a0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │  000707b0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -000707c0: 2122 3e52 656d 6564 6961 7469 6f6e 2050  !">Remediation P
│ │ │ -000707d0: 7570 7065 7420 736e 6970 7065 7420 e287  uppet snippet ..
│ │ │ -000707e0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -000707f0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00070800: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00070810: 3d22 6964 6d31 3936 3337 223e 3c74 6162  ="idm19637"><tab
│ │ │ -00070820: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00070830: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00070840: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00070850: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00070860: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00070870: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00070880: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -00070890: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -000708a0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -000708b0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -000708c0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -000708d0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -000708e0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -000708f0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -00070900: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -00070910: 636f 6465 3e69 6e63 6c75 6465 2072 656d  code>include rem
│ │ │ -00070920: 6f76 655f 696e 6574 7574 696c 732d 7465  ove_inetutils-te
│ │ │ -00070930: 6c6e 6574 640a 0a63 6c61 7373 2072 656d  lnetd..class rem
│ │ │ -00070940: 6f76 655f 696e 6574 7574 696c 732d 7465  ove_inetutils-te
│ │ │ -00070950: 6c6e 6574 6420 7b0a 2020 7061 636b 6167  lnetd {.  packag
│ │ │ -00070960: 6520 7b20 2769 6e65 7475 7469 6c73 2d74  e { 'inetutils-t
│ │ │ -00070970: 656c 6e65 7464 273a 0a20 2020 2065 6e73  elnetd':.    ens
│ │ │ -00070980: 7572 6520 3d26 6774 3b20 2770 7572 6765  ure =&gt; 'purge
│ │ │ -00070990: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │ -000709a0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -000709b0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -000709c0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -000709d0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -000709e0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -000709f0: 3139 3633 3822 2074 6162 696e 6465 783d  19638" tabindex=
│ │ │ -00070a00: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -00070a10: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -00070a20: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00070a30: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00070a40: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00070a50: 6564 6961 7469 6f6e 2041 6e73 6962 6c65  ediation Ansible
│ │ │ -00070a60: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -00070a70: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -00070a80: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -00070a90: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -00070aa0: 3139 3633 3822 3e3c 7461 626c 6520 636c  19638"><table cl
│ │ │ -00070ab0: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ -00070ac0: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ -00070ad0: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ -00070ae0: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ -00070af0: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ -00070b00: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -00070b10: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ -00070b20: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ -00070b30: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ -00070b40: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ -00070b50: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ -00070b60: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ -00070b70: 6779 3a3c 2f74 683e 3c74 643e 6469 7361  gy:</th><td>disa
│ │ │ -00070b80: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ -00070b90: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ -00070ba0: 2d20 6e61 6d65 3a20 456e 7375 7265 2069  - name: Ensure i
│ │ │ -00070bb0: 6e65 7475 7469 6c73 2d74 656c 6e65 7464  netutils-telnetd
│ │ │ -00070bc0: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ -00070bd0: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -00070be0: 2069 6e65 7475 7469 6c73 2d74 656c 6e65   inetutils-telne
│ │ │ -00070bf0: 7464 0a20 2020 2073 7461 7465 3a20 6162  td.    state: ab
│ │ │ -00070c00: 7365 6e74 0a20 2074 6167 733a 0a20 202d  sent.  tags:.  -
│ │ │ -00070c10: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -00070c20: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ -00070c30: 302d 3533 2d43 4d2d 3728 6129 0a20 202d  0-53-CM-7(a).  -
│ │ │ -00070c40: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -00070c50: 3728 6229 0a20 202d 2064 6973 6162 6c65  7(b).  - disable
│ │ │ -00070c60: 5f73 7472 6174 6567 790a 2020 2d20 6869  _strategy.  - hi
│ │ │ -00070c70: 6768 5f73 6576 6572 6974 790a 2020 2d20  gh_severity.  - 
│ │ │ -00070c80: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ -00070c90: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ -00070ca0: 6e0a 2020 2d20 6e6f 5f72 6562 6f6f 745f  n.  - no_reboot_
│ │ │ -00070cb0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -00070cc0: 6765 5f69 6e65 7475 7469 6c73 2d74 656c  ge_inetutils-tel
│ │ │ -00070cd0: 6e65 7464 5f72 656d 6f76 6564 0a3c 2f63  netd_removed.</c
│ │ │ +000707c0: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ +000707d0: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ +000707e0: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +000707f0: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +00070800: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +00070810: 643d 2269 646d 3139 3633 3722 3e3c 7461  d="idm19637"><ta
│ │ │ +00070820: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +00070830: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +00070840: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +00070850: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +00070860: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +00070870: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +00070880: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00070890: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +000708a0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +000708b0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +000708c0: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +000708d0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +000708e0: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +000708f0: 643e 6469 7361 626c 653c 2f74 643e 3c2f  d>disable</td></
│ │ │ +00070900: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ +00070910: 3c63 6f64 653e 2d20 6e61 6d65 3a20 456e  <code>- name: En
│ │ │ +00070920: 7375 7265 2069 6e65 7475 7469 6c73 2d74  sure inetutils-t
│ │ │ +00070930: 656c 6e65 7464 2069 7320 7265 6d6f 7665  elnetd is remove
│ │ │ +00070940: 640a 2020 7061 636b 6167 653a 0a20 2020  d.  package:.   
│ │ │ +00070950: 206e 616d 653a 2069 6e65 7475 7469 6c73   name: inetutils
│ │ │ +00070960: 2d74 656c 6e65 7464 0a20 2020 2073 7461  -telnetd.    sta
│ │ │ +00070970: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ +00070980: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ +00070990: 3533 2d43 4d2d 3628 6129 0a20 202d 204e  53-CM-6(a).  - N
│ │ │ +000709a0: 4953 542d 3830 302d 3533 2d43 4d2d 3728  IST-800-53-CM-7(
│ │ │ +000709b0: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +000709c0: 3533 2d43 4d2d 3728 6229 0a20 202d 2064  53-CM-7(b).  - d
│ │ │ +000709d0: 6973 6162 6c65 5f73 7472 6174 6567 790a  isable_strategy.
│ │ │ +000709e0: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ +000709f0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ +00070a00: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ +00070a10: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ +00070a20: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +00070a30: 2070 6163 6b61 6765 5f69 6e65 7475 7469   package_inetuti
│ │ │ +00070a40: 6c73 2d74 656c 6e65 7464 5f72 656d 6f76  ls-telnetd_remov
│ │ │ +00070a50: 6564 0a3c 2f63 6f64 653e 3c2f 7072 653e  ed.</code></pre>
│ │ │ +00070a60: 3c2f 6469 763e 3c61 2063 6c61 7373 3d22  </div><a class="
│ │ │ +00070a70: 6274 6e20 6274 6e2d 7375 6363 6573 7322  btn btn-success"
│ │ │ +00070a80: 2064 6174 612d 746f 6767 6c65 3d22 636f   data-toggle="co
│ │ │ +00070a90: 6c6c 6170 7365 2220 6461 7461 2d74 6172  llapse" data-tar
│ │ │ +00070aa0: 6765 743d 2223 6964 6d31 3936 3338 2220  get="#idm19638" 
│ │ │ +00070ab0: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │ +00070ac0: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │ +00070ad0: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │ +00070ae0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │ +00070af0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │ +00070b00: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ +00070b10: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ +00070b20: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ +00070b30: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ +00070b40: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ +00070b50: 2069 643d 2269 646d 3139 3633 3822 3e3c   id="idm19638"><
│ │ │ +00070b60: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ +00070b70: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ +00070b80: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ +00070b90: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ +00070ba0: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ +00070bb0: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ +00070bc0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00070bd0: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ +00070be0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00070bf0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ +00070c00: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ +00070c10: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ +00070c20: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ +00070c30: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ +00070c40: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ +00070c50: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ +00070c60: 7265 6d6f 7665 5f69 6e65 7475 7469 6c73  remove_inetutils
│ │ │ +00070c70: 2d74 656c 6e65 7464 0a0a 636c 6173 7320  -telnetd..class 
│ │ │ +00070c80: 7265 6d6f 7665 5f69 6e65 7475 7469 6c73  remove_inetutils
│ │ │ +00070c90: 2d74 656c 6e65 7464 207b 0a20 2070 6163  -telnetd {.  pac
│ │ │ +00070ca0: 6b61 6765 207b 2027 696e 6574 7574 696c  kage { 'inetutil
│ │ │ +00070cb0: 732d 7465 6c6e 6574 6427 3a0a 2020 2020  s-telnetd':.    
│ │ │ +00070cc0: 656e 7375 7265 203d 2667 743b 2027 7075  ensure =&gt; 'pu
│ │ │ +00070cd0: 7267 6564 272c 0a20 207d 0a7d 0a3c 2f63  rged',.  }.}.</c
│ │ │  00070ce0: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │  00070cf0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │  00070d00: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │  00070d10: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │  00070d20: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │  00070d30: 6964 6d31 3936 3339 2220 7461 6269 6e64  idm19639" tabind
│ │ │  00070d40: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ @@ -29025,86 +29025,86 @@
│ │ │  00071600: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  00071610: 2223 6964 6d31 3936 3436 2220 7461 6269  "#idm19646" tabi
│ │ │  00071620: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │  00071630: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │  00071640: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │  00071650: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │  00071660: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -00071670: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ -00071680: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ -00071690: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -000716a0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -000716b0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -000716c0: 2269 646d 3139 3634 3622 3e3c 7461 626c  "idm19646"><tabl
│ │ │ -000716d0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -000716e0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -000716f0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00071700: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00071710: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00071720: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00071730: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00071740: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00071750: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00071760: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00071770: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -00071780: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -00071790: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -000717a0: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ -000717b0: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ -000717c0: 6f64 653e 696e 636c 7564 6520 7265 6d6f  ode>include remo
│ │ │ -000717d0: 7665 5f6e 6973 0a0a 636c 6173 7320 7265  ve_nis..class re
│ │ │ -000717e0: 6d6f 7665 5f6e 6973 207b 0a20 2070 6163  move_nis {.  pac
│ │ │ -000717f0: 6b61 6765 207b 2027 6e69 7327 3a0a 2020  kage { 'nis':.  
│ │ │ -00071800: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -00071810: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │ -00071820: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -00071830: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -00071840: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -00071850: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -00071860: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -00071870: 2223 6964 6d31 3936 3437 2220 7461 6269  "#idm19647" tabi
│ │ │ -00071880: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -00071890: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -000718a0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -000718b0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -000718c0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -000718d0: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -000718e0: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -000718f0: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00071900: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00071910: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00071920: 3d22 6964 6d31 3936 3437 223e 3c74 6162  ="idm19647"><tab
│ │ │ -00071930: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00071940: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00071950: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00071960: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00071970: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -00071980: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00071990: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -000719a0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -000719b0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -000719c0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -000719d0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -000719e0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -000719f0: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00071a00: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -00071a10: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -00071a20: 636f 6465 3e2d 206e 616d 653a 2045 6e73  code>- name: Ens
│ │ │ -00071a30: 7572 6520 6e69 7320 6973 2072 656d 6f76  ure nis is remov
│ │ │ -00071a40: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ -00071a50: 2020 6e61 6d65 3a20 6e69 730a 2020 2020    name: nis.    
│ │ │ -00071a60: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ -00071a70: 7461 6773 3a0a 2020 2d20 6469 7361 626c  tags:.  - disabl
│ │ │ -00071a80: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ -00071a90: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ -00071aa0: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ -00071ab0: 0a20 202d 206c 6f77 5f73 6576 6572 6974  .  - low_severit
│ │ │ -00071ac0: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ -00071ad0: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ -00071ae0: 6765 5f6e 6973 5f72 656d 6f76 6564 0a3c  ge_nis_removed.<
│ │ │ +00071670: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ +00071680: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ +00071690: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +000716a0: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +000716b0: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +000716c0: 3d22 6964 6d31 3936 3436 223e 3c74 6162  ="idm19646"><tab
│ │ │ +000716d0: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +000716e0: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +000716f0: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00071700: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00071710: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00071720: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +00071730: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +00071740: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +00071750: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00071760: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +00071770: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +00071780: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +00071790: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +000717a0: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ +000717b0: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +000717c0: 636f 6465 3e2d 206e 616d 653a 2045 6e73  code>- name: Ens
│ │ │ +000717d0: 7572 6520 6e69 7320 6973 2072 656d 6f76  ure nis is remov
│ │ │ +000717e0: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +000717f0: 2020 6e61 6d65 3a20 6e69 730a 2020 2020    name: nis.    
│ │ │ +00071800: 7374 6174 653a 2061 6273 656e 740a 2020  state: absent.  
│ │ │ +00071810: 7461 6773 3a0a 2020 2d20 6469 7361 626c  tags:.  - disabl
│ │ │ +00071820: 655f 7374 7261 7465 6779 0a20 202d 206c  e_strategy.  - l
│ │ │ +00071830: 6f77 5f63 6f6d 706c 6578 6974 790a 2020  ow_complexity.  
│ │ │ +00071840: 2d20 6c6f 775f 6469 7372 7570 7469 6f6e  - low_disruption
│ │ │ +00071850: 0a20 202d 206c 6f77 5f73 6576 6572 6974  .  - low_severit
│ │ │ +00071860: 790a 2020 2d20 6e6f 5f72 6562 6f6f 745f  y.  - no_reboot_
│ │ │ +00071870: 6e65 6564 6564 0a20 202d 2070 6163 6b61  needed.  - packa
│ │ │ +00071880: 6765 5f6e 6973 5f72 656d 6f76 6564 0a3c  ge_nis_removed.<
│ │ │ +00071890: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ +000718a0: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ +000718b0: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ +000718c0: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ +000718d0: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ +000718e0: 2223 6964 6d31 3936 3437 2220 7461 6269  "#idm19647" tabi
│ │ │ +000718f0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ +00071900: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ +00071910: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ +00071920: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ +00071930: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ +00071940: 223e 5265 6d65 6469 6174 696f 6e20 5075  ">Remediation Pu
│ │ │ +00071950: 7070 6574 2073 6e69 7070 6574 20e2 87b2  ppet snippet ...
│ │ │ +00071960: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ +00071970: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ +00071980: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ +00071990: 2269 646d 3139 3634 3722 3e3c 7461 626c  "idm19647"><tabl
│ │ │ +000719a0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ +000719b0: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ +000719c0: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ +000719d0: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ +000719e0: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ +000719f0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +00071a00: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ +00071a10: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ +00071a20: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00071a30: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ +00071a40: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ +00071a50: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ +00071a60: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ +00071a70: 6469 7361 626c 653c 2f74 643e 3c2f 7472  disable</td></tr
│ │ │ +00071a80: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00071a90: 6f64 653e 696e 636c 7564 6520 7265 6d6f  ode>include remo
│ │ │ +00071aa0: 7665 5f6e 6973 0a0a 636c 6173 7320 7265  ve_nis..class re
│ │ │ +00071ab0: 6d6f 7665 5f6e 6973 207b 0a20 2070 6163  move_nis {.  pac
│ │ │ +00071ac0: 6b61 6765 207b 2027 6e69 7327 3a0a 2020  kage { 'nis':.  
│ │ │ +00071ad0: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ +00071ae0: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │  00071af0: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │  00071b00: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │  00071b10: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │  00071b20: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │  00071b30: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  00071b40: 2223 6964 6d31 3936 3438 2220 7461 6269  "#idm19648" tabi
│ │ │  00071b50: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ @@ -29249,87 +29249,87 @@
│ │ │  00072400: 612d 7461 7267 6574 3d22 2369 646d 3139  a-target="#idm19
│ │ │  00072410: 3635 3522 2074 6162 696e 6465 783d 2230  655" tabindex="0
│ │ │  00072420: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │  00072430: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │  00072440: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │  00072450: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │  00072460: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ -00072470: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ -00072480: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ -00072490: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ -000724a0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ -000724b0: 6170 7365 2220 6964 3d22 6964 6d31 3936  apse" id="idm196
│ │ │ -000724c0: 3535 223e 3c74 6162 6c65 2063 6c61 7373  55"><table class
│ │ │ -000724d0: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ -000724e0: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ -000724f0: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ -00072500: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ -00072510: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ -00072520: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00072530: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ -00072540: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ -00072550: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ -00072560: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ -00072570: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ -00072580: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ -00072590: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ -000725a0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -000725b0: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ -000725c0: 6c75 6465 2072 656d 6f76 655f 6e74 7064  lude remove_ntpd
│ │ │ -000725d0: 6174 650a 0a63 6c61 7373 2072 656d 6f76  ate..class remov
│ │ │ -000725e0: 655f 6e74 7064 6174 6520 7b0a 2020 7061  e_ntpdate {.  pa
│ │ │ -000725f0: 636b 6167 6520 7b20 276e 7470 6461 7465  ckage { 'ntpdate
│ │ │ -00072600: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ -00072610: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ -00072620: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │ -00072630: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ -00072640: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ -00072650: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ -00072660: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ -00072670: 7267 6574 3d22 2369 646d 3139 3635 3622  rget="#idm19656"
│ │ │ -00072680: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ -00072690: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ -000726a0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ -000726b0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ -000726c0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ -000726d0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ -000726e0: 6f6e 2041 6e73 6962 6c65 2073 6e69 7070  on Ansible snipp
│ │ │ -000726f0: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ -00072700: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ -00072710: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ -00072720: 6522 2069 643d 2269 646d 3139 3635 3622  e" id="idm19656"
│ │ │ -00072730: 3e3c 7461 626c 6520 636c 6173 733d 2274  ><table class="t
│ │ │ -00072740: 6162 6c65 2074 6162 6c65 2d73 7472 6970  able table-strip
│ │ │ -00072750: 6564 2074 6162 6c65 2d62 6f72 6465 7265  ed table-bordere
│ │ │ -00072760: 6420 7461 626c 652d 636f 6e64 656e 7365  d table-condense
│ │ │ -00072770: 6422 3e3c 7472 3e3c 7468 3e43 6f6d 706c  d"><tr><th>Compl
│ │ │ -00072780: 6578 6974 793a 3c2f 7468 3e3c 7464 3e6c  exity:</th><td>l
│ │ │ -00072790: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -000727a0: 3c74 683e 4469 7372 7570 7469 6f6e 3a3c  <th>Disruption:<
│ │ │ -000727b0: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ -000727c0: 3c2f 7472 3e3c 7472 3e3c 7468 3e52 6562  </tr><tr><th>Reb
│ │ │ -000727d0: 6f6f 743a 3c2f 7468 3e3c 7464 3e66 616c  oot:</th><td>fal
│ │ │ -000727e0: 7365 3c2f 7464 3e3c 2f74 723e 3c74 723e  se</td></tr><tr>
│ │ │ -000727f0: 3c74 683e 5374 7261 7465 6779 3a3c 2f74  <th>Strategy:</t
│ │ │ -00072800: 683e 3c74 643e 6469 7361 626c 653c 2f74  h><td>disable</t
│ │ │ -00072810: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00072820: 7072 653e 3c63 6f64 653e 2d20 6e61 6d65  pre><code>- name
│ │ │ -00072830: 3a20 456e 7375 7265 206e 7470 6461 7465  : Ensure ntpdate
│ │ │ -00072840: 2069 7320 7265 6d6f 7665 640a 2020 7061   is removed.  pa
│ │ │ -00072850: 636b 6167 653a 0a20 2020 206e 616d 653a  ckage:.    name:
│ │ │ -00072860: 206e 7470 6461 7465 0a20 2020 2073 7461   ntpdate.    sta
│ │ │ -00072870: 7465 3a20 6162 7365 6e74 0a20 2074 6167  te: absent.  tag
│ │ │ -00072880: 733a 0a20 202d 2064 6973 6162 6c65 5f73  s:.  - disable_s
│ │ │ -00072890: 7472 6174 6567 790a 2020 2d20 6c6f 775f  trategy.  - low_
│ │ │ -000728a0: 636f 6d70 6c65 7869 7479 0a20 202d 206c  complexity.  - l
│ │ │ -000728b0: 6f77 5f64 6973 7275 7074 696f 6e0a 2020  ow_disruption.  
│ │ │ -000728c0: 2d20 6c6f 775f 7365 7665 7269 7479 0a20  - low_severity. 
│ │ │ -000728d0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -000728e0: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ -000728f0: 6e74 7064 6174 655f 7265 6d6f 7665 640a  ntpdate_removed.
│ │ │ +00072470: 6961 7469 6f6e 2041 6e73 6962 6c65 2073  iation Ansible s
│ │ │ +00072480: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ +00072490: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ +000724a0: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ +000724b0: 6c61 7073 6522 2069 643d 2269 646d 3139  lapse" id="idm19
│ │ │ +000724c0: 3635 3522 3e3c 7461 626c 6520 636c 6173  655"><table clas
│ │ │ +000724d0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ +000724e0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ +000724f0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ +00072500: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ +00072510: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ +00072520: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +00072530: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ +00072540: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ +00072550: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ +00072560: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ +00072570: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ +00072580: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ +00072590: 3a3c 2f74 683e 3c74 643e 6469 7361 626c  :</th><td>disabl
│ │ │ +000725a0: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ +000725b0: 6c65 3e3c 7072 653e 3c63 6f64 653e 2d20  le><pre><code>- 
│ │ │ +000725c0: 6e61 6d65 3a20 456e 7375 7265 206e 7470  name: Ensure ntp
│ │ │ +000725d0: 6461 7465 2069 7320 7265 6d6f 7665 640a  date is removed.
│ │ │ +000725e0: 2020 7061 636b 6167 653a 0a20 2020 206e    package:.    n
│ │ │ +000725f0: 616d 653a 206e 7470 6461 7465 0a20 2020  ame: ntpdate.   
│ │ │ +00072600: 2073 7461 7465 3a20 6162 7365 6e74 0a20   state: absent. 
│ │ │ +00072610: 2074 6167 733a 0a20 202d 2064 6973 6162   tags:.  - disab
│ │ │ +00072620: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +00072630: 6c6f 775f 636f 6d70 6c65 7869 7479 0a20  low_complexity. 
│ │ │ +00072640: 202d 206c 6f77 5f64 6973 7275 7074 696f   - low_disruptio
│ │ │ +00072650: 6e0a 2020 2d20 6c6f 775f 7365 7665 7269  n.  - low_severi
│ │ │ +00072660: 7479 0a20 202d 206e 6f5f 7265 626f 6f74  ty.  - no_reboot
│ │ │ +00072670: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ +00072680: 6167 655f 6e74 7064 6174 655f 7265 6d6f  age_ntpdate_remo
│ │ │ +00072690: 7665 640a 3c2f 636f 6465 3e3c 2f70 7265  ved.</code></pre
│ │ │ +000726a0: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +000726b0: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +000726c0: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +000726d0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +000726e0: 7267 6574 3d22 2369 646d 3139 3635 3622  rget="#idm19656"
│ │ │ +000726f0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00072700: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00072710: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00072720: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00072730: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00072740: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +00072750: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +00072760: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00072770: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00072780: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00072790: 2220 6964 3d22 6964 6d31 3936 3536 223e  " id="idm19656">
│ │ │ +000727a0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +000727b0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +000727c0: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +000727d0: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +000727e0: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +000727f0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00072800: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00072810: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00072820: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00072830: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00072840: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00072850: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00072860: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00072870: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +00072880: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00072890: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +000728a0: 2072 656d 6f76 655f 6e74 7064 6174 650a   remove_ntpdate.
│ │ │ +000728b0: 0a63 6c61 7373 2072 656d 6f76 655f 6e74  .class remove_nt
│ │ │ +000728c0: 7064 6174 6520 7b0a 2020 7061 636b 6167  pdate {.  packag
│ │ │ +000728d0: 6520 7b20 276e 7470 6461 7465 273a 0a20  e { 'ntpdate':. 
│ │ │ +000728e0: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ +000728f0: 2770 7572 6765 6427 2c0a 2020 7d0a 7d0a  'purged',.  }.}.
│ │ │  00072900: 3c2f 636f 6465 3e3c 2f70 7265 3e3c 2f64  </code></pre></d
│ │ │  00072910: 6976 3e3c 6120 636c 6173 733d 2262 746e  iv><a class="btn
│ │ │  00072920: 2062 746e 2d73 7563 6365 7373 2220 6461   btn-success" da
│ │ │  00072930: 7461 2d74 6f67 676c 653d 2263 6f6c 6c61  ta-toggle="colla
│ │ │  00072940: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  00072950: 3d22 2369 646d 3139 3635 3722 2074 6162  ="#idm19657" tab
│ │ │  00072960: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │ @@ -29591,93 +29591,93 @@
│ │ │  00073960: 6765 743d 2223 6964 6d31 3937 3536 2220  get="#idm19756" 
│ │ │  00073970: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  00073980: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  00073990: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  000739a0: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  000739b0: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  000739c0: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -000739d0: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -000739e0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -000739f0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00073a00: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00073a10: 2069 643d 2269 646d 3139 3735 3622 3e3c   id="idm19756"><
│ │ │ -00073a20: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00073a30: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -00073a40: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -00073a50: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00073a60: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -00073a70: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -00073a80: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00073a90: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -00073aa0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00073ab0: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -00073ac0: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -00073ad0: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00073ae0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -00073af0: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -00073b00: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -00073b10: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -00073b20: 7265 6d6f 7665 5f74 656c 6e65 7464 2d73  remove_telnetd-s
│ │ │ -00073b30: 736c 0a0a 636c 6173 7320 7265 6d6f 7665  sl..class remove
│ │ │ -00073b40: 5f74 656c 6e65 7464 2d73 736c 207b 0a20  _telnetd-ssl {. 
│ │ │ -00073b50: 2070 6163 6b61 6765 207b 2027 7465 6c6e   package { 'teln
│ │ │ -00073b60: 6574 642d 7373 6c27 3a0a 2020 2020 656e  etd-ssl':.    en
│ │ │ -00073b70: 7375 7265 203d 2667 743b 2027 7075 7267  sure =&gt; 'purg
│ │ │ -00073b80: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ -00073b90: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ -00073ba0: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ -00073bb0: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ -00073bc0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ -00073bd0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ -00073be0: 6d31 3937 3537 2220 7461 6269 6e64 6578  m19757" tabindex
│ │ │ -00073bf0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ -00073c00: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ -00073c10: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ -00073c20: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ -00073c30: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00073c40: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ -00073c50: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ -00073c60: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ -00073c70: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ -00073c80: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ -00073c90: 6d31 3937 3537 223e 3c74 6162 6c65 2063  m19757"><table c
│ │ │ -00073ca0: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ -00073cb0: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ -00073cc0: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ -00073cd0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ -00073ce0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ -00073cf0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00073d00: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ -00073d10: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ -00073d20: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ -00073d30: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ -00073d40: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ -00073d50: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ -00073d60: 6567 793a 3c2f 7468 3e3c 7464 3e64 6973  egy:</th><td>dis
│ │ │ -00073d70: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -00073d80: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00073d90: 3e2d 206e 616d 653a 2045 6e73 7572 6520  >- name: Ensure 
│ │ │ -00073da0: 7465 6c6e 6574 642d 7373 6c20 6973 2072  telnetd-ssl is r
│ │ │ -00073db0: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ -00073dc0: 3a0a 2020 2020 6e61 6d65 3a20 7465 6c6e  :.    name: teln
│ │ │ -00073dd0: 6574 642d 7373 6c0a 2020 2020 7374 6174  etd-ssl.    stat
│ │ │ -00073de0: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ -00073df0: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ -00073e00: 332d 434d 2d36 2861 290a 2020 2d20 4e49  3-CM-6(a).  - NI
│ │ │ -00073e10: 5354 2d38 3030 2d35 332d 434d 2d37 2861  ST-800-53-CM-7(a
│ │ │ -00073e20: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ -00073e30: 332d 434d 2d37 2862 290a 2020 2d20 6469  3-CM-7(b).  - di
│ │ │ -00073e40: 7361 626c 655f 7374 7261 7465 6779 0a20  sable_strategy. 
│ │ │ -00073e50: 202d 2068 6967 685f 7365 7665 7269 7479   - high_severity
│ │ │ -00073e60: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ -00073e70: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ -00073e80: 7570 7469 6f6e 0a20 202d 206e 6f5f 7265  uption.  - no_re
│ │ │ -00073e90: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ -00073ea0: 7061 636b 6167 655f 7465 6c6e 6574 642d  package_telnetd-
│ │ │ -00073eb0: 7373 6c5f 7265 6d6f 7665 640a 3c2f 636f  ssl_removed.</co
│ │ │ +000739d0: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +000739e0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +000739f0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00073a00: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00073a10: 2220 6964 3d22 6964 6d31 3937 3536 223e  " id="idm19756">
│ │ │ +00073a20: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00073a30: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00073a40: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00073a50: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00073a60: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00073a70: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00073a80: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00073a90: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00073aa0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00073ab0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00073ac0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00073ad0: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00073ae0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00073af0: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +00073b00: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00073b10: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +00073b20: 2045 6e73 7572 6520 7465 6c6e 6574 642d   Ensure telnetd-
│ │ │ +00073b30: 7373 6c20 6973 2072 656d 6f76 6564 0a20  ssl is removed. 
│ │ │ +00073b40: 2070 6163 6b61 6765 3a0a 2020 2020 6e61   package:.    na
│ │ │ +00073b50: 6d65 3a20 7465 6c6e 6574 642d 7373 6c0a  me: telnetd-ssl.
│ │ │ +00073b60: 2020 2020 7374 6174 653a 2061 6273 656e      state: absen
│ │ │ +00073b70: 740a 2020 7461 6773 3a0a 2020 2d20 4e49  t.  tags:.  - NI
│ │ │ +00073b80: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +00073b90: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +00073ba0: 332d 434d 2d37 2861 290a 2020 2d20 4e49  3-CM-7(a).  - NI
│ │ │ +00073bb0: 5354 2d38 3030 2d35 332d 434d 2d37 2862  ST-800-53-CM-7(b
│ │ │ +00073bc0: 290a 2020 2d20 6469 7361 626c 655f 7374  ).  - disable_st
│ │ │ +00073bd0: 7261 7465 6779 0a20 202d 2068 6967 685f  rategy.  - high_
│ │ │ +00073be0: 7365 7665 7269 7479 0a20 202d 206c 6f77  severity.  - low
│ │ │ +00073bf0: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ +00073c00: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ +00073c10: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ +00073c20: 6465 640a 2020 2d20 7061 636b 6167 655f  ded.  - package_
│ │ │ +00073c30: 7465 6c6e 6574 642d 7373 6c5f 7265 6d6f  telnetd-ssl_remo
│ │ │ +00073c40: 7665 640a 3c2f 636f 6465 3e3c 2f70 7265  ved.</code></pre
│ │ │ +00073c50: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │ +00073c60: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │ +00073c70: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │ +00073c80: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │ +00073c90: 7267 6574 3d22 2369 646d 3139 3735 3722  rget="#idm19757"
│ │ │ +00073ca0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │ +00073cb0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ +00073cc0: 2d65 7870 616e 6465 643d 2266 616c 7365  -expanded="false
│ │ │ +00073cd0: 2220 7469 746c 653d 2241 6374 6976 6174  " title="Activat
│ │ │ +00073ce0: 6520 746f 2072 6576 6561 6c22 2068 7265  e to reveal" hre
│ │ │ +00073cf0: 663d 2223 2122 3e52 656d 6564 6961 7469  f="#!">Remediati
│ │ │ +00073d00: 6f6e 2050 7570 7065 7420 736e 6970 7065  on Puppet snippe
│ │ │ +00073d10: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00073d20: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00073d30: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00073d40: 2220 6964 3d22 6964 6d31 3937 3537 223e  " id="idm19757">
│ │ │ +00073d50: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00073d60: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00073d70: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00073d80: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00073d90: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00073da0: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00073db0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00073dc0: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00073dd0: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00073de0: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00073df0: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00073e00: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +00073e10: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +00073e20: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +00073e30: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +00073e40: 7265 3e3c 636f 6465 3e69 6e63 6c75 6465  re><code>include
│ │ │ +00073e50: 2072 656d 6f76 655f 7465 6c6e 6574 642d   remove_telnetd-
│ │ │ +00073e60: 7373 6c0a 0a63 6c61 7373 2072 656d 6f76  ssl..class remov
│ │ │ +00073e70: 655f 7465 6c6e 6574 642d 7373 6c20 7b0a  e_telnetd-ssl {.
│ │ │ +00073e80: 2020 7061 636b 6167 6520 7b20 2774 656c    package { 'tel
│ │ │ +00073e90: 6e65 7464 2d73 736c 273a 0a20 2020 2065  netd-ssl':.    e
│ │ │ +00073ea0: 6e73 7572 6520 3d26 6774 3b20 2770 7572  nsure =&gt; 'pur
│ │ │ +00073eb0: 6765 6427 2c0a 2020 7d0a 7d0a 3c2f 636f  ged',.  }.}.</co
│ │ │  00073ec0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  00073ed0: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │  00073ee0: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │  00073ef0: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │  00073f00: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │  00073f10: 646d 3139 3735 3822 2074 6162 696e 6465  dm19758" tabinde
│ │ │  00073f20: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ @@ -29939,92 +29939,92 @@
│ │ │  00074f20: 6765 743d 2223 6964 6d31 3938 3536 2220  get="#idm19856" 
│ │ │  00074f30: 7461 6269 6e64 6578 3d22 3022 2072 6f6c  tabindex="0" rol
│ │ │  00074f40: 653d 2262 7574 746f 6e22 2061 7269 612d  e="button" aria-
│ │ │  00074f50: 6578 7061 6e64 6564 3d22 6661 6c73 6522  expanded="false"
│ │ │  00074f60: 2074 6974 6c65 3d22 4163 7469 7661 7465   title="Activate
│ │ │  00074f70: 2074 6f20 7265 7665 616c 2220 6872 6566   to reveal" href
│ │ │  00074f80: 3d22 2321 223e 5265 6d65 6469 6174 696f  ="#!">Remediatio
│ │ │ -00074f90: 6e20 5075 7070 6574 2073 6e69 7070 6574  n Puppet snippet
│ │ │ -00074fa0: 20e2 87b2 3c2f 613e 3c62 723e 3c64 6976   ...</a><br><div
│ │ │ -00074fb0: 2063 6c61 7373 3d22 7061 6e65 6c2d 636f   class="panel-co
│ │ │ -00074fc0: 6c6c 6170 7365 2063 6f6c 6c61 7073 6522  llapse collapse"
│ │ │ -00074fd0: 2069 643d 2269 646d 3139 3835 3622 3e3c   id="idm19856"><
│ │ │ -00074fe0: 7461 626c 6520 636c 6173 733d 2274 6162  table class="tab
│ │ │ -00074ff0: 6c65 2074 6162 6c65 2d73 7472 6970 6564  le table-striped
│ │ │ -00075000: 2074 6162 6c65 2d62 6f72 6465 7265 6420   table-bordered 
│ │ │ -00075010: 7461 626c 652d 636f 6e64 656e 7365 6422  table-condensed"
│ │ │ -00075020: 3e3c 7472 3e3c 7468 3e43 6f6d 706c 6578  ><tr><th>Complex
│ │ │ -00075030: 6974 793a 3c2f 7468 3e3c 7464 3e6c 6f77  ity:</th><td>low
│ │ │ -00075040: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00075050: 683e 4469 7372 7570 7469 6f6e 3a3c 2f74  h>Disruption:</t
│ │ │ -00075060: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ -00075070: 7472 3e3c 7472 3e3c 7468 3e52 6562 6f6f  tr><tr><th>Reboo
│ │ │ -00075080: 743a 3c2f 7468 3e3c 7464 3e66 616c 7365  t:</th><td>false
│ │ │ -00075090: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -000750a0: 683e 5374 7261 7465 6779 3a3c 2f74 683e  h>Strategy:</th>
│ │ │ -000750b0: 3c74 643e 6469 7361 626c 653c 2f74 643e  <td>disable</td>
│ │ │ -000750c0: 3c2f 7472 3e3c 2f74 6162 6c65 3e3c 7072  </tr></table><pr
│ │ │ -000750d0: 653e 3c63 6f64 653e 696e 636c 7564 6520  e><code>include 
│ │ │ -000750e0: 7265 6d6f 7665 5f74 656c 6e65 7464 0a0a  remove_telnetd..
│ │ │ -000750f0: 636c 6173 7320 7265 6d6f 7665 5f74 656c  class remove_tel
│ │ │ -00075100: 6e65 7464 207b 0a20 2070 6163 6b61 6765  netd {.  package
│ │ │ -00075110: 207b 2027 7465 6c6e 6574 6427 3a0a 2020   { 'telnetd':.  
│ │ │ -00075120: 2020 656e 7375 7265 203d 2667 743b 2027    ensure =&gt; '
│ │ │ -00075130: 7075 7267 6564 272c 0a20 207d 0a7d 0a3c  purged',.  }.}.<
│ │ │ -00075140: 2f63 6f64 653e 3c2f 7072 653e 3c2f 6469  /code></pre></di
│ │ │ -00075150: 763e 3c61 2063 6c61 7373 3d22 6274 6e20  v><a class="btn 
│ │ │ -00075160: 6274 6e2d 7375 6363 6573 7322 2064 6174  btn-success" dat
│ │ │ -00075170: 612d 746f 6767 6c65 3d22 636f 6c6c 6170  a-toggle="collap
│ │ │ -00075180: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │ -00075190: 2223 6964 6d31 3938 3537 2220 7461 6269  "#idm19857" tabi
│ │ │ -000751a0: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │ -000751b0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │ -000751c0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │ -000751d0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │ -000751e0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -000751f0: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ -00075200: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ -00075210: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ -00075220: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ -00075230: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ -00075240: 3d22 6964 6d31 3938 3537 223e 3c74 6162  ="idm19857"><tab
│ │ │ -00075250: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ -00075260: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ -00075270: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ -00075280: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ -00075290: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ -000752a0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -000752b0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ -000752c0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ -000752d0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -000752e0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ -000752f0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ -00075300: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ -00075310: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ -00075320: 3e64 6973 6162 6c65 3c2f 7464 3e3c 2f74  >disable</td></t
│ │ │ -00075330: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ -00075340: 636f 6465 3e2d 206e 616d 653a 2045 6e73  code>- name: Ens
│ │ │ -00075350: 7572 6520 7465 6c6e 6574 6420 6973 2072  ure telnetd is r
│ │ │ -00075360: 656d 6f76 6564 0a20 2070 6163 6b61 6765  emoved.  package
│ │ │ -00075370: 3a0a 2020 2020 6e61 6d65 3a20 7465 6c6e  :.    name: teln
│ │ │ -00075380: 6574 640a 2020 2020 7374 6174 653a 2061  etd.    state: a
│ │ │ -00075390: 6273 656e 740a 2020 7461 6773 3a0a 2020  bsent.  tags:.  
│ │ │ -000753a0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -000753b0: 2d36 2861 290a 2020 2d20 4e49 5354 2d38  -6(a).  - NIST-8
│ │ │ -000753c0: 3030 2d35 332d 434d 2d37 2861 290a 2020  00-53-CM-7(a).  
│ │ │ -000753d0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -000753e0: 2d37 2862 290a 2020 2d20 6469 7361 626c  -7(b).  - disabl
│ │ │ -000753f0: 655f 7374 7261 7465 6779 0a20 202d 2068  e_strategy.  - h
│ │ │ -00075400: 6967 685f 7365 7665 7269 7479 0a20 202d  igh_severity.  -
│ │ │ -00075410: 206c 6f77 5f63 6f6d 706c 6578 6974 790a   low_complexity.
│ │ │ -00075420: 2020 2d20 6c6f 775f 6469 7372 7570 7469    - low_disrupti
│ │ │ -00075430: 6f6e 0a20 202d 206e 6f5f 7265 626f 6f74  on.  - no_reboot
│ │ │ -00075440: 5f6e 6565 6465 640a 2020 2d20 7061 636b  _needed.  - pack
│ │ │ -00075450: 6167 655f 7465 6c6e 6574 645f 7265 6d6f  age_telnetd_remo
│ │ │ -00075460: 7665 640a 3c2f 636f 6465 3e3c 2f70 7265  ved.</code></pre
│ │ │ +00074f90: 6e20 416e 7369 626c 6520 736e 6970 7065  n Ansible snippe
│ │ │ +00074fa0: 7420 e287 b23c 2f61 3e3c 6272 3e3c 6469  t ...</a><br><di
│ │ │ +00074fb0: 7620 636c 6173 733d 2270 616e 656c 2d63  v class="panel-c
│ │ │ +00074fc0: 6f6c 6c61 7073 6520 636f 6c6c 6170 7365  ollapse collapse
│ │ │ +00074fd0: 2220 6964 3d22 6964 6d31 3938 3536 223e  " id="idm19856">
│ │ │ +00074fe0: 3c74 6162 6c65 2063 6c61 7373 3d22 7461  <table class="ta
│ │ │ +00074ff0: 626c 6520 7461 626c 652d 7374 7269 7065  ble table-stripe
│ │ │ +00075000: 6420 7461 626c 652d 626f 7264 6572 6564  d table-bordered
│ │ │ +00075010: 2074 6162 6c65 2d63 6f6e 6465 6e73 6564   table-condensed
│ │ │ +00075020: 223e 3c74 723e 3c74 683e 436f 6d70 6c65  "><tr><th>Comple
│ │ │ +00075030: 7869 7479 3a3c 2f74 683e 3c74 643e 6c6f  xity:</th><td>lo
│ │ │ +00075040: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +00075050: 7468 3e44 6973 7275 7074 696f 6e3a 3c2f  th>Disruption:</
│ │ │ +00075060: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ +00075070: 2f74 723e 3c74 723e 3c74 683e 5265 626f  /tr><tr><th>Rebo
│ │ │ +00075080: 6f74 3a3c 2f74 683e 3c74 643e 6661 6c73  ot:</th><td>fals
│ │ │ +00075090: 653c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  e</td></tr><tr><
│ │ │ +000750a0: 7468 3e53 7472 6174 6567 793a 3c2f 7468  th>Strategy:</th
│ │ │ +000750b0: 3e3c 7464 3e64 6973 6162 6c65 3c2f 7464  ><td>disable</td
│ │ │ +000750c0: 3e3c 2f74 723e 3c2f 7461 626c 653e 3c70  ></tr></table><p
│ │ │ +000750d0: 7265 3e3c 636f 6465 3e2d 206e 616d 653a  re><code>- name:
│ │ │ +000750e0: 2045 6e73 7572 6520 7465 6c6e 6574 6420   Ensure telnetd 
│ │ │ +000750f0: 6973 2072 656d 6f76 6564 0a20 2070 6163  is removed.  pac
│ │ │ +00075100: 6b61 6765 3a0a 2020 2020 6e61 6d65 3a20  kage:.    name: 
│ │ │ +00075110: 7465 6c6e 6574 640a 2020 2020 7374 6174  telnetd.    stat
│ │ │ +00075120: 653a 2061 6273 656e 740a 2020 7461 6773  e: absent.  tags
│ │ │ +00075130: 3a0a 2020 2d20 4e49 5354 2d38 3030 2d35  :.  - NIST-800-5
│ │ │ +00075140: 332d 434d 2d36 2861 290a 2020 2d20 4e49  3-CM-6(a).  - NI
│ │ │ +00075150: 5354 2d38 3030 2d35 332d 434d 2d37 2861  ST-800-53-CM-7(a
│ │ │ +00075160: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +00075170: 332d 434d 2d37 2862 290a 2020 2d20 6469  3-CM-7(b).  - di
│ │ │ +00075180: 7361 626c 655f 7374 7261 7465 6779 0a20  sable_strategy. 
│ │ │ +00075190: 202d 2068 6967 685f 7365 7665 7269 7479   - high_severity
│ │ │ +000751a0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +000751b0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +000751c0: 7570 7469 6f6e 0a20 202d 206e 6f5f 7265  uption.  - no_re
│ │ │ +000751d0: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +000751e0: 7061 636b 6167 655f 7465 6c6e 6574 645f  package_telnetd_
│ │ │ +000751f0: 7265 6d6f 7665 640a 3c2f 636f 6465 3e3c  removed.</code><
│ │ │ +00075200: 2f70 7265 3e3c 2f64 6976 3e3c 6120 636c  /pre></div><a cl
│ │ │ +00075210: 6173 733d 2262 746e 2062 746e 2d73 7563  ass="btn btn-suc
│ │ │ +00075220: 6365 7373 2220 6461 7461 2d74 6f67 676c  cess" data-toggl
│ │ │ +00075230: 653d 2263 6f6c 6c61 7073 6522 2064 6174  e="collapse" dat
│ │ │ +00075240: 612d 7461 7267 6574 3d22 2369 646d 3139  a-target="#idm19
│ │ │ +00075250: 3835 3722 2074 6162 696e 6465 783d 2230  857" tabindex="0
│ │ │ +00075260: 2220 726f 6c65 3d22 6275 7474 6f6e 2220  " role="button" 
│ │ │ +00075270: 6172 6961 2d65 7870 616e 6465 643d 2266  aria-expanded="f
│ │ │ +00075280: 616c 7365 2220 7469 746c 653d 2241 6374  alse" title="Act
│ │ │ +00075290: 6976 6174 6520 746f 2072 6576 6561 6c22  ivate to reveal"
│ │ │ +000752a0: 2068 7265 663d 2223 2122 3e52 656d 6564   href="#!">Remed
│ │ │ +000752b0: 6961 7469 6f6e 2050 7570 7065 7420 736e  iation Puppet sn
│ │ │ +000752c0: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +000752d0: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +000752e0: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +000752f0: 6170 7365 2220 6964 3d22 6964 6d31 3938  apse" id="idm198
│ │ │ +00075300: 3537 223e 3c74 6162 6c65 2063 6c61 7373  57"><table class
│ │ │ +00075310: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00075320: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00075330: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +00075340: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00075350: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00075360: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00075370: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00075380: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00075390: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +000753a0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +000753b0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +000753c0: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +000753d0: 3c2f 7468 3e3c 7464 3e64 6973 6162 6c65  </th><td>disable
│ │ │ +000753e0: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ +000753f0: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ +00075400: 6c75 6465 2072 656d 6f76 655f 7465 6c6e  lude remove_teln
│ │ │ +00075410: 6574 640a 0a63 6c61 7373 2072 656d 6f76  etd..class remov
│ │ │ +00075420: 655f 7465 6c6e 6574 6420 7b0a 2020 7061  e_telnetd {.  pa
│ │ │ +00075430: 636b 6167 6520 7b20 2774 656c 6e65 7464  ckage { 'telnetd
│ │ │ +00075440: 273a 0a20 2020 2065 6e73 7572 6520 3d26  ':.    ensure =&
│ │ │ +00075450: 6774 3b20 2770 7572 6765 6427 2c0a 2020  gt; 'purged',.  
│ │ │ +00075460: 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70 7265  }.}.</code></pre
│ │ │  00075470: 3e3c 2f64 6976 3e3c 6120 636c 6173 733d  ></div><a class=
│ │ │  00075480: 2262 746e 2062 746e 2d73 7563 6365 7373  "btn btn-success
│ │ │  00075490: 2220 6461 7461 2d74 6f67 676c 653d 2263  " data-toggle="c
│ │ │  000754a0: 6f6c 6c61 7073 6522 2064 6174 612d 7461  ollapse" data-ta
│ │ │  000754b0: 7267 6574 3d22 2369 646d 3139 3835 3822  rget="#idm19858"
│ │ │  000754c0: 2074 6162 696e 6465 783d 2230 2220 726f   tabindex="0" ro
│ │ │  000754d0: 6c65 3d22 6275 7474 6f6e 2220 6172 6961  le="button" aria
│ │ │ @@ -30520,129 +30520,129 @@
│ │ │  00077370: 7365 2220 6461 7461 2d74 6172 6765 743d  se" data-target=
│ │ │  00077380: 2223 6964 6d32 3035 3139 2220 7461 6269  "#idm20519" tabi
│ │ │  00077390: 6e64 6578 3d22 3022 2072 6f6c 653d 2262  ndex="0" role="b
│ │ │  000773a0: 7574 746f 6e22 2061 7269 612d 6578 7061  utton" aria-expa
│ │ │  000773b0: 6e64 6564 3d22 6661 6c73 6522 2074 6974  nded="false" tit
│ │ │  000773c0: 6c65 3d22 4163 7469 7661 7465 2074 6f20  le="Activate to 
│ │ │  000773d0: 7265 7665 616c 2220 6872 6566 3d22 2321  reveal" href="#!
│ │ │ -000773e0: 223e 5265 6d65 6469 6174 696f 6e20 4f53  ">Remediation OS
│ │ │ -000773f0: 4275 696c 6420 426c 7565 7072 696e 7420  Build Blueprint 
│ │ │ -00077400: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00077410: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00077420: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00077430: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -00077440: 3035 3139 223e 3c70 7265 3e3c 636f 6465  0519"><pre><code
│ │ │ -00077450: 3e0a 5b5b 7061 636b 6167 6573 5d5d 0a6e  >.[[packages]].n
│ │ │ -00077460: 616d 6520 3d20 226e 7470 220a 7665 7273  ame = "ntp".vers
│ │ │ -00077470: 696f 6e20 3d20 222a 220a 3c2f 636f 6465  ion = "*".</code
│ │ │ -00077480: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ -00077490: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ -000774a0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ -000774b0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ -000774c0: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ -000774d0: 3230 3532 3022 2074 6162 696e 6465 783d  20520" tabindex=
│ │ │ -000774e0: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ -000774f0: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ -00077500: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ -00077510: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ -00077520: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ -00077530: 6564 6961 7469 6f6e 2050 7570 7065 7420  ediation Puppet 
│ │ │ -00077540: 736e 6970 7065 7420 e287 b23c 2f61 3e3c  snippet ...</a><
│ │ │ -00077550: 6272 3e3c 6469 7620 636c 6173 733d 2270  br><div class="p
│ │ │ -00077560: 616e 656c 2d63 6f6c 6c61 7073 6520 636f  anel-collapse co
│ │ │ -00077570: 6c6c 6170 7365 2220 6964 3d22 6964 6d32  llapse" id="idm2
│ │ │ -00077580: 3035 3230 223e 3c74 6162 6c65 2063 6c61  0520"><table cla
│ │ │ -00077590: 7373 3d22 7461 626c 6520 7461 626c 652d  ss="table table-
│ │ │ -000775a0: 7374 7269 7065 6420 7461 626c 652d 626f  striped table-bo
│ │ │ -000775b0: 7264 6572 6564 2074 6162 6c65 2d63 6f6e  rdered table-con
│ │ │ -000775c0: 6465 6e73 6564 223e 3c74 723e 3c74 683e  densed"><tr><th>
│ │ │ -000775d0: 436f 6d70 6c65 7869 7479 3a3c 2f74 683e  Complexity:</th>
│ │ │ -000775e0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ -000775f0: 3e3c 7472 3e3c 7468 3e44 6973 7275 7074  ><tr><th>Disrupt
│ │ │ -00077600: 696f 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77  ion:</th><td>low
│ │ │ -00077610: 3c2f 7464 3e3c 2f74 723e 3c74 723e 3c74  </td></tr><tr><t
│ │ │ -00077620: 683e 5265 626f 6f74 3a3c 2f74 683e 3c74  h>Reboot:</th><t
│ │ │ -00077630: 643e 6661 6c73 653c 2f74 643e 3c2f 7472  d>false</td></tr
│ │ │ -00077640: 3e3c 7472 3e3c 7468 3e53 7472 6174 6567  ><tr><th>Strateg
│ │ │ -00077650: 793a 3c2f 7468 3e3c 7464 3e65 6e61 626c  y:</th><td>enabl
│ │ │ -00077660: 653c 2f74 643e 3c2f 7472 3e3c 2f74 6162  e</td></tr></tab
│ │ │ -00077670: 6c65 3e3c 7072 653e 3c63 6f64 653e 696e  le><pre><code>in
│ │ │ -00077680: 636c 7564 6520 696e 7374 616c 6c5f 6e74  clude install_nt
│ │ │ -00077690: 700a 0a63 6c61 7373 2069 6e73 7461 6c6c  p..class install
│ │ │ -000776a0: 5f6e 7470 207b 0a20 2070 6163 6b61 6765  _ntp {.  package
│ │ │ -000776b0: 207b 2027 6e74 7027 3a0a 2020 2020 656e   { 'ntp':.    en
│ │ │ -000776c0: 7375 7265 203d 2667 743b 2027 696e 7374  sure =&gt; 'inst
│ │ │ -000776d0: 616c 6c65 6427 2c0a 2020 7d0a 7d0a 3c2f  alled',.  }.}.</
│ │ │ -000776e0: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ -000776f0: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ -00077700: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ -00077710: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ -00077720: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ -00077730: 2369 646d 3230 3532 3122 2074 6162 696e  #idm20521" tabin
│ │ │ -00077740: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ -00077750: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ -00077760: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ -00077770: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ -00077780: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ -00077790: 3e52 656d 6564 6961 7469 6f6e 2041 6e73  >Remediation Ans
│ │ │ -000777a0: 6962 6c65 2073 6e69 7070 6574 20e2 87b2  ible snippet ...
│ │ │ -000777b0: 3c2f 613e 3c62 723e 3c64 6976 2063 6c61  </a><br><div cla
│ │ │ -000777c0: 7373 3d22 7061 6e65 6c2d 636f 6c6c 6170  ss="panel-collap
│ │ │ -000777d0: 7365 2063 6f6c 6c61 7073 6522 2069 643d  se collapse" id=
│ │ │ -000777e0: 2269 646d 3230 3532 3122 3e3c 7461 626c  "idm20521"><tabl
│ │ │ -000777f0: 6520 636c 6173 733d 2274 6162 6c65 2074  e class="table t
│ │ │ -00077800: 6162 6c65 2d73 7472 6970 6564 2074 6162  able-striped tab
│ │ │ -00077810: 6c65 2d62 6f72 6465 7265 6420 7461 626c  le-bordered tabl
│ │ │ -00077820: 652d 636f 6e64 656e 7365 6422 3e3c 7472  e-condensed"><tr
│ │ │ -00077830: 3e3c 7468 3e43 6f6d 706c 6578 6974 793a  ><th>Complexity:
│ │ │ -00077840: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00077850: 3e3c 2f74 723e 3c74 723e 3c74 683e 4469  ></tr><tr><th>Di
│ │ │ -00077860: 7372 7570 7469 6f6e 3a3c 2f74 683e 3c74  sruption:</th><t
│ │ │ -00077870: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ -00077880: 7472 3e3c 7468 3e52 6562 6f6f 743a 3c2f  tr><th>Reboot:</
│ │ │ -00077890: 7468 3e3c 7464 3e66 616c 7365 3c2f 7464  th><td>false</td
│ │ │ -000778a0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5374  ></tr><tr><th>St
│ │ │ -000778b0: 7261 7465 6779 3a3c 2f74 683e 3c74 643e  rategy:</th><td>
│ │ │ -000778c0: 656e 6162 6c65 3c2f 7464 3e3c 2f74 723e  enable</td></tr>
│ │ │ -000778d0: 3c2f 7461 626c 653e 3c70 7265 3e3c 636f  </table><pre><co
│ │ │ -000778e0: 6465 3e2d 206e 616d 653a 2047 6174 6865  de>- name: Gathe
│ │ │ -000778f0: 7220 7468 6520 7061 636b 6167 6520 6661  r the package fa
│ │ │ -00077900: 6374 730a 2020 7061 636b 6167 655f 6661  cts.  package_fa
│ │ │ -00077910: 6374 733a 0a20 2020 206d 616e 6167 6572  cts:.    manager
│ │ │ -00077920: 3a20 6175 746f 0a20 2074 6167 733a 0a20  : auto.  tags:. 
│ │ │ -00077930: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ -00077940: 4d2d 3628 6129 0a20 202d 2050 4349 2d44  M-6(a).  - PCI-D
│ │ │ -00077950: 5353 2d52 6571 2d31 302e 340a 2020 2d20  SS-Req-10.4.  - 
│ │ │ -00077960: 656e 6162 6c65 5f73 7472 6174 6567 790a  enable_strategy.
│ │ │ -00077970: 2020 2d20 6869 6768 5f73 6576 6572 6974    - high_severit
│ │ │ -00077980: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -00077990: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -000779a0: 7275 7074 696f 6e0a 2020 2d20 6e6f 5f72  ruption.  - no_r
│ │ │ -000779b0: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -000779c0: 2070 6163 6b61 6765 5f6e 7470 5f69 6e73   package_ntp_ins
│ │ │ -000779d0: 7461 6c6c 6564 0a0a 2d20 6e61 6d65 3a20  talled..- name: 
│ │ │ -000779e0: 456e 7375 7265 206e 7470 2069 7320 696e  Ensure ntp is in
│ │ │ -000779f0: 7374 616c 6c65 640a 2020 7061 636b 6167  stalled.  packag
│ │ │ -00077a00: 653a 0a20 2020 206e 616d 653a 206e 7470  e:.    name: ntp
│ │ │ -00077a10: 0a20 2020 2073 7461 7465 3a20 7072 6573  .    state: pres
│ │ │ -00077a20: 656e 740a 2020 7768 656e 3a20 2722 6c69  ent.  when: '"li
│ │ │ -00077a30: 6e75 782d 6261 7365 2220 696e 2061 6e73  nux-base" in ans
│ │ │ -00077a40: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ -00077a50: 6765 7327 0a20 2074 6167 733a 0a20 202d  ges'.  tags:.  -
│ │ │ -00077a60: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -00077a70: 3628 6129 0a20 202d 2050 4349 2d44 5353  6(a).  - PCI-DSS
│ │ │ -00077a80: 2d52 6571 2d31 302e 340a 2020 2d20 656e  -Req-10.4.  - en
│ │ │ -00077a90: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -00077aa0: 2d20 6869 6768 5f73 6576 6572 6974 790a  - high_severity.
│ │ │ -00077ab0: 2020 2d20 6c6f 775f 636f 6d70 6c65 7869    - low_complexi
│ │ │ -00077ac0: 7479 0a20 202d 206c 6f77 5f64 6973 7275  ty.  - low_disru
│ │ │ -00077ad0: 7074 696f 6e0a 2020 2d20 6e6f 5f72 6562  ption.  - no_reb
│ │ │ -00077ae0: 6f6f 745f 6e65 6564 6564 0a20 202d 2070  oot_needed.  - p
│ │ │ -00077af0: 6163 6b61 6765 5f6e 7470 5f69 6e73 7461  ackage_ntp_insta
│ │ │ -00077b00: 6c6c 6564 0a3c 2f63 6f64 653e 3c2f 7072  lled.</code></pr
│ │ │ +000773e0: 223e 5265 6d65 6469 6174 696f 6e20 416e  ">Remediation An
│ │ │ +000773f0: 7369 626c 6520 736e 6970 7065 7420 e287  sible snippet ..
│ │ │ +00077400: b23c 2f61 3e3c 6272 3e3c 6469 7620 636c  .</a><br><div cl
│ │ │ +00077410: 6173 733d 2270 616e 656c 2d63 6f6c 6c61  ass="panel-colla
│ │ │ +00077420: 7073 6520 636f 6c6c 6170 7365 2220 6964  pse collapse" id
│ │ │ +00077430: 3d22 6964 6d32 3035 3139 223e 3c74 6162  ="idm20519"><tab
│ │ │ +00077440: 6c65 2063 6c61 7373 3d22 7461 626c 6520  le class="table 
│ │ │ +00077450: 7461 626c 652d 7374 7269 7065 6420 7461  table-striped ta
│ │ │ +00077460: 626c 652d 626f 7264 6572 6564 2074 6162  ble-bordered tab
│ │ │ +00077470: 6c65 2d63 6f6e 6465 6e73 6564 223e 3c74  le-condensed"><t
│ │ │ +00077480: 723e 3c74 683e 436f 6d70 6c65 7869 7479  r><th>Complexity
│ │ │ +00077490: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +000774a0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e44  d></tr><tr><th>D
│ │ │ +000774b0: 6973 7275 7074 696f 6e3a 3c2f 7468 3e3c  isruption:</th><
│ │ │ +000774c0: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ +000774d0: 3c74 723e 3c74 683e 5265 626f 6f74 3a3c  <tr><th>Reboot:<
│ │ │ +000774e0: 2f74 683e 3c74 643e 6661 6c73 653c 2f74  /th><td>false</t
│ │ │ +000774f0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e53  d></tr><tr><th>S
│ │ │ +00077500: 7472 6174 6567 793a 3c2f 7468 3e3c 7464  trategy:</th><td
│ │ │ +00077510: 3e65 6e61 626c 653c 2f74 643e 3c2f 7472  >enable</td></tr
│ │ │ +00077520: 3e3c 2f74 6162 6c65 3e3c 7072 653e 3c63  ></table><pre><c
│ │ │ +00077530: 6f64 653e 2d20 6e61 6d65 3a20 4761 7468  ode>- name: Gath
│ │ │ +00077540: 6572 2074 6865 2070 6163 6b61 6765 2066  er the package f
│ │ │ +00077550: 6163 7473 0a20 2070 6163 6b61 6765 5f66  acts.  package_f
│ │ │ +00077560: 6163 7473 3a0a 2020 2020 6d61 6e61 6765  acts:.    manage
│ │ │ +00077570: 723a 2061 7574 6f0a 2020 7461 6773 3a0a  r: auto.  tags:.
│ │ │ +00077580: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +00077590: 434d 2d36 2861 290a 2020 2d20 5043 492d  CM-6(a).  - PCI-
│ │ │ +000775a0: 4453 532d 5265 712d 3130 2e34 0a20 202d  DSS-Req-10.4.  -
│ │ │ +000775b0: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ +000775c0: 0a20 202d 2068 6967 685f 7365 7665 7269  .  - high_severi
│ │ │ +000775d0: 7479 0a20 202d 206c 6f77 5f63 6f6d 706c  ty.  - low_compl
│ │ │ +000775e0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +000775f0: 7372 7570 7469 6f6e 0a20 202d 206e 6f5f  sruption.  - no_
│ │ │ +00077600: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ +00077610: 2d20 7061 636b 6167 655f 6e74 705f 696e  - package_ntp_in
│ │ │ +00077620: 7374 616c 6c65 640a 0a2d 206e 616d 653a  stalled..- name:
│ │ │ +00077630: 2045 6e73 7572 6520 6e74 7020 6973 2069   Ensure ntp is i
│ │ │ +00077640: 6e73 7461 6c6c 6564 0a20 2070 6163 6b61  nstalled.  packa
│ │ │ +00077650: 6765 3a0a 2020 2020 6e61 6d65 3a20 6e74  ge:.    name: nt
│ │ │ +00077660: 700a 2020 2020 7374 6174 653a 2070 7265  p.    state: pre
│ │ │ +00077670: 7365 6e74 0a20 2077 6865 6e3a 2027 226c  sent.  when: '"l
│ │ │ +00077680: 696e 7578 2d62 6173 6522 2069 6e20 616e  inux-base" in an
│ │ │ +00077690: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ +000776a0: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ +000776b0: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ +000776c0: 2d36 2861 290a 2020 2d20 5043 492d 4453  -6(a).  - PCI-DS
│ │ │ +000776d0: 532d 5265 712d 3130 2e34 0a20 202d 2065  S-Req-10.4.  - e
│ │ │ +000776e0: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ +000776f0: 202d 2068 6967 685f 7365 7665 7269 7479   - high_severity
│ │ │ +00077700: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +00077710: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +00077720: 7570 7469 6f6e 0a20 202d 206e 6f5f 7265  uption.  - no_re
│ │ │ +00077730: 626f 6f74 5f6e 6565 6465 640a 2020 2d20  boot_needed.  - 
│ │ │ +00077740: 7061 636b 6167 655f 6e74 705f 696e 7374  package_ntp_inst
│ │ │ +00077750: 616c 6c65 640a 3c2f 636f 6465 3e3c 2f70  alled.</code></p
│ │ │ +00077760: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ +00077770: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ +00077780: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ +00077790: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ +000777a0: 7461 7267 6574 3d22 2369 646d 3230 3532  target="#idm2052
│ │ │ +000777b0: 3022 2074 6162 696e 6465 783d 2230 2220  0" tabindex="0" 
│ │ │ +000777c0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ +000777d0: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ +000777e0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ +000777f0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ +00077800: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ +00077810: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ +00077820: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00077830: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00077840: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00077850: 7365 2220 6964 3d22 6964 6d32 3035 3230  se" id="idm20520
│ │ │ +00077860: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ +00077870: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ +00077880: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ +00077890: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ +000778a0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ +000778b0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ +000778c0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ +000778d0: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ +000778e0: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ +000778f0: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ +00077900: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ +00077910: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ +00077920: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ +00077930: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ +00077940: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ +00077950: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ +00077960: 6520 696e 7374 616c 6c5f 6e74 700a 0a63  e install_ntp..c
│ │ │ +00077970: 6c61 7373 2069 6e73 7461 6c6c 5f6e 7470  lass install_ntp
│ │ │ +00077980: 207b 0a20 2070 6163 6b61 6765 207b 2027   {.  package { '
│ │ │ +00077990: 6e74 7027 3a0a 2020 2020 656e 7375 7265  ntp':.    ensure
│ │ │ +000779a0: 203d 2667 743b 2027 696e 7374 616c 6c65   =&gt; 'installe
│ │ │ +000779b0: 6427 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  d',.  }.}.</code
│ │ │ +000779c0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +000779d0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +000779e0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +000779f0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +00077a00: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +00077a10: 3230 3532 3122 2074 6162 696e 6465 783d  20521" tabindex=
│ │ │ +00077a20: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +00077a30: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +00077a40: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +00077a50: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +00077a60: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +00077a70: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ +00077a80: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ +00077a90: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +00077aa0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +00077ab0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +00077ac0: 6522 2069 643d 2269 646d 3230 3532 3122  e" id="idm20521"
│ │ │ +00077ad0: 3e3c 7072 653e 3c63 6f64 653e 0a5b 5b70  ><pre><code>.[[p
│ │ │ +00077ae0: 6163 6b61 6765 735d 5d0a 6e61 6d65 203d  ackages]].name =
│ │ │ +00077af0: 2022 6e74 7022 0a76 6572 7369 6f6e 203d   "ntp".version =
│ │ │ +00077b00: 2022 2a22 0a3c 2f63 6f64 653e 3c2f 7072   "*".</code></pr
│ │ │  00077b10: 653e 3c2f 6469 763e 3c61 2063 6c61 7373  e></div><a class
│ │ │  00077b20: 3d22 6274 6e20 6274 6e2d 7375 6363 6573  ="btn btn-succes
│ │ │  00077b30: 7322 2064 6174 612d 746f 6767 6c65 3d22  s" data-toggle="
│ │ │  00077b40: 636f 6c6c 6170 7365 2220 6461 7461 2d74  collapse" data-t
│ │ │  00077b50: 6172 6765 743d 2223 6964 6d32 3035 3232  arget="#idm20522
│ │ │  00077b60: 2220 7461 6269 6e64 6578 3d22 3022 2072  " tabindex="0" r
│ │ │  00077b70: 6f6c 653d 2262 7574 746f 6e22 2061 7269  ole="button" ari
│ │ │ @@ -30921,157 +30921,157 @@
│ │ │  00078c80: 2d74 6172 6765 743d 2223 6964 6d32 3036  -target="#idm206
│ │ │  00078c90: 3631 2220 7461 6269 6e64 6578 3d22 3022  61" tabindex="0"
│ │ │  00078ca0: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │  00078cb0: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │  00078cc0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │  00078cd0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │  00078ce0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ -00078cf0: 6174 696f 6e20 4f53 4275 696c 6420 426c  ation OSBuild Bl
│ │ │ -00078d00: 7565 7072 696e 7420 736e 6970 7065 7420  ueprint snippet 
│ │ │ -00078d10: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -00078d20: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -00078d30: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -00078d40: 6964 3d22 6964 6d32 3036 3631 223e 3c70  id="idm20661"><p
│ │ │ -00078d50: 7265 3e3c 636f 6465 3e0a 5b63 7573 746f  re><code>.[custo
│ │ │ -00078d60: 6d69 7a61 7469 6f6e 732e 7365 7276 6963  mizations.servic
│ │ │ -00078d70: 6573 5d0a 656e 6162 6c65 6420 3d20 5b22  es].enabled = ["
│ │ │ -00078d80: 6e74 7022 5d0a 3c2f 636f 6465 3e3c 2f70  ntp"].</code></p
│ │ │ -00078d90: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -00078da0: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00078db0: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00078dc0: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -00078dd0: 7461 7267 6574 3d22 2369 646d 3230 3636  target="#idm2066
│ │ │ -00078de0: 3222 2074 6162 696e 6465 783d 2230 2220  2" tabindex="0" 
│ │ │ -00078df0: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00078e00: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00078e10: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00078e20: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00078e30: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00078e40: 7469 6f6e 2050 7570 7065 7420 736e 6970  tion Puppet snip
│ │ │ -00078e50: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00078e60: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00078e70: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00078e80: 7365 2220 6964 3d22 6964 6d32 3036 3632  se" id="idm20662
│ │ │ -00078e90: 223e 3c74 6162 6c65 2063 6c61 7373 3d22  "><table class="
│ │ │ -00078ea0: 7461 626c 6520 7461 626c 652d 7374 7269  table table-stri
│ │ │ -00078eb0: 7065 6420 7461 626c 652d 626f 7264 6572  ped table-border
│ │ │ -00078ec0: 6564 2074 6162 6c65 2d63 6f6e 6465 6e73  ed table-condens
│ │ │ -00078ed0: 6564 223e 3c74 723e 3c74 683e 436f 6d70  ed"><tr><th>Comp
│ │ │ -00078ee0: 6c65 7869 7479 3a3c 2f74 683e 3c74 643e  lexity:</th><td>
│ │ │ -00078ef0: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -00078f00: 3e3c 7468 3e44 6973 7275 7074 696f 6e3a  ><th>Disruption:
│ │ │ -00078f10: 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f 7464  </th><td>low</td
│ │ │ -00078f20: 3e3c 2f74 723e 3c74 723e 3c74 683e 5265  ></tr><tr><th>Re
│ │ │ -00078f30: 626f 6f74 3a3c 2f74 683e 3c74 643e 6661  boot:</th><td>fa
│ │ │ -00078f40: 6c73 653c 2f74 643e 3c2f 7472 3e3c 7472  lse</td></tr><tr
│ │ │ -00078f50: 3e3c 7468 3e53 7472 6174 6567 793a 3c2f  ><th>Strategy:</
│ │ │ -00078f60: 7468 3e3c 7464 3e65 6e61 626c 653c 2f74  th><td>enable</t
│ │ │ -00078f70: 643e 3c2f 7472 3e3c 2f74 6162 6c65 3e3c  d></tr></table><
│ │ │ -00078f80: 7072 653e 3c63 6f64 653e 696e 636c 7564  pre><code>includ
│ │ │ -00078f90: 6520 656e 6162 6c65 5f6e 7470 0a0a 636c  e enable_ntp..cl
│ │ │ -00078fa0: 6173 7320 656e 6162 6c65 5f6e 7470 207b  ass enable_ntp {
│ │ │ -00078fb0: 0a20 2073 6572 7669 6365 207b 276e 7470  .  service {'ntp
│ │ │ -00078fc0: 273a 0a20 2020 2065 6e61 626c 6520 3d26  ':.    enable =&
│ │ │ -00078fd0: 6774 3b20 7472 7565 2c0a 2020 2020 656e  gt; true,.    en
│ │ │ -00078fe0: 7375 7265 203d 2667 743b 2027 7275 6e6e  sure =&gt; 'runn
│ │ │ -00078ff0: 696e 6727 2c0a 2020 7d0a 7d0a 3c2f 636f  ing',.  }.}.</co
│ │ │ -00079000: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │ -00079010: 6120 636c 6173 733d 2262 746e 2062 746e  a class="btn btn
│ │ │ -00079020: 2d73 7563 6365 7373 2220 6461 7461 2d74  -success" data-t
│ │ │ -00079030: 6f67 676c 653d 2263 6f6c 6c61 7073 6522  oggle="collapse"
│ │ │ -00079040: 2064 6174 612d 7461 7267 6574 3d22 2369   data-target="#i
│ │ │ -00079050: 646d 3230 3636 3322 2074 6162 696e 6465  dm20663" tabinde
│ │ │ -00079060: 783d 2230 2220 726f 6c65 3d22 6275 7474  x="0" role="butt
│ │ │ -00079070: 6f6e 2220 6172 6961 2d65 7870 616e 6465  on" aria-expande
│ │ │ -00079080: 643d 2266 616c 7365 2220 7469 746c 653d  d="false" title=
│ │ │ -00079090: 2241 6374 6976 6174 6520 746f 2072 6576  "Activate to rev
│ │ │ -000790a0: 6561 6c22 2068 7265 663d 2223 2122 3e52  eal" href="#!">R
│ │ │ -000790b0: 656d 6564 6961 7469 6f6e 2041 6e73 6962  emediation Ansib
│ │ │ -000790c0: 6c65 2073 6e69 7070 6574 20e2 87b2 3c2f  le snippet ...</
│ │ │ -000790d0: 613e 3c62 723e 3c64 6976 2063 6c61 7373  a><br><div class
│ │ │ -000790e0: 3d22 7061 6e65 6c2d 636f 6c6c 6170 7365  ="panel-collapse
│ │ │ -000790f0: 2063 6f6c 6c61 7073 6522 2069 643d 2269   collapse" id="i
│ │ │ -00079100: 646d 3230 3636 3322 3e3c 7461 626c 6520  dm20663"><table 
│ │ │ -00079110: 636c 6173 733d 2274 6162 6c65 2074 6162  class="table tab
│ │ │ -00079120: 6c65 2d73 7472 6970 6564 2074 6162 6c65  le-striped table
│ │ │ -00079130: 2d62 6f72 6465 7265 6420 7461 626c 652d  -bordered table-
│ │ │ -00079140: 636f 6e64 656e 7365 6422 3e3c 7472 3e3c  condensed"><tr><
│ │ │ -00079150: 7468 3e43 6f6d 706c 6578 6974 793a 3c2f  th>Complexity:</
│ │ │ -00079160: 7468 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c  th><td>low</td><
│ │ │ -00079170: 2f74 723e 3c74 723e 3c74 683e 4469 7372  /tr><tr><th>Disr
│ │ │ -00079180: 7570 7469 6f6e 3a3c 2f74 683e 3c74 643e  uption:</th><td>
│ │ │ -00079190: 6c6f 773c 2f74 643e 3c2f 7472 3e3c 7472  low</td></tr><tr
│ │ │ -000791a0: 3e3c 7468 3e52 6562 6f6f 743a 3c2f 7468  ><th>Reboot:</th
│ │ │ -000791b0: 3e3c 7464 3e66 616c 7365 3c2f 7464 3e3c  ><td>false</td><
│ │ │ -000791c0: 2f74 723e 3c74 723e 3c74 683e 5374 7261  /tr><tr><th>Stra
│ │ │ -000791d0: 7465 6779 3a3c 2f74 683e 3c74 643e 656e  tegy:</th><td>en
│ │ │ -000791e0: 6162 6c65 3c2f 7464 3e3c 2f74 723e 3c2f  able</td></tr></
│ │ │ -000791f0: 7461 626c 653e 3c70 7265 3e3c 636f 6465  table><pre><code
│ │ │ -00079200: 3e2d 206e 616d 653a 2047 6174 6865 7220  >- name: Gather 
│ │ │ -00079210: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ -00079220: 730a 2020 7061 636b 6167 655f 6661 6374  s.  package_fact
│ │ │ -00079230: 733a 0a20 2020 206d 616e 6167 6572 3a20  s:.    manager: 
│ │ │ -00079240: 6175 746f 0a20 2074 6167 733a 0a20 202d  auto.  tags:.  -
│ │ │ -00079250: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -00079260: 3828 3129 2861 290a 2020 2d20 4e49 5354  8(1)(a).  - NIST
│ │ │ -00079270: 2d38 3030 2d35 332d 434d 2d36 2861 290a  -800-53-CM-6(a).
│ │ │ -00079280: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ -00079290: 3130 2e34 0a20 202d 2050 4349 2d44 5353  10.4.  - PCI-DSS
│ │ │ -000792a0: 7634 2d31 302e 360a 2020 2d20 5043 492d  v4-10.6.  - PCI-
│ │ │ -000792b0: 4453 5376 342d 3130 2e36 2e31 0a20 202d  DSSv4-10.6.1.  -
│ │ │ -000792c0: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ -000792d0: 0a20 202d 2068 6967 685f 7365 7665 7269  .  - high_severi
│ │ │ -000792e0: 7479 0a20 202d 206c 6f77 5f63 6f6d 706c  ty.  - low_compl
│ │ │ -000792f0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ -00079300: 7372 7570 7469 6f6e 0a20 202d 206e 6f5f  sruption.  - no_
│ │ │ -00079310: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -00079320: 2d20 7365 7276 6963 655f 6e74 705f 656e  - service_ntp_en
│ │ │ -00079330: 6162 6c65 640a 0a2d 206e 616d 653a 2045  abled..- name: E
│ │ │ -00079340: 6e61 626c 6520 7468 6520 4e54 5020 4461  nable the NTP Da
│ │ │ -00079350: 656d 6f6e 202d 2045 6e61 626c 6520 7365  emon - Enable se
│ │ │ -00079360: 7276 6963 6520 6e74 700a 2020 626c 6f63  rvice ntp.  bloc
│ │ │ -00079370: 6b3a 0a0a 2020 2d20 6e61 6d65 3a20 4761  k:..  - name: Ga
│ │ │ -00079380: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ -00079390: 2066 6163 7473 0a20 2020 2070 6163 6b61   facts.    packa
│ │ │ -000793a0: 6765 5f66 6163 7473 3a0a 2020 2020 2020  ge_facts:.      
│ │ │ -000793b0: 6d61 6e61 6765 723a 2061 7574 6f0a 0a20  manager: auto.. 
│ │ │ -000793c0: 202d 206e 616d 653a 2045 6e61 626c 6520   - name: Enable 
│ │ │ -000793d0: 7468 6520 4e54 5020 4461 656d 6f6e 202d  the NTP Daemon -
│ │ │ -000793e0: 2045 6e61 626c 6520 5365 7276 6963 6520   Enable Service 
│ │ │ -000793f0: 6e74 700a 2020 2020 616e 7369 626c 652e  ntp.    ansible.
│ │ │ -00079400: 6275 696c 7469 6e2e 7379 7374 656d 643a  builtin.systemd:
│ │ │ -00079410: 0a20 2020 2020 206e 616d 653a 206e 7470  .      name: ntp
│ │ │ -00079420: 0a20 2020 2020 2065 6e61 626c 6564 3a20  .      enabled: 
│ │ │ -00079430: 7472 7565 0a20 2020 2020 2073 7461 7465  true.      state
│ │ │ -00079440: 3a20 7374 6172 7465 640a 2020 2020 2020  : started.      
│ │ │ -00079450: 6d61 736b 6564 3a20 6661 6c73 650a 2020  masked: false.  
│ │ │ -00079460: 2020 7768 656e 3a0a 2020 2020 2d20 2722    when:.    - '"
│ │ │ -00079470: 6e74 7022 2069 6e20 616e 7369 626c 655f  ntp" in ansible_
│ │ │ -00079480: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ -00079490: 2020 7768 656e 3a0a 2020 2d20 2722 6c69    when:.  - '"li
│ │ │ -000794a0: 6e75 782d 6261 7365 2220 696e 2061 6e73  nux-base" in ans
│ │ │ -000794b0: 6962 6c65 5f66 6163 7473 2e70 6163 6b61  ible_facts.packa
│ │ │ -000794c0: 6765 7327 0a20 202d 2027 226e 7470 2220  ges'.  - '"ntp" 
│ │ │ -000794d0: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ -000794e0: 2e70 6163 6b61 6765 7327 0a20 2074 6167  .packages'.  tag
│ │ │ -000794f0: 733a 0a20 202d 204e 4953 542d 3830 302d  s:.  - NIST-800-
│ │ │ -00079500: 3533 2d41 552d 3828 3129 2861 290a 2020  53-AU-8(1)(a).  
│ │ │ -00079510: 2d20 4e49 5354 2d38 3030 2d35 332d 434d  - NIST-800-53-CM
│ │ │ -00079520: 2d36 2861 290a 2020 2d20 5043 492d 4453  -6(a).  - PCI-DS
│ │ │ -00079530: 532d 5265 712d 3130 2e34 0a20 202d 2050  S-Req-10.4.  - P
│ │ │ -00079540: 4349 2d44 5353 7634 2d31 302e 360a 2020  CI-DSSv4-10.6.  
│ │ │ -00079550: 2d20 5043 492d 4453 5376 342d 3130 2e36  - PCI-DSSv4-10.6
│ │ │ -00079560: 2e31 0a20 202d 2065 6e61 626c 655f 7374  .1.  - enable_st
│ │ │ -00079570: 7261 7465 6779 0a20 202d 2068 6967 685f  rategy.  - high_
│ │ │ -00079580: 7365 7665 7269 7479 0a20 202d 206c 6f77  severity.  - low
│ │ │ -00079590: 5f63 6f6d 706c 6578 6974 790a 2020 2d20  _complexity.  - 
│ │ │ -000795a0: 6c6f 775f 6469 7372 7570 7469 6f6e 0a20  low_disruption. 
│ │ │ -000795b0: 202d 206e 6f5f 7265 626f 6f74 5f6e 6565   - no_reboot_nee
│ │ │ -000795c0: 6465 640a 2020 2d20 7365 7276 6963 655f  ded.  - service_
│ │ │ -000795d0: 6e74 705f 656e 6162 6c65 640a 3c2f 636f  ntp_enabled.</co
│ │ │ +00078cf0: 6174 696f 6e20 416e 7369 626c 6520 736e  ation Ansible sn
│ │ │ +00078d00: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00078d10: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00078d20: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00078d30: 6170 7365 2220 6964 3d22 6964 6d32 3036  apse" id="idm206
│ │ │ +00078d40: 3631 223e 3c74 6162 6c65 2063 6c61 7373  61"><table class
│ │ │ +00078d50: 3d22 7461 626c 6520 7461 626c 652d 7374  ="table table-st
│ │ │ +00078d60: 7269 7065 6420 7461 626c 652d 626f 7264  riped table-bord
│ │ │ +00078d70: 6572 6564 2074 6162 6c65 2d63 6f6e 6465  ered table-conde
│ │ │ +00078d80: 6e73 6564 223e 3c74 723e 3c74 683e 436f  nsed"><tr><th>Co
│ │ │ +00078d90: 6d70 6c65 7869 7479 3a3c 2f74 683e 3c74  mplexity:</th><t
│ │ │ +00078da0: 643e 6c6f 773c 2f74 643e 3c2f 7472 3e3c  d>low</td></tr><
│ │ │ +00078db0: 7472 3e3c 7468 3e44 6973 7275 7074 696f  tr><th>Disruptio
│ │ │ +00078dc0: 6e3a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  n:</th><td>low</
│ │ │ +00078dd0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +00078de0: 5265 626f 6f74 3a3c 2f74 683e 3c74 643e  Reboot:</th><td>
│ │ │ +00078df0: 6661 6c73 653c 2f74 643e 3c2f 7472 3e3c  false</td></tr><
│ │ │ +00078e00: 7472 3e3c 7468 3e53 7472 6174 6567 793a  tr><th>Strategy:
│ │ │ +00078e10: 3c2f 7468 3e3c 7464 3e65 6e61 626c 653c  </th><td>enable<
│ │ │ +00078e20: 2f74 643e 3c2f 7472 3e3c 2f74 6162 6c65  /td></tr></table
│ │ │ +00078e30: 3e3c 7072 653e 3c63 6f64 653e 2d20 6e61  ><pre><code>- na
│ │ │ +00078e40: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ +00078e50: 6163 6b61 6765 2066 6163 7473 0a20 2070  ackage facts.  p
│ │ │ +00078e60: 6163 6b61 6765 5f66 6163 7473 3a0a 2020  ackage_facts:.  
│ │ │ +00078e70: 2020 6d61 6e61 6765 723a 2061 7574 6f0a    manager: auto.
│ │ │ +00078e80: 2020 7461 6773 3a0a 2020 2d20 4e49 5354    tags:.  - NIST
│ │ │ +00078e90: 2d38 3030 2d35 332d 4155 2d38 2831 2928  -800-53-AU-8(1)(
│ │ │ +00078ea0: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +00078eb0: 3533 2d43 4d2d 3628 6129 0a20 202d 2050  53-CM-6(a).  - P
│ │ │ +00078ec0: 4349 2d44 5353 2d52 6571 2d31 302e 340a  CI-DSS-Req-10.4.
│ │ │ +00078ed0: 2020 2d20 5043 492d 4453 5376 342d 3130    - PCI-DSSv4-10
│ │ │ +00078ee0: 2e36 0a20 202d 2050 4349 2d44 5353 7634  .6.  - PCI-DSSv4
│ │ │ +00078ef0: 2d31 302e 362e 310a 2020 2d20 656e 6162  -10.6.1.  - enab
│ │ │ +00078f00: 6c65 5f73 7472 6174 6567 790a 2020 2d20  le_strategy.  - 
│ │ │ +00078f10: 6869 6768 5f73 6576 6572 6974 790a 2020  high_severity.  
│ │ │ +00078f20: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +00078f30: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +00078f40: 696f 6e0a 2020 2d20 6e6f 5f72 6562 6f6f  ion.  - no_reboo
│ │ │ +00078f50: 745f 6e65 6564 6564 0a20 202d 2073 6572  t_needed.  - ser
│ │ │ +00078f60: 7669 6365 5f6e 7470 5f65 6e61 626c 6564  vice_ntp_enabled
│ │ │ +00078f70: 0a0a 2d20 6e61 6d65 3a20 456e 6162 6c65  ..- name: Enable
│ │ │ +00078f80: 2074 6865 204e 5450 2044 6165 6d6f 6e20   the NTP Daemon 
│ │ │ +00078f90: 2d20 456e 6162 6c65 2073 6572 7669 6365  - Enable service
│ │ │ +00078fa0: 206e 7470 0a20 2062 6c6f 636b 3a0a 0a20   ntp.  block:.. 
│ │ │ +00078fb0: 202d 206e 616d 653a 2047 6174 6865 7220   - name: Gather 
│ │ │ +00078fc0: 7468 6520 7061 636b 6167 6520 6661 6374  the package fact
│ │ │ +00078fd0: 730a 2020 2020 7061 636b 6167 655f 6661  s.    package_fa
│ │ │ +00078fe0: 6374 733a 0a20 2020 2020 206d 616e 6167  cts:.      manag
│ │ │ +00078ff0: 6572 3a20 6175 746f 0a0a 2020 2d20 6e61  er: auto..  - na
│ │ │ +00079000: 6d65 3a20 456e 6162 6c65 2074 6865 204e  me: Enable the N
│ │ │ +00079010: 5450 2044 6165 6d6f 6e20 2d20 456e 6162  TP Daemon - Enab
│ │ │ +00079020: 6c65 2053 6572 7669 6365 206e 7470 0a20  le Service ntp. 
│ │ │ +00079030: 2020 2061 6e73 6962 6c65 2e62 7569 6c74     ansible.built
│ │ │ +00079040: 696e 2e73 7973 7465 6d64 3a0a 2020 2020  in.systemd:.    
│ │ │ +00079050: 2020 6e61 6d65 3a20 6e74 700a 2020 2020    name: ntp.    
│ │ │ +00079060: 2020 656e 6162 6c65 643a 2074 7275 650a    enabled: true.
│ │ │ +00079070: 2020 2020 2020 7374 6174 653a 2073 7461        state: sta
│ │ │ +00079080: 7274 6564 0a20 2020 2020 206d 6173 6b65  rted.      maske
│ │ │ +00079090: 643a 2066 616c 7365 0a20 2020 2077 6865  d: false.    whe
│ │ │ +000790a0: 6e3a 0a20 2020 202d 2027 226e 7470 2220  n:.    - '"ntp" 
│ │ │ +000790b0: 696e 2061 6e73 6962 6c65 5f66 6163 7473  in ansible_facts
│ │ │ +000790c0: 2e70 6163 6b61 6765 7327 0a20 2077 6865  .packages'.  whe
│ │ │ +000790d0: 6e3a 0a20 202d 2027 226c 696e 7578 2d62  n:.  - '"linux-b
│ │ │ +000790e0: 6173 6522 2069 6e20 616e 7369 626c 655f  ase" in ansible_
│ │ │ +000790f0: 6661 6374 732e 7061 636b 6167 6573 270a  facts.packages'.
│ │ │ +00079100: 2020 2d20 2722 6e74 7022 2069 6e20 616e    - '"ntp" in an
│ │ │ +00079110: 7369 626c 655f 6661 6374 732e 7061 636b  sible_facts.pack
│ │ │ +00079120: 6167 6573 270a 2020 7461 6773 3a0a 2020  ages'.  tags:.  
│ │ │ +00079130: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ +00079140: 2d38 2831 2928 6129 0a20 202d 204e 4953  -8(1)(a).  - NIS
│ │ │ +00079150: 542d 3830 302d 3533 2d43 4d2d 3628 6129  T-800-53-CM-6(a)
│ │ │ +00079160: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ +00079170: 2d31 302e 340a 2020 2d20 5043 492d 4453  -10.4.  - PCI-DS
│ │ │ +00079180: 5376 342d 3130 2e36 0a20 202d 2050 4349  Sv4-10.6.  - PCI
│ │ │ +00079190: 2d44 5353 7634 2d31 302e 362e 310a 2020  -DSSv4-10.6.1.  
│ │ │ +000791a0: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ +000791b0: 790a 2020 2d20 6869 6768 5f73 6576 6572  y.  - high_sever
│ │ │ +000791c0: 6974 790a 2020 2d20 6c6f 775f 636f 6d70  ity.  - low_comp
│ │ │ +000791d0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +000791e0: 6973 7275 7074 696f 6e0a 2020 2d20 6e6f  isruption.  - no
│ │ │ +000791f0: 5f72 6562 6f6f 745f 6e65 6564 6564 0a20  _reboot_needed. 
│ │ │ +00079200: 202d 2073 6572 7669 6365 5f6e 7470 5f65   - service_ntp_e
│ │ │ +00079210: 6e61 626c 6564 0a3c 2f63 6f64 653e 3c2f  nabled.</code></
│ │ │ +00079220: 7072 653e 3c2f 6469 763e 3c61 2063 6c61  pre></div><a cla
│ │ │ +00079230: 7373 3d22 6274 6e20 6274 6e2d 7375 6363  ss="btn btn-succ
│ │ │ +00079240: 6573 7322 2064 6174 612d 746f 6767 6c65  ess" data-toggle
│ │ │ +00079250: 3d22 636f 6c6c 6170 7365 2220 6461 7461  ="collapse" data
│ │ │ +00079260: 2d74 6172 6765 743d 2223 6964 6d32 3036  -target="#idm206
│ │ │ +00079270: 3632 2220 7461 6269 6e64 6578 3d22 3022  62" tabindex="0"
│ │ │ +00079280: 2072 6f6c 653d 2262 7574 746f 6e22 2061   role="button" a
│ │ │ +00079290: 7269 612d 6578 7061 6e64 6564 3d22 6661  ria-expanded="fa
│ │ │ +000792a0: 6c73 6522 2074 6974 6c65 3d22 4163 7469  lse" title="Acti
│ │ │ +000792b0: 7661 7465 2074 6f20 7265 7665 616c 2220  vate to reveal" 
│ │ │ +000792c0: 6872 6566 3d22 2321 223e 5265 6d65 6469  href="#!">Remedi
│ │ │ +000792d0: 6174 696f 6e20 5075 7070 6574 2073 6e69  ation Puppet sni
│ │ │ +000792e0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ +000792f0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ +00079300: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ +00079310: 7073 6522 2069 643d 2269 646d 3230 3636  pse" id="idm2066
│ │ │ +00079320: 3222 3e3c 7461 626c 6520 636c 6173 733d  2"><table class=
│ │ │ +00079330: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ +00079340: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ +00079350: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ +00079360: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ +00079370: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ +00079380: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +00079390: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ +000793a0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ +000793b0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ +000793c0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ +000793d0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ +000793e0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ +000793f0: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ +00079400: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ +00079410: 3c70 7265 3e3c 636f 6465 3e69 6e63 6c75  <pre><code>inclu
│ │ │ +00079420: 6465 2065 6e61 626c 655f 6e74 700a 0a63  de enable_ntp..c
│ │ │ +00079430: 6c61 7373 2065 6e61 626c 655f 6e74 7020  lass enable_ntp 
│ │ │ +00079440: 7b0a 2020 7365 7276 6963 6520 7b27 6e74  {.  service {'nt
│ │ │ +00079450: 7027 3a0a 2020 2020 656e 6162 6c65 203d  p':.    enable =
│ │ │ +00079460: 2667 743b 2074 7275 652c 0a20 2020 2065  &gt; true,.    e
│ │ │ +00079470: 6e73 7572 6520 3d26 6774 3b20 2772 756e  nsure =&gt; 'run
│ │ │ +00079480: 6e69 6e67 272c 0a20 207d 0a7d 0a3c 2f63  ning',.  }.}.</c
│ │ │ +00079490: 6f64 653e 3c2f 7072 653e 3c2f 6469 763e  ode></pre></div>
│ │ │ +000794a0: 3c61 2063 6c61 7373 3d22 6274 6e20 6274  <a class="btn bt
│ │ │ +000794b0: 6e2d 7375 6363 6573 7322 2064 6174 612d  n-success" data-
│ │ │ +000794c0: 746f 6767 6c65 3d22 636f 6c6c 6170 7365  toggle="collapse
│ │ │ +000794d0: 2220 6461 7461 2d74 6172 6765 743d 2223  " data-target="#
│ │ │ +000794e0: 6964 6d32 3036 3633 2220 7461 6269 6e64  idm20663" tabind
│ │ │ +000794f0: 6578 3d22 3022 2072 6f6c 653d 2262 7574  ex="0" role="but
│ │ │ +00079500: 746f 6e22 2061 7269 612d 6578 7061 6e64  ton" aria-expand
│ │ │ +00079510: 6564 3d22 6661 6c73 6522 2074 6974 6c65  ed="false" title
│ │ │ +00079520: 3d22 4163 7469 7661 7465 2074 6f20 7265  ="Activate to re
│ │ │ +00079530: 7665 616c 2220 6872 6566 3d22 2321 223e  veal" href="#!">
│ │ │ +00079540: 5265 6d65 6469 6174 696f 6e20 4f53 4275  Remediation OSBu
│ │ │ +00079550: 696c 6420 426c 7565 7072 696e 7420 736e  ild Blueprint sn
│ │ │ +00079560: 6970 7065 7420 e287 b23c 2f61 3e3c 6272  ippet ...</a><br
│ │ │ +00079570: 3e3c 6469 7620 636c 6173 733d 2270 616e  ><div class="pan
│ │ │ +00079580: 656c 2d63 6f6c 6c61 7073 6520 636f 6c6c  el-collapse coll
│ │ │ +00079590: 6170 7365 2220 6964 3d22 6964 6d32 3036  apse" id="idm206
│ │ │ +000795a0: 3633 223e 3c70 7265 3e3c 636f 6465 3e0a  63"><pre><code>.
│ │ │ +000795b0: 5b63 7573 746f 6d69 7a61 7469 6f6e 732e  [customizations.
│ │ │ +000795c0: 7365 7276 6963 6573 5d0a 656e 6162 6c65  services].enable
│ │ │ +000795d0: 6420 3d20 5b22 6e74 7022 5d0a 3c2f 636f  d = ["ntp"].</co
│ │ │  000795e0: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  000795f0: 2f64 6976 3e3c 2f74 643e 3c2f 7472 3e3c  /div></td></tr><
│ │ │  00079600: 2f74 626f 6479 3e3c 2f74 6162 6c65 3e3c  /tbody></table><
│ │ │  00079610: 2f74 643e 3c2f 7472 3e3c 7472 2064 6174  /td></tr><tr dat
│ │ │  00079620: 612d 7474 2d69 643d 2263 6869 6c64 7265  a-tt-id="childre
│ │ │  00079630: 6e2d 7863 6364 665f 6f72 672e 7373 6770  n-xccdf_org.ssgp
│ │ │  00079640: 726f 6a65 6374 2e63 6f6e 7465 6e74 5f67  roject.content_g
│ │ │ @@ -34715,153 +34715,153 @@
│ │ │  000879a0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │  000879b0: 6d32 3436 3437 2220 7461 6269 6e64 6578  m24647" tabindex
│ │ │  000879c0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │  000879d0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │  000879e0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │  000879f0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │  00087a00: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ -00087a10: 6d65 6469 6174 696f 6e20 4f53 4275 696c  mediation OSBuil
│ │ │ -00087a20: 6420 426c 7565 7072 696e 7420 736e 6970  d Blueprint snip
│ │ │ -00087a30: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ -00087a40: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ -00087a50: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ -00087a60: 7365 2220 6964 3d22 6964 6d32 3436 3437  se" id="idm24647
│ │ │ -00087a70: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b5b  "><pre><code>.[[
│ │ │ -00087a80: 7061 636b 6167 6573 5d5d 0a6e 616d 6520  packages]].name 
│ │ │ -00087a90: 3d20 2261 7564 6974 6422 0a76 6572 7369  = "auditd".versi
│ │ │ -00087aa0: 6f6e 203d 2022 2a22 0a3c 2f63 6f64 653e  on = "*".</code>
│ │ │ -00087ab0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │ -00087ac0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │ -00087ad0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │ -00087ae0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │ -00087af0: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │ -00087b00: 3436 3438 2220 7461 6269 6e64 6578 3d22  4648" tabindex="
│ │ │ -00087b10: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ -00087b20: 2061 7269 612d 6578 7061 6e64 6564 3d22   aria-expanded="
│ │ │ -00087b30: 6661 6c73 6522 2074 6974 6c65 3d22 4163  false" title="Ac
│ │ │ -00087b40: 7469 7661 7465 2074 6f20 7265 7665 616c  tivate to reveal
│ │ │ -00087b50: 2220 6872 6566 3d22 2321 223e 5265 6d65  " href="#!">Reme
│ │ │ -00087b60: 6469 6174 696f 6e20 5075 7070 6574 2073  diation Puppet s
│ │ │ -00087b70: 6e69 7070 6574 20e2 87b2 3c2f 613e 3c62  nippet ...</a><b
│ │ │ -00087b80: 723e 3c64 6976 2063 6c61 7373 3d22 7061  r><div class="pa
│ │ │ -00087b90: 6e65 6c2d 636f 6c6c 6170 7365 2063 6f6c  nel-collapse col
│ │ │ -00087ba0: 6c61 7073 6522 2069 643d 2269 646d 3234  lapse" id="idm24
│ │ │ -00087bb0: 3634 3822 3e3c 7461 626c 6520 636c 6173  648"><table clas
│ │ │ -00087bc0: 733d 2274 6162 6c65 2074 6162 6c65 2d73  s="table table-s
│ │ │ -00087bd0: 7472 6970 6564 2074 6162 6c65 2d62 6f72  triped table-bor
│ │ │ -00087be0: 6465 7265 6420 7461 626c 652d 636f 6e64  dered table-cond
│ │ │ -00087bf0: 656e 7365 6422 3e3c 7472 3e3c 7468 3e43  ensed"><tr><th>C
│ │ │ -00087c00: 6f6d 706c 6578 6974 793a 3c2f 7468 3e3c  omplexity:</th><
│ │ │ -00087c10: 7464 3e6c 6f77 3c2f 7464 3e3c 2f74 723e  td>low</td></tr>
│ │ │ -00087c20: 3c74 723e 3c74 683e 4469 7372 7570 7469  <tr><th>Disrupti
│ │ │ -00087c30: 6f6e 3a3c 2f74 683e 3c74 643e 6c6f 773c  on:</th><td>low<
│ │ │ -00087c40: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -00087c50: 3e52 6562 6f6f 743a 3c2f 7468 3e3c 7464  >Reboot:</th><td
│ │ │ -00087c60: 3e66 616c 7365 3c2f 7464 3e3c 2f74 723e  >false</td></tr>
│ │ │ -00087c70: 3c74 723e 3c74 683e 5374 7261 7465 6779  <tr><th>Strategy
│ │ │ -00087c80: 3a3c 2f74 683e 3c74 643e 656e 6162 6c65  :</th><td>enable
│ │ │ -00087c90: 3c2f 7464 3e3c 2f74 723e 3c2f 7461 626c  </td></tr></tabl
│ │ │ -00087ca0: 653e 3c70 7265 3e3c 636f 6465 3e69 6e63  e><pre><code>inc
│ │ │ -00087cb0: 6c75 6465 2069 6e73 7461 6c6c 5f61 7564  lude install_aud
│ │ │ -00087cc0: 6974 640a 0a63 6c61 7373 2069 6e73 7461  itd..class insta
│ │ │ -00087cd0: 6c6c 5f61 7564 6974 6420 7b0a 2020 7061  ll_auditd {.  pa
│ │ │ -00087ce0: 636b 6167 6520 7b20 2761 7564 6974 6427  ckage { 'auditd'
│ │ │ -00087cf0: 3a0a 2020 2020 656e 7375 7265 203d 2667  :.    ensure =&g
│ │ │ -00087d00: 743b 2027 696e 7374 616c 6c65 6427 2c0a  t; 'installed',.
│ │ │ -00087d10: 2020 7d0a 7d0a 3c2f 636f 6465 3e3c 2f70    }.}.</code></p
│ │ │ -00087d20: 7265 3e3c 2f64 6976 3e3c 6120 636c 6173  re></div><a clas
│ │ │ -00087d30: 733d 2262 746e 2062 746e 2d73 7563 6365  s="btn btn-succe
│ │ │ -00087d40: 7373 2220 6461 7461 2d74 6f67 676c 653d  ss" data-toggle=
│ │ │ -00087d50: 2263 6f6c 6c61 7073 6522 2064 6174 612d  "collapse" data-
│ │ │ -00087d60: 7461 7267 6574 3d22 2369 646d 3234 3634  target="#idm2464
│ │ │ -00087d70: 3922 2074 6162 696e 6465 783d 2230 2220  9" tabindex="0" 
│ │ │ -00087d80: 726f 6c65 3d22 6275 7474 6f6e 2220 6172  role="button" ar
│ │ │ -00087d90: 6961 2d65 7870 616e 6465 643d 2266 616c  ia-expanded="fal
│ │ │ -00087da0: 7365 2220 7469 746c 653d 2241 6374 6976  se" title="Activ
│ │ │ -00087db0: 6174 6520 746f 2072 6576 6561 6c22 2068  ate to reveal" h
│ │ │ -00087dc0: 7265 663d 2223 2122 3e52 656d 6564 6961  ref="#!">Remedia
│ │ │ -00087dd0: 7469 6f6e 2041 6e73 6962 6c65 2073 6e69  tion Ansible sni
│ │ │ -00087de0: 7070 6574 20e2 87b2 3c2f 613e 3c62 723e  ppet ...</a><br>
│ │ │ -00087df0: 3c64 6976 2063 6c61 7373 3d22 7061 6e65  <div class="pane
│ │ │ -00087e00: 6c2d 636f 6c6c 6170 7365 2063 6f6c 6c61  l-collapse colla
│ │ │ -00087e10: 7073 6522 2069 643d 2269 646d 3234 3634  pse" id="idm2464
│ │ │ -00087e20: 3922 3e3c 7461 626c 6520 636c 6173 733d  9"><table class=
│ │ │ -00087e30: 2274 6162 6c65 2074 6162 6c65 2d73 7472  "table table-str
│ │ │ -00087e40: 6970 6564 2074 6162 6c65 2d62 6f72 6465  iped table-borde
│ │ │ -00087e50: 7265 6420 7461 626c 652d 636f 6e64 656e  red table-conden
│ │ │ -00087e60: 7365 6422 3e3c 7472 3e3c 7468 3e43 6f6d  sed"><tr><th>Com
│ │ │ -00087e70: 706c 6578 6974 793a 3c2f 7468 3e3c 7464  plexity:</th><td
│ │ │ -00087e80: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ -00087e90: 723e 3c74 683e 4469 7372 7570 7469 6f6e  r><th>Disruption
│ │ │ -00087ea0: 3a3c 2f74 683e 3c74 643e 6c6f 773c 2f74  :</th><td>low</t
│ │ │ -00087eb0: 643e 3c2f 7472 3e3c 7472 3e3c 7468 3e52  d></tr><tr><th>R
│ │ │ -00087ec0: 6562 6f6f 743a 3c2f 7468 3e3c 7464 3e66  eboot:</th><td>f
│ │ │ -00087ed0: 616c 7365 3c2f 7464 3e3c 2f74 723e 3c74  alse</td></tr><t
│ │ │ -00087ee0: 723e 3c74 683e 5374 7261 7465 6779 3a3c  r><th>Strategy:<
│ │ │ -00087ef0: 2f74 683e 3c74 643e 656e 6162 6c65 3c2f  /th><td>enable</
│ │ │ -00087f00: 7464 3e3c 2f74 723e 3c2f 7461 626c 653e  td></tr></table>
│ │ │ -00087f10: 3c70 7265 3e3c 636f 6465 3e2d 206e 616d  <pre><code>- nam
│ │ │ -00087f20: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ -00087f30: 636b 6167 6520 6661 6374 730a 2020 7061  ckage facts.  pa
│ │ │ -00087f40: 636b 6167 655f 6661 6374 733a 0a20 2020  ckage_facts:.   
│ │ │ -00087f50: 206d 616e 6167 6572 3a20 6175 746f 0a20   manager: auto. 
│ │ │ -00087f60: 2074 6167 733a 0a20 202d 204e 4953 542d   tags:.  - NIST-
│ │ │ -00087f70: 3830 302d 3533 2d41 432d 3728 6129 0a20  800-53-AC-7(a). 
│ │ │ -00087f80: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ -00087f90: 552d 3132 2832 290a 2020 2d20 4e49 5354  U-12(2).  - NIST
│ │ │ -00087fa0: 2d38 3030 2d35 332d 4155 2d31 340a 2020  -800-53-AU-14.  
│ │ │ -00087fb0: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ -00087fc0: 2d32 2861 290a 2020 2d20 4e49 5354 2d38  -2(a).  - NIST-8
│ │ │ -00087fd0: 3030 2d35 332d 4155 2d37 2831 290a 2020  00-53-AU-7(1).  
│ │ │ -00087fe0: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ -00087ff0: 2d37 2832 290a 2020 2d20 4e49 5354 2d38  -7(2).  - NIST-8
│ │ │ -00088000: 3030 2d35 332d 434d 2d36 2861 290a 2020  00-53-CM-6(a).  
│ │ │ -00088010: 2d20 5043 492d 4453 532d 5265 712d 3130  - PCI-DSS-Req-10
│ │ │ -00088020: 2e31 0a20 202d 2050 4349 2d44 5353 7634  .1.  - PCI-DSSv4
│ │ │ -00088030: 2d31 302e 320a 2020 2d20 5043 492d 4453  -10.2.  - PCI-DS
│ │ │ -00088040: 5376 342d 3130 2e32 2e31 0a20 202d 2065  Sv4-10.2.1.  - e
│ │ │ -00088050: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -00088060: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -00088070: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -00088080: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -00088090: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -000880a0: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -000880b0: 2d20 7061 636b 6167 655f 6175 6469 745f  - package_audit_
│ │ │ -000880c0: 696e 7374 616c 6c65 640a 0a2d 206e 616d  installed..- nam
│ │ │ -000880d0: 653a 2045 6e73 7572 6520 6175 6469 7464  e: Ensure auditd
│ │ │ -000880e0: 2069 7320 696e 7374 616c 6c65 640a 2020   is installed.  
│ │ │ -000880f0: 7061 636b 6167 653a 0a20 2020 206e 616d  package:.    nam
│ │ │ -00088100: 653a 2061 7564 6974 640a 2020 2020 7374  e: auditd.    st
│ │ │ -00088110: 6174 653a 2070 7265 7365 6e74 0a20 2077  ate: present.  w
│ │ │ -00088120: 6865 6e3a 2027 226c 696e 7578 2d62 6173  hen: '"linux-bas
│ │ │ -00088130: 6522 2069 6e20 616e 7369 626c 655f 6661  e" in ansible_fa
│ │ │ -00088140: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ -00088150: 7461 6773 3a0a 2020 2d20 4e49 5354 2d38  tags:.  - NIST-8
│ │ │ -00088160: 3030 2d35 332d 4143 2d37 2861 290a 2020  00-53-AC-7(a).  
│ │ │ -00088170: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ -00088180: 2d31 3228 3229 0a20 202d 204e 4953 542d  -12(2).  - NIST-
│ │ │ -00088190: 3830 302d 3533 2d41 552d 3134 0a20 202d  800-53-AU-14.  -
│ │ │ -000881a0: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -000881b0: 3228 6129 0a20 202d 204e 4953 542d 3830  2(a).  - NIST-80
│ │ │ -000881c0: 302d 3533 2d41 552d 3728 3129 0a20 202d  0-53-AU-7(1).  -
│ │ │ -000881d0: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ -000881e0: 3728 3229 0a20 202d 204e 4953 542d 3830  7(2).  - NIST-80
│ │ │ -000881f0: 302d 3533 2d43 4d2d 3628 6129 0a20 202d  0-53-CM-6(a).  -
│ │ │ -00088200: 2050 4349 2d44 5353 2d52 6571 2d31 302e   PCI-DSS-Req-10.
│ │ │ -00088210: 310a 2020 2d20 5043 492d 4453 5376 342d  1.  - PCI-DSSv4-
│ │ │ -00088220: 3130 2e32 0a20 202d 2050 4349 2d44 5353  10.2.  - PCI-DSS
│ │ │ -00088230: 7634 2d31 302e 322e 310a 2020 2d20 656e  v4-10.2.1.  - en
│ │ │ -00088240: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ -00088250: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ -00088260: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ -00088270: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ -00088280: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ -00088290: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ -000882a0: 2070 6163 6b61 6765 5f61 7564 6974 5f69   package_audit_i
│ │ │ -000882b0: 6e73 7461 6c6c 6564 0a3c 2f63 6f64 653e  nstalled.</code>
│ │ │ +00087a10: 6d65 6469 6174 696f 6e20 416e 7369 626c  mediation Ansibl
│ │ │ +00087a20: 6520 736e 6970 7065 7420 e287 b23c 2f61  e snippet ...</a
│ │ │ +00087a30: 3e3c 6272 3e3c 6469 7620 636c 6173 733d  ><br><div class=
│ │ │ +00087a40: 2270 616e 656c 2d63 6f6c 6c61 7073 6520  "panel-collapse 
│ │ │ +00087a50: 636f 6c6c 6170 7365 2220 6964 3d22 6964  collapse" id="id
│ │ │ +00087a60: 6d32 3436 3437 223e 3c74 6162 6c65 2063  m24647"><table c
│ │ │ +00087a70: 6c61 7373 3d22 7461 626c 6520 7461 626c  lass="table tabl
│ │ │ +00087a80: 652d 7374 7269 7065 6420 7461 626c 652d  e-striped table-
│ │ │ +00087a90: 626f 7264 6572 6564 2074 6162 6c65 2d63  bordered table-c
│ │ │ +00087aa0: 6f6e 6465 6e73 6564 223e 3c74 723e 3c74  ondensed"><tr><t
│ │ │ +00087ab0: 683e 436f 6d70 6c65 7869 7479 3a3c 2f74  h>Complexity:</t
│ │ │ +00087ac0: 683e 3c74 643e 6c6f 773c 2f74 643e 3c2f  h><td>low</td></
│ │ │ +00087ad0: 7472 3e3c 7472 3e3c 7468 3e44 6973 7275  tr><tr><th>Disru
│ │ │ +00087ae0: 7074 696f 6e3a 3c2f 7468 3e3c 7464 3e6c  ption:</th><td>l
│ │ │ +00087af0: 6f77 3c2f 7464 3e3c 2f74 723e 3c74 723e  ow</td></tr><tr>
│ │ │ +00087b00: 3c74 683e 5265 626f 6f74 3a3c 2f74 683e  <th>Reboot:</th>
│ │ │ +00087b10: 3c74 643e 6661 6c73 653c 2f74 643e 3c2f  <td>false</td></
│ │ │ +00087b20: 7472 3e3c 7472 3e3c 7468 3e53 7472 6174  tr><tr><th>Strat
│ │ │ +00087b30: 6567 793a 3c2f 7468 3e3c 7464 3e65 6e61  egy:</th><td>ena
│ │ │ +00087b40: 626c 653c 2f74 643e 3c2f 7472 3e3c 2f74  ble</td></tr></t
│ │ │ +00087b50: 6162 6c65 3e3c 7072 653e 3c63 6f64 653e  able><pre><code>
│ │ │ +00087b60: 2d20 6e61 6d65 3a20 4761 7468 6572 2074  - name: Gather t
│ │ │ +00087b70: 6865 2070 6163 6b61 6765 2066 6163 7473  he package facts
│ │ │ +00087b80: 0a20 2070 6163 6b61 6765 5f66 6163 7473  .  package_facts
│ │ │ +00087b90: 3a0a 2020 2020 6d61 6e61 6765 723a 2061  :.    manager: a
│ │ │ +00087ba0: 7574 6f0a 2020 7461 6773 3a0a 2020 2d20  uto.  tags:.  - 
│ │ │ +00087bb0: 4e49 5354 2d38 3030 2d35 332d 4143 2d37  NIST-800-53-AC-7
│ │ │ +00087bc0: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ +00087bd0: 2d35 332d 4155 2d31 3228 3229 0a20 202d  -53-AU-12(2).  -
│ │ │ +00087be0: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +00087bf0: 3134 0a20 202d 204e 4953 542d 3830 302d  14.  - NIST-800-
│ │ │ +00087c00: 3533 2d41 552d 3228 6129 0a20 202d 204e  53-AU-2(a).  - N
│ │ │ +00087c10: 4953 542d 3830 302d 3533 2d41 552d 3728  IST-800-53-AU-7(
│ │ │ +00087c20: 3129 0a20 202d 204e 4953 542d 3830 302d  1).  - NIST-800-
│ │ │ +00087c30: 3533 2d41 552d 3728 3229 0a20 202d 204e  53-AU-7(2).  - N
│ │ │ +00087c40: 4953 542d 3830 302d 3533 2d43 4d2d 3628  IST-800-53-CM-6(
│ │ │ +00087c50: 6129 0a20 202d 2050 4349 2d44 5353 2d52  a).  - PCI-DSS-R
│ │ │ +00087c60: 6571 2d31 302e 310a 2020 2d20 5043 492d  eq-10.1.  - PCI-
│ │ │ +00087c70: 4453 5376 342d 3130 2e32 0a20 202d 2050  DSSv4-10.2.  - P
│ │ │ +00087c80: 4349 2d44 5353 7634 2d31 302e 322e 310a  CI-DSSv4-10.2.1.
│ │ │ +00087c90: 2020 2d20 656e 6162 6c65 5f73 7472 6174    - enable_strat
│ │ │ +00087ca0: 6567 790a 2020 2d20 6c6f 775f 636f 6d70  egy.  - low_comp
│ │ │ +00087cb0: 6c65 7869 7479 0a20 202d 206c 6f77 5f64  lexity.  - low_d
│ │ │ +00087cc0: 6973 7275 7074 696f 6e0a 2020 2d20 6d65  isruption.  - me
│ │ │ +00087cd0: 6469 756d 5f73 6576 6572 6974 790a 2020  dium_severity.  
│ │ │ +00087ce0: 2d20 6e6f 5f72 6562 6f6f 745f 6e65 6564  - no_reboot_need
│ │ │ +00087cf0: 6564 0a20 202d 2070 6163 6b61 6765 5f61  ed.  - package_a
│ │ │ +00087d00: 7564 6974 5f69 6e73 7461 6c6c 6564 0a0a  udit_installed..
│ │ │ +00087d10: 2d20 6e61 6d65 3a20 456e 7375 7265 2061  - name: Ensure a
│ │ │ +00087d20: 7564 6974 6420 6973 2069 6e73 7461 6c6c  uditd is install
│ │ │ +00087d30: 6564 0a20 2070 6163 6b61 6765 3a0a 2020  ed.  package:.  
│ │ │ +00087d40: 2020 6e61 6d65 3a20 6175 6469 7464 0a20    name: auditd. 
│ │ │ +00087d50: 2020 2073 7461 7465 3a20 7072 6573 656e     state: presen
│ │ │ +00087d60: 740a 2020 7768 656e 3a20 2722 6c69 6e75  t.  when: '"linu
│ │ │ +00087d70: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ +00087d80: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ +00087d90: 7327 0a20 2074 6167 733a 0a20 202d 204e  s'.  tags:.  - N
│ │ │ +00087da0: 4953 542d 3830 302d 3533 2d41 432d 3728  IST-800-53-AC-7(
│ │ │ +00087db0: 6129 0a20 202d 204e 4953 542d 3830 302d  a).  - NIST-800-
│ │ │ +00087dc0: 3533 2d41 552d 3132 2832 290a 2020 2d20  53-AU-12(2).  - 
│ │ │ +00087dd0: 4e49 5354 2d38 3030 2d35 332d 4155 2d31  NIST-800-53-AU-1
│ │ │ +00087de0: 340a 2020 2d20 4e49 5354 2d38 3030 2d35  4.  - NIST-800-5
│ │ │ +00087df0: 332d 4155 2d32 2861 290a 2020 2d20 4e49  3-AU-2(a).  - NI
│ │ │ +00087e00: 5354 2d38 3030 2d35 332d 4155 2d37 2831  ST-800-53-AU-7(1
│ │ │ +00087e10: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +00087e20: 332d 4155 2d37 2832 290a 2020 2d20 4e49  3-AU-7(2).  - NI
│ │ │ +00087e30: 5354 2d38 3030 2d35 332d 434d 2d36 2861  ST-800-53-CM-6(a
│ │ │ +00087e40: 290a 2020 2d20 5043 492d 4453 532d 5265  ).  - PCI-DSS-Re
│ │ │ +00087e50: 712d 3130 2e31 0a20 202d 2050 4349 2d44  q-10.1.  - PCI-D
│ │ │ +00087e60: 5353 7634 2d31 302e 320a 2020 2d20 5043  SSv4-10.2.  - PC
│ │ │ +00087e70: 492d 4453 5376 342d 3130 2e32 2e31 0a20  I-DSSv4-10.2.1. 
│ │ │ +00087e80: 202d 2065 6e61 626c 655f 7374 7261 7465   - enable_strate
│ │ │ +00087e90: 6779 0a20 202d 206c 6f77 5f63 6f6d 706c  gy.  - low_compl
│ │ │ +00087ea0: 6578 6974 790a 2020 2d20 6c6f 775f 6469  exity.  - low_di
│ │ │ +00087eb0: 7372 7570 7469 6f6e 0a20 202d 206d 6564  sruption.  - med
│ │ │ +00087ec0: 6975 6d5f 7365 7665 7269 7479 0a20 202d  ium_severity.  -
│ │ │ +00087ed0: 206e 6f5f 7265 626f 6f74 5f6e 6565 6465   no_reboot_neede
│ │ │ +00087ee0: 640a 2020 2d20 7061 636b 6167 655f 6175  d.  - package_au
│ │ │ +00087ef0: 6469 745f 696e 7374 616c 6c65 640a 3c2f  dit_installed.</
│ │ │ +00087f00: 636f 6465 3e3c 2f70 7265 3e3c 2f64 6976  code></pre></div
│ │ │ +00087f10: 3e3c 6120 636c 6173 733d 2262 746e 2062  ><a class="btn b
│ │ │ +00087f20: 746e 2d73 7563 6365 7373 2220 6461 7461  tn-success" data
│ │ │ +00087f30: 2d74 6f67 676c 653d 2263 6f6c 6c61 7073  -toggle="collaps
│ │ │ +00087f40: 6522 2064 6174 612d 7461 7267 6574 3d22  e" data-target="
│ │ │ +00087f50: 2369 646d 3234 3634 3822 2074 6162 696e  #idm24648" tabin
│ │ │ +00087f60: 6465 783d 2230 2220 726f 6c65 3d22 6275  dex="0" role="bu
│ │ │ +00087f70: 7474 6f6e 2220 6172 6961 2d65 7870 616e  tton" aria-expan
│ │ │ +00087f80: 6465 643d 2266 616c 7365 2220 7469 746c  ded="false" titl
│ │ │ +00087f90: 653d 2241 6374 6976 6174 6520 746f 2072  e="Activate to r
│ │ │ +00087fa0: 6576 6561 6c22 2068 7265 663d 2223 2122  eveal" href="#!"
│ │ │ +00087fb0: 3e52 656d 6564 6961 7469 6f6e 2050 7570  >Remediation Pup
│ │ │ +00087fc0: 7065 7420 736e 6970 7065 7420 e287 b23c  pet snippet ...<
│ │ │ +00087fd0: 2f61 3e3c 6272 3e3c 6469 7620 636c 6173  /a><br><div clas
│ │ │ +00087fe0: 733d 2270 616e 656c 2d63 6f6c 6c61 7073  s="panel-collaps
│ │ │ +00087ff0: 6520 636f 6c6c 6170 7365 2220 6964 3d22  e collapse" id="
│ │ │ +00088000: 6964 6d32 3436 3438 223e 3c74 6162 6c65  idm24648"><table
│ │ │ +00088010: 2063 6c61 7373 3d22 7461 626c 6520 7461   class="table ta
│ │ │ +00088020: 626c 652d 7374 7269 7065 6420 7461 626c  ble-striped tabl
│ │ │ +00088030: 652d 626f 7264 6572 6564 2074 6162 6c65  e-bordered table
│ │ │ +00088040: 2d63 6f6e 6465 6e73 6564 223e 3c74 723e  -condensed"><tr>
│ │ │ +00088050: 3c74 683e 436f 6d70 6c65 7869 7479 3a3c  <th>Complexity:<
│ │ │ +00088060: 2f74 683e 3c74 643e 6c6f 773c 2f74 643e  /th><td>low</td>
│ │ │ +00088070: 3c2f 7472 3e3c 7472 3e3c 7468 3e44 6973  </tr><tr><th>Dis
│ │ │ +00088080: 7275 7074 696f 6e3a 3c2f 7468 3e3c 7464  ruption:</th><td
│ │ │ +00088090: 3e6c 6f77 3c2f 7464 3e3c 2f74 723e 3c74  >low</td></tr><t
│ │ │ +000880a0: 723e 3c74 683e 5265 626f 6f74 3a3c 2f74  r><th>Reboot:</t
│ │ │ +000880b0: 683e 3c74 643e 6661 6c73 653c 2f74 643e  h><td>false</td>
│ │ │ +000880c0: 3c2f 7472 3e3c 7472 3e3c 7468 3e53 7472  </tr><tr><th>Str
│ │ │ +000880d0: 6174 6567 793a 3c2f 7468 3e3c 7464 3e65  ategy:</th><td>e
│ │ │ +000880e0: 6e61 626c 653c 2f74 643e 3c2f 7472 3e3c  nable</td></tr><
│ │ │ +000880f0: 2f74 6162 6c65 3e3c 7072 653e 3c63 6f64  /table><pre><cod
│ │ │ +00088100: 653e 696e 636c 7564 6520 696e 7374 616c  e>include instal
│ │ │ +00088110: 6c5f 6175 6469 7464 0a0a 636c 6173 7320  l_auditd..class 
│ │ │ +00088120: 696e 7374 616c 6c5f 6175 6469 7464 207b  install_auditd {
│ │ │ +00088130: 0a20 2070 6163 6b61 6765 207b 2027 6175  .  package { 'au
│ │ │ +00088140: 6469 7464 273a 0a20 2020 2065 6e73 7572  ditd':.    ensur
│ │ │ +00088150: 6520 3d26 6774 3b20 2769 6e73 7461 6c6c  e =&gt; 'install
│ │ │ +00088160: 6564 272c 0a20 207d 0a7d 0a3c 2f63 6f64  ed',.  }.}.</cod
│ │ │ +00088170: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +00088180: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +00088190: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +000881a0: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +000881b0: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +000881c0: 6d32 3436 3439 2220 7461 6269 6e64 6578  m24649" tabindex
│ │ │ +000881d0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +000881e0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +000881f0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +00088200: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +00088210: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +00088220: 6d65 6469 6174 696f 6e20 4f53 4275 696c  mediation OSBuil
│ │ │ +00088230: 6420 426c 7565 7072 696e 7420 736e 6970  d Blueprint snip
│ │ │ +00088240: 7065 7420 e287 b23c 2f61 3e3c 6272 3e3c  pet ...</a><br><
│ │ │ +00088250: 6469 7620 636c 6173 733d 2270 616e 656c  div class="panel
│ │ │ +00088260: 2d63 6f6c 6c61 7073 6520 636f 6c6c 6170  -collapse collap
│ │ │ +00088270: 7365 2220 6964 3d22 6964 6d32 3436 3439  se" id="idm24649
│ │ │ +00088280: 223e 3c70 7265 3e3c 636f 6465 3e0a 5b5b  "><pre><code>.[[
│ │ │ +00088290: 7061 636b 6167 6573 5d5d 0a6e 616d 6520  packages]].name 
│ │ │ +000882a0: 3d20 2261 7564 6974 6422 0a76 6572 7369  = "auditd".versi
│ │ │ +000882b0: 6f6e 203d 2022 2a22 0a3c 2f63 6f64 653e  on = "*".</code>
│ │ │  000882c0: 3c2f 7072 653e 3c2f 6469 763e 3c61 2063  </pre></div><a c
│ │ │  000882d0: 6c61 7373 3d22 6274 6e20 6274 6e2d 7375  lass="btn btn-su
│ │ │  000882e0: 6363 6573 7322 2064 6174 612d 746f 6767  ccess" data-togg
│ │ │  000882f0: 6c65 3d22 636f 6c6c 6170 7365 2220 6461  le="collapse" da
│ │ │  00088300: 7461 2d74 6172 6765 743d 2223 6964 6d32  ta-target="#idm2
│ │ │  00088310: 3436 3530 2220 7461 6269 6e64 6578 3d22  4650" tabindex="
│ │ │  00088320: 3022 2072 6f6c 653d 2262 7574 746f 6e22  0" role="button"
│ │ │ @@ -35322,191 +35322,191 @@
│ │ │  00089f90: 7073 6522 2064 6174 612d 7461 7267 6574  pse" data-target
│ │ │  00089fa0: 3d22 2369 646d 3234 3834 3822 2074 6162  ="#idm24848" tab
│ │ │  00089fb0: 696e 6465 783d 2230 2220 726f 6c65 3d22  index="0" role="
│ │ │  00089fc0: 6275 7474 6f6e 2220 6172 6961 2d65 7870  button" aria-exp
│ │ │  00089fd0: 616e 6465 643d 2266 616c 7365 2220 7469  anded="false" ti
│ │ │  00089fe0: 746c 653d 2241 6374 6976 6174 6520 746f  tle="Activate to
│ │ │  00089ff0: 2072 6576 6561 6c22 2068 7265 663d 2223   reveal" href="#
│ │ │ -0008a000: 2122 3e52 656d 6564 6961 7469 6f6e 204f  !">Remediation O
│ │ │ -0008a010: 5342 7569 6c64 2042 6c75 6570 7269 6e74  SBuild Blueprint
│ │ │ -0008a020: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ -0008a030: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ -0008a040: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ -0008a050: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ -0008a060: 3234 3834 3822 3e3c 7072 653e 3c63 6f64  24848"><pre><cod
│ │ │ -0008a070: 653e 0a5b 6375 7374 6f6d 697a 6174 696f  e>.[customizatio
│ │ │ -0008a080: 6e73 2e73 6572 7669 6365 735d 0a65 6e61  ns.services].ena
│ │ │ -0008a090: 626c 6564 203d 205b 2261 7564 6974 6422  bled = ["auditd"
│ │ │ -0008a0a0: 5d0a 3c2f 636f 6465 3e3c 2f70 7265 3e3c  ].</code></pre><
│ │ │ -0008a0b0: 2f64 6976 3e3c 6120 636c 6173 733d 2262  /div><a class="b
│ │ │ -0008a0c0: 746e 2062 746e 2d73 7563 6365 7373 2220  tn btn-success" 
│ │ │ -0008a0d0: 6461 7461 2d74 6f67 676c 653d 2263 6f6c  data-toggle="col
│ │ │ -0008a0e0: 6c61 7073 6522 2064 6174 612d 7461 7267  lapse" data-targ
│ │ │ -0008a0f0: 6574 3d22 2369 646d 3234 3834 3922 2074  et="#idm24849" t
│ │ │ -0008a100: 6162 696e 6465 783d 2230 2220 726f 6c65  abindex="0" role
│ │ │ -0008a110: 3d22 6275 7474 6f6e 2220 6172 6961 2d65  ="button" aria-e
│ │ │ -0008a120: 7870 616e 6465 643d 2266 616c 7365 2220  xpanded="false" 
│ │ │ -0008a130: 7469 746c 653d 2241 6374 6976 6174 6520  title="Activate 
│ │ │ -0008a140: 746f 2072 6576 6561 6c22 2068 7265 663d  to reveal" href=
│ │ │ -0008a150: 2223 2122 3e52 656d 6564 6961 7469 6f6e  "#!">Remediation
│ │ │ -0008a160: 2050 7570 7065 7420 736e 6970 7065 7420   Puppet snippet 
│ │ │ -0008a170: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -0008a180: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -0008a190: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -0008a1a0: 6964 3d22 6964 6d32 3438 3439 223e 3c74  id="idm24849"><t
│ │ │ -0008a1b0: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -0008a1c0: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -0008a1d0: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -0008a1e0: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -0008a1f0: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -0008a200: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -0008a210: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0008a220: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -0008a230: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0008a240: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -0008a250: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -0008a260: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0008a270: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -0008a280: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -0008a290: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -0008a2a0: 3c63 6f64 653e 696e 636c 7564 6520 656e  <code>include en
│ │ │ -0008a2b0: 6162 6c65 5f61 7564 6974 640a 0a63 6c61  able_auditd..cla
│ │ │ -0008a2c0: 7373 2065 6e61 626c 655f 6175 6469 7464  ss enable_auditd
│ │ │ -0008a2d0: 207b 0a20 2073 6572 7669 6365 207b 2761   {.  service {'a
│ │ │ -0008a2e0: 7564 6974 6427 3a0a 2020 2020 656e 6162  uditd':.    enab
│ │ │ -0008a2f0: 6c65 203d 2667 743b 2074 7275 652c 0a20  le =&gt; true,. 
│ │ │ -0008a300: 2020 2065 6e73 7572 6520 3d26 6774 3b20     ensure =&gt; 
│ │ │ -0008a310: 2772 756e 6e69 6e67 272c 0a20 207d 0a7d  'running',.  }.}
│ │ │ -0008a320: 0a3c 2f63 6f64 653e 3c2f 7072 653e 3c2f  .</code></pre></
│ │ │ -0008a330: 6469 763e 3c61 2063 6c61 7373 3d22 6274  div><a class="bt
│ │ │ -0008a340: 6e20 6274 6e2d 7375 6363 6573 7322 2064  n btn-success" d
│ │ │ -0008a350: 6174 612d 746f 6767 6c65 3d22 636f 6c6c  ata-toggle="coll
│ │ │ -0008a360: 6170 7365 2220 6461 7461 2d74 6172 6765  apse" data-targe
│ │ │ -0008a370: 743d 2223 6964 6d32 3438 3530 2220 7461  t="#idm24850" ta
│ │ │ -0008a380: 6269 6e64 6578 3d22 3022 2072 6f6c 653d  bindex="0" role=
│ │ │ -0008a390: 2262 7574 746f 6e22 2061 7269 612d 6578  "button" aria-ex
│ │ │ -0008a3a0: 7061 6e64 6564 3d22 6661 6c73 6522 2074  panded="false" t
│ │ │ -0008a3b0: 6974 6c65 3d22 4163 7469 7661 7465 2074  itle="Activate t
│ │ │ -0008a3c0: 6f20 7265 7665 616c 2220 6872 6566 3d22  o reveal" href="
│ │ │ -0008a3d0: 2321 223e 5265 6d65 6469 6174 696f 6e20  #!">Remediation 
│ │ │ -0008a3e0: 416e 7369 626c 6520 736e 6970 7065 7420  Ansible snippet 
│ │ │ -0008a3f0: e287 b23c 2f61 3e3c 6272 3e3c 6469 7620  ...</a><br><div 
│ │ │ -0008a400: 636c 6173 733d 2270 616e 656c 2d63 6f6c  class="panel-col
│ │ │ -0008a410: 6c61 7073 6520 636f 6c6c 6170 7365 2220  lapse collapse" 
│ │ │ -0008a420: 6964 3d22 6964 6d32 3438 3530 223e 3c74  id="idm24850"><t
│ │ │ -0008a430: 6162 6c65 2063 6c61 7373 3d22 7461 626c  able class="tabl
│ │ │ -0008a440: 6520 7461 626c 652d 7374 7269 7065 6420  e table-striped 
│ │ │ -0008a450: 7461 626c 652d 626f 7264 6572 6564 2074  table-bordered t
│ │ │ -0008a460: 6162 6c65 2d63 6f6e 6465 6e73 6564 223e  able-condensed">
│ │ │ -0008a470: 3c74 723e 3c74 683e 436f 6d70 6c65 7869  <tr><th>Complexi
│ │ │ -0008a480: 7479 3a3c 2f74 683e 3c74 643e 6c6f 773c  ty:</th><td>low<
│ │ │ -0008a490: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0008a4a0: 3e44 6973 7275 7074 696f 6e3a 3c2f 7468  >Disruption:</th
│ │ │ -0008a4b0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ -0008a4c0: 723e 3c74 723e 3c74 683e 5265 626f 6f74  r><tr><th>Reboot
│ │ │ -0008a4d0: 3a3c 2f74 683e 3c74 643e 6661 6c73 653c  :</th><td>false<
│ │ │ -0008a4e0: 2f74 643e 3c2f 7472 3e3c 7472 3e3c 7468  /td></tr><tr><th
│ │ │ -0008a4f0: 3e53 7472 6174 6567 793a 3c2f 7468 3e3c  >Strategy:</th><
│ │ │ -0008a500: 7464 3e65 6e61 626c 653c 2f74 643e 3c2f  td>enable</td></
│ │ │ -0008a510: 7472 3e3c 2f74 6162 6c65 3e3c 7072 653e  tr></table><pre>
│ │ │ -0008a520: 3c63 6f64 653e 2d20 6e61 6d65 3a20 4761  <code>- name: Ga
│ │ │ -0008a530: 7468 6572 2074 6865 2070 6163 6b61 6765  ther the package
│ │ │ -0008a540: 2066 6163 7473 0a20 2070 6163 6b61 6765   facts.  package
│ │ │ -0008a550: 5f66 6163 7473 3a0a 2020 2020 6d61 6e61  _facts:.    mana
│ │ │ -0008a560: 6765 723a 2061 7574 6f0a 2020 7461 6773  ger: auto.  tags
│ │ │ -0008a570: 3a0a 2020 2d20 434a 4953 2d35 2e34 2e31  :.  - CJIS-5.4.1
│ │ │ -0008a580: 2e31 0a20 202d 204e 4953 542d 3830 302d  .1.  - NIST-800-
│ │ │ -0008a590: 3137 312d 332e 332e 310a 2020 2d20 4e49  171-3.3.1.  - NI
│ │ │ -0008a5a0: 5354 2d38 3030 2d31 3731 2d33 2e33 2e32  ST-800-171-3.3.2
│ │ │ -0008a5b0: 0a20 202d 204e 4953 542d 3830 302d 3137  .  - NIST-800-17
│ │ │ -0008a5c0: 312d 332e 332e 360a 2020 2d20 4e49 5354  1-3.3.6.  - NIST
│ │ │ -0008a5d0: 2d38 3030 2d35 332d 4143 2d32 2867 290a  -800-53-AC-2(g).
│ │ │ -0008a5e0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0008a5f0: 4143 2d36 2839 290a 2020 2d20 4e49 5354  AC-6(9).  - NIST
│ │ │ -0008a600: 2d38 3030 2d35 332d 4155 2d31 300a 2020  -800-53-AU-10.  
│ │ │ -0008a610: 2d20 4e49 5354 2d38 3030 2d35 332d 4155  - NIST-800-53-AU
│ │ │ -0008a620: 2d31 3228 6329 0a20 202d 204e 4953 542d  -12(c).  - NIST-
│ │ │ -0008a630: 3830 302d 3533 2d41 552d 3134 2831 290a  800-53-AU-14(1).
│ │ │ -0008a640: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0008a650: 4155 2d32 2864 290a 2020 2d20 4e49 5354  AU-2(d).  - NIST
│ │ │ -0008a660: 2d38 3030 2d35 332d 4155 2d33 0a20 202d  -800-53-AU-3.  -
│ │ │ -0008a670: 204e 4953 542d 3830 302d 3533 2d43 4d2d   NIST-800-53-CM-
│ │ │ -0008a680: 3628 6129 0a20 202d 204e 4953 542d 3830  6(a).  - NIST-80
│ │ │ -0008a690: 302d 3533 2d53 492d 3428 3233 290a 2020  0-53-SI-4(23).  
│ │ │ -0008a6a0: 2d20 5043 492d 4453 532d 5265 712d 3130  - PCI-DSS-Req-10
│ │ │ -0008a6b0: 2e31 0a20 202d 2050 4349 2d44 5353 7634  .1.  - PCI-DSSv4
│ │ │ -0008a6c0: 2d31 302e 320a 2020 2d20 5043 492d 4453  -10.2.  - PCI-DS
│ │ │ -0008a6d0: 5376 342d 3130 2e32 2e31 0a20 202d 2065  Sv4-10.2.1.  - e
│ │ │ -0008a6e0: 6e61 626c 655f 7374 7261 7465 6779 0a20  nable_strategy. 
│ │ │ -0008a6f0: 202d 206c 6f77 5f63 6f6d 706c 6578 6974   - low_complexit
│ │ │ -0008a700: 790a 2020 2d20 6c6f 775f 6469 7372 7570  y.  - low_disrup
│ │ │ -0008a710: 7469 6f6e 0a20 202d 206d 6564 6975 6d5f  tion.  - medium_
│ │ │ -0008a720: 7365 7665 7269 7479 0a20 202d 206e 6f5f  severity.  - no_
│ │ │ -0008a730: 7265 626f 6f74 5f6e 6565 6465 640a 2020  reboot_needed.  
│ │ │ -0008a740: 2d20 7365 7276 6963 655f 6175 6469 7464  - service_auditd
│ │ │ -0008a750: 5f65 6e61 626c 6564 0a0a 2d20 6e61 6d65  _enabled..- name
│ │ │ -0008a760: 3a20 456e 6162 6c65 2061 7564 6974 6420  : Enable auditd 
│ │ │ -0008a770: 5365 7276 6963 6520 2d20 456e 6162 6c65  Service - Enable
│ │ │ -0008a780: 2073 6572 7669 6365 2061 7564 6974 640a   service auditd.
│ │ │ -0008a790: 2020 626c 6f63 6b3a 0a0a 2020 2d20 6e61    block:..  - na
│ │ │ -0008a7a0: 6d65 3a20 4761 7468 6572 2074 6865 2070  me: Gather the p
│ │ │ -0008a7b0: 6163 6b61 6765 2066 6163 7473 0a20 2020  ackage facts.   
│ │ │ -0008a7c0: 2070 6163 6b61 6765 5f66 6163 7473 3a0a   package_facts:.
│ │ │ -0008a7d0: 2020 2020 2020 6d61 6e61 6765 723a 2061        manager: a
│ │ │ -0008a7e0: 7574 6f0a 0a20 202d 206e 616d 653a 2045  uto..  - name: E
│ │ │ -0008a7f0: 6e61 626c 6520 6175 6469 7464 2053 6572  nable auditd Ser
│ │ │ -0008a800: 7669 6365 202d 2045 6e61 626c 6520 5365  vice - Enable Se
│ │ │ -0008a810: 7276 6963 6520 6175 6469 7464 0a20 2020  rvice auditd.   
│ │ │ -0008a820: 2061 6e73 6962 6c65 2e62 7569 6c74 696e   ansible.builtin
│ │ │ -0008a830: 2e73 7973 7465 6d64 3a0a 2020 2020 2020  .systemd:.      
│ │ │ -0008a840: 6e61 6d65 3a20 6175 6469 7464 0a20 2020  name: auditd.   
│ │ │ -0008a850: 2020 2065 6e61 626c 6564 3a20 7472 7565     enabled: true
│ │ │ -0008a860: 0a20 2020 2020 2073 7461 7465 3a20 7374  .      state: st
│ │ │ -0008a870: 6172 7465 640a 2020 2020 2020 6d61 736b  arted.      mask
│ │ │ -0008a880: 6564 3a20 6661 6c73 650a 2020 2020 7768  ed: false.    wh
│ │ │ -0008a890: 656e 3a0a 2020 2020 2d20 2722 6175 6469  en:.    - '"audi
│ │ │ -0008a8a0: 7464 2220 696e 2061 6e73 6962 6c65 5f66  td" in ansible_f
│ │ │ -0008a8b0: 6163 7473 2e70 6163 6b61 6765 7327 0a20  acts.packages'. 
│ │ │ -0008a8c0: 2077 6865 6e3a 0a20 202d 2027 226c 696e   when:.  - '"lin
│ │ │ -0008a8d0: 7578 2d62 6173 6522 2069 6e20 616e 7369  ux-base" in ansi
│ │ │ -0008a8e0: 626c 655f 6661 6374 732e 7061 636b 6167  ble_facts.packag
│ │ │ -0008a8f0: 6573 270a 2020 2d20 2722 6175 6469 7464  es'.  - '"auditd
│ │ │ -0008a900: 2220 696e 2061 6e73 6962 6c65 5f66 6163  " in ansible_fac
│ │ │ -0008a910: 7473 2e70 6163 6b61 6765 7327 0a20 2074  ts.packages'.  t
│ │ │ -0008a920: 6167 733a 0a20 202d 2043 4a49 532d 352e  ags:.  - CJIS-5.
│ │ │ -0008a930: 342e 312e 310a 2020 2d20 4e49 5354 2d38  4.1.1.  - NIST-8
│ │ │ -0008a940: 3030 2d31 3731 2d33 2e33 2e31 0a20 202d  00-171-3.3.1.  -
│ │ │ -0008a950: 204e 4953 542d 3830 302d 3137 312d 332e   NIST-800-171-3.
│ │ │ -0008a960: 332e 320a 2020 2d20 4e49 5354 2d38 3030  3.2.  - NIST-800
│ │ │ -0008a970: 2d31 3731 2d33 2e33 2e36 0a20 202d 204e  -171-3.3.6.  - N
│ │ │ -0008a980: 4953 542d 3830 302d 3533 2d41 432d 3228  IST-800-53-AC-2(
│ │ │ -0008a990: 6729 0a20 202d 204e 4953 542d 3830 302d  g).  - NIST-800-
│ │ │ -0008a9a0: 3533 2d41 432d 3628 3929 0a20 202d 204e  53-AC-6(9).  - N
│ │ │ -0008a9b0: 4953 542d 3830 302d 3533 2d41 552d 3130  IST-800-53-AU-10
│ │ │ -0008a9c0: 0a20 202d 204e 4953 542d 3830 302d 3533  .  - NIST-800-53
│ │ │ -0008a9d0: 2d41 552d 3132 2863 290a 2020 2d20 4e49  -AU-12(c).  - NI
│ │ │ -0008a9e0: 5354 2d38 3030 2d35 332d 4155 2d31 3428  ST-800-53-AU-14(
│ │ │ -0008a9f0: 3129 0a20 202d 204e 4953 542d 3830 302d  1).  - NIST-800-
│ │ │ -0008aa00: 3533 2d41 552d 3228 6429 0a20 202d 204e  53-AU-2(d).  - N
│ │ │ -0008aa10: 4953 542d 3830 302d 3533 2d41 552d 330a  IST-800-53-AU-3.
│ │ │ -0008aa20: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ -0008aa30: 434d 2d36 2861 290a 2020 2d20 4e49 5354  CM-6(a).  - NIST
│ │ │ -0008aa40: 2d38 3030 2d35 332d 5349 2d34 2832 3329  -800-53-SI-4(23)
│ │ │ -0008aa50: 0a20 202d 2050 4349 2d44 5353 2d52 6571  .  - PCI-DSS-Req
│ │ │ -0008aa60: 2d31 302e 310a 2020 2d20 5043 492d 4453  -10.1.  - PCI-DS
│ │ │ -0008aa70: 5376 342d 3130 2e32 0a20 202d 2050 4349  Sv4-10.2.  - PCI
│ │ │ -0008aa80: 2d44 5353 7634 2d31 302e 322e 310a 2020  -DSSv4-10.2.1.  
│ │ │ -0008aa90: 2d20 656e 6162 6c65 5f73 7472 6174 6567  - enable_strateg
│ │ │ -0008aaa0: 790a 2020 2d20 6c6f 775f 636f 6d70 6c65  y.  - low_comple
│ │ │ -0008aab0: 7869 7479 0a20 202d 206c 6f77 5f64 6973  xity.  - low_dis
│ │ │ -0008aac0: 7275 7074 696f 6e0a 2020 2d20 6d65 6469  ruption.  - medi
│ │ │ -0008aad0: 756d 5f73 6576 6572 6974 790a 2020 2d20  um_severity.  - 
│ │ │ -0008aae0: 6e6f 5f72 6562 6f6f 745f 6e65 6564 6564  no_reboot_needed
│ │ │ -0008aaf0: 0a20 202d 2073 6572 7669 6365 5f61 7564  .  - service_aud
│ │ │ -0008ab00: 6974 645f 656e 6162 6c65 640a 3c2f 636f  itd_enabled.</co
│ │ │ +0008a000: 2122 3e52 656d 6564 6961 7469 6f6e 2041  !">Remediation A
│ │ │ +0008a010: 6e73 6962 6c65 2073 6e69 7070 6574 20e2  nsible snippet .
│ │ │ +0008a020: 87b2 3c2f 613e 3c62 723e 3c64 6976 2063  ..</a><br><div c
│ │ │ +0008a030: 6c61 7373 3d22 7061 6e65 6c2d 636f 6c6c  lass="panel-coll
│ │ │ +0008a040: 6170 7365 2063 6f6c 6c61 7073 6522 2069  apse collapse" i
│ │ │ +0008a050: 643d 2269 646d 3234 3834 3822 3e3c 7461  d="idm24848"><ta
│ │ │ +0008a060: 626c 6520 636c 6173 733d 2274 6162 6c65  ble class="table
│ │ │ +0008a070: 2074 6162 6c65 2d73 7472 6970 6564 2074   table-striped t
│ │ │ +0008a080: 6162 6c65 2d62 6f72 6465 7265 6420 7461  able-bordered ta
│ │ │ +0008a090: 626c 652d 636f 6e64 656e 7365 6422 3e3c  ble-condensed"><
│ │ │ +0008a0a0: 7472 3e3c 7468 3e43 6f6d 706c 6578 6974  tr><th>Complexit
│ │ │ +0008a0b0: 793a 3c2f 7468 3e3c 7464 3e6c 6f77 3c2f  y:</th><td>low</
│ │ │ +0008a0c0: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0008a0d0: 4469 7372 7570 7469 6f6e 3a3c 2f74 683e  Disruption:</th>
│ │ │ +0008a0e0: 3c74 643e 6c6f 773c 2f74 643e 3c2f 7472  <td>low</td></tr
│ │ │ +0008a0f0: 3e3c 7472 3e3c 7468 3e52 6562 6f6f 743a  ><tr><th>Reboot:
│ │ │ +0008a100: 3c2f 7468 3e3c 7464 3e66 616c 7365 3c2f  </th><td>false</
│ │ │ +0008a110: 7464 3e3c 2f74 723e 3c74 723e 3c74 683e  td></tr><tr><th>
│ │ │ +0008a120: 5374 7261 7465 6779 3a3c 2f74 683e 3c74  Strategy:</th><t
│ │ │ +0008a130: 643e 656e 6162 6c65 3c2f 7464 3e3c 2f74  d>enable</td></t
│ │ │ +0008a140: 723e 3c2f 7461 626c 653e 3c70 7265 3e3c  r></table><pre><
│ │ │ +0008a150: 636f 6465 3e2d 206e 616d 653a 2047 6174  code>- name: Gat
│ │ │ +0008a160: 6865 7220 7468 6520 7061 636b 6167 6520  her the package 
│ │ │ +0008a170: 6661 6374 730a 2020 7061 636b 6167 655f  facts.  package_
│ │ │ +0008a180: 6661 6374 733a 0a20 2020 206d 616e 6167  facts:.    manag
│ │ │ +0008a190: 6572 3a20 6175 746f 0a20 2074 6167 733a  er: auto.  tags:
│ │ │ +0008a1a0: 0a20 202d 2043 4a49 532d 352e 342e 312e  .  - CJIS-5.4.1.
│ │ │ +0008a1b0: 310a 2020 2d20 4e49 5354 2d38 3030 2d31  1.  - NIST-800-1
│ │ │ +0008a1c0: 3731 2d33 2e33 2e31 0a20 202d 204e 4953  71-3.3.1.  - NIS
│ │ │ +0008a1d0: 542d 3830 302d 3137 312d 332e 332e 320a  T-800-171-3.3.2.
│ │ │ +0008a1e0: 2020 2d20 4e49 5354 2d38 3030 2d31 3731    - NIST-800-171
│ │ │ +0008a1f0: 2d33 2e33 2e36 0a20 202d 204e 4953 542d  -3.3.6.  - NIST-
│ │ │ +0008a200: 3830 302d 3533 2d41 432d 3228 6729 0a20  800-53-AC-2(g). 
│ │ │ +0008a210: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +0008a220: 432d 3628 3929 0a20 202d 204e 4953 542d  C-6(9).  - NIST-
│ │ │ +0008a230: 3830 302d 3533 2d41 552d 3130 0a20 202d  800-53-AU-10.  -
│ │ │ +0008a240: 204e 4953 542d 3830 302d 3533 2d41 552d   NIST-800-53-AU-
│ │ │ +0008a250: 3132 2863 290a 2020 2d20 4e49 5354 2d38  12(c).  - NIST-8
│ │ │ +0008a260: 3030 2d35 332d 4155 2d31 3428 3129 0a20  00-53-AU-14(1). 
│ │ │ +0008a270: 202d 204e 4953 542d 3830 302d 3533 2d41   - NIST-800-53-A
│ │ │ +0008a280: 552d 3228 6429 0a20 202d 204e 4953 542d  U-2(d).  - NIST-
│ │ │ +0008a290: 3830 302d 3533 2d41 552d 330a 2020 2d20  800-53-AU-3.  - 
│ │ │ +0008a2a0: 4e49 5354 2d38 3030 2d35 332d 434d 2d36  NIST-800-53-CM-6
│ │ │ +0008a2b0: 2861 290a 2020 2d20 4e49 5354 2d38 3030  (a).  - NIST-800
│ │ │ +0008a2c0: 2d35 332d 5349 2d34 2832 3329 0a20 202d  -53-SI-4(23).  -
│ │ │ +0008a2d0: 2050 4349 2d44 5353 2d52 6571 2d31 302e   PCI-DSS-Req-10.
│ │ │ +0008a2e0: 310a 2020 2d20 5043 492d 4453 5376 342d  1.  - PCI-DSSv4-
│ │ │ +0008a2f0: 3130 2e32 0a20 202d 2050 4349 2d44 5353  10.2.  - PCI-DSS
│ │ │ +0008a300: 7634 2d31 302e 322e 310a 2020 2d20 656e  v4-10.2.1.  - en
│ │ │ +0008a310: 6162 6c65 5f73 7472 6174 6567 790a 2020  able_strategy.  
│ │ │ +0008a320: 2d20 6c6f 775f 636f 6d70 6c65 7869 7479  - low_complexity
│ │ │ +0008a330: 0a20 202d 206c 6f77 5f64 6973 7275 7074  .  - low_disrupt
│ │ │ +0008a340: 696f 6e0a 2020 2d20 6d65 6469 756d 5f73  ion.  - medium_s
│ │ │ +0008a350: 6576 6572 6974 790a 2020 2d20 6e6f 5f72  everity.  - no_r
│ │ │ +0008a360: 6562 6f6f 745f 6e65 6564 6564 0a20 202d  eboot_needed.  -
│ │ │ +0008a370: 2073 6572 7669 6365 5f61 7564 6974 645f   service_auditd_
│ │ │ +0008a380: 656e 6162 6c65 640a 0a2d 206e 616d 653a  enabled..- name:
│ │ │ +0008a390: 2045 6e61 626c 6520 6175 6469 7464 2053   Enable auditd S
│ │ │ +0008a3a0: 6572 7669 6365 202d 2045 6e61 626c 6520  ervice - Enable 
│ │ │ +0008a3b0: 7365 7276 6963 6520 6175 6469 7464 0a20  service auditd. 
│ │ │ +0008a3c0: 2062 6c6f 636b 3a0a 0a20 202d 206e 616d   block:..  - nam
│ │ │ +0008a3d0: 653a 2047 6174 6865 7220 7468 6520 7061  e: Gather the pa
│ │ │ +0008a3e0: 636b 6167 6520 6661 6374 730a 2020 2020  ckage facts.    
│ │ │ +0008a3f0: 7061 636b 6167 655f 6661 6374 733a 0a20  package_facts:. 
│ │ │ +0008a400: 2020 2020 206d 616e 6167 6572 3a20 6175       manager: au
│ │ │ +0008a410: 746f 0a0a 2020 2d20 6e61 6d65 3a20 456e  to..  - name: En
│ │ │ +0008a420: 6162 6c65 2061 7564 6974 6420 5365 7276  able auditd Serv
│ │ │ +0008a430: 6963 6520 2d20 456e 6162 6c65 2053 6572  ice - Enable Ser
│ │ │ +0008a440: 7669 6365 2061 7564 6974 640a 2020 2020  vice auditd.    
│ │ │ +0008a450: 616e 7369 626c 652e 6275 696c 7469 6e2e  ansible.builtin.
│ │ │ +0008a460: 7379 7374 656d 643a 0a20 2020 2020 206e  systemd:.      n
│ │ │ +0008a470: 616d 653a 2061 7564 6974 640a 2020 2020  ame: auditd.    
│ │ │ +0008a480: 2020 656e 6162 6c65 643a 2074 7275 650a    enabled: true.
│ │ │ +0008a490: 2020 2020 2020 7374 6174 653a 2073 7461        state: sta
│ │ │ +0008a4a0: 7274 6564 0a20 2020 2020 206d 6173 6b65  rted.      maske
│ │ │ +0008a4b0: 643a 2066 616c 7365 0a20 2020 2077 6865  d: false.    whe
│ │ │ +0008a4c0: 6e3a 0a20 2020 202d 2027 2261 7564 6974  n:.    - '"audit
│ │ │ +0008a4d0: 6422 2069 6e20 616e 7369 626c 655f 6661  d" in ansible_fa
│ │ │ +0008a4e0: 6374 732e 7061 636b 6167 6573 270a 2020  cts.packages'.  
│ │ │ +0008a4f0: 7768 656e 3a0a 2020 2d20 2722 6c69 6e75  when:.  - '"linu
│ │ │ +0008a500: 782d 6261 7365 2220 696e 2061 6e73 6962  x-base" in ansib
│ │ │ +0008a510: 6c65 5f66 6163 7473 2e70 6163 6b61 6765  le_facts.package
│ │ │ +0008a520: 7327 0a20 202d 2027 2261 7564 6974 6422  s'.  - '"auditd"
│ │ │ +0008a530: 2069 6e20 616e 7369 626c 655f 6661 6374   in ansible_fact
│ │ │ +0008a540: 732e 7061 636b 6167 6573 270a 2020 7461  s.packages'.  ta
│ │ │ +0008a550: 6773 3a0a 2020 2d20 434a 4953 2d35 2e34  gs:.  - CJIS-5.4
│ │ │ +0008a560: 2e31 2e31 0a20 202d 204e 4953 542d 3830  .1.1.  - NIST-80
│ │ │ +0008a570: 302d 3137 312d 332e 332e 310a 2020 2d20  0-171-3.3.1.  - 
│ │ │ +0008a580: 4e49 5354 2d38 3030 2d31 3731 2d33 2e33  NIST-800-171-3.3
│ │ │ +0008a590: 2e32 0a20 202d 204e 4953 542d 3830 302d  .2.  - NIST-800-
│ │ │ +0008a5a0: 3137 312d 332e 332e 360a 2020 2d20 4e49  171-3.3.6.  - NI
│ │ │ +0008a5b0: 5354 2d38 3030 2d35 332d 4143 2d32 2867  ST-800-53-AC-2(g
│ │ │ +0008a5c0: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +0008a5d0: 332d 4143 2d36 2839 290a 2020 2d20 4e49  3-AC-6(9).  - NI
│ │ │ +0008a5e0: 5354 2d38 3030 2d35 332d 4155 2d31 300a  ST-800-53-AU-10.
│ │ │ +0008a5f0: 2020 2d20 4e49 5354 2d38 3030 2d35 332d    - NIST-800-53-
│ │ │ +0008a600: 4155 2d31 3228 6329 0a20 202d 204e 4953  AU-12(c).  - NIS
│ │ │ +0008a610: 542d 3830 302d 3533 2d41 552d 3134 2831  T-800-53-AU-14(1
│ │ │ +0008a620: 290a 2020 2d20 4e49 5354 2d38 3030 2d35  ).  - NIST-800-5
│ │ │ +0008a630: 332d 4155 2d32 2864 290a 2020 2d20 4e49  3-AU-2(d).  - NI
│ │ │ +0008a640: 5354 2d38 3030 2d35 332d 4155 2d33 0a20  ST-800-53-AU-3. 
│ │ │ +0008a650: 202d 204e 4953 542d 3830 302d 3533 2d43   - NIST-800-53-C
│ │ │ +0008a660: 4d2d 3628 6129 0a20 202d 204e 4953 542d  M-6(a).  - NIST-
│ │ │ +0008a670: 3830 302d 3533 2d53 492d 3428 3233 290a  800-53-SI-4(23).
│ │ │ +0008a680: 2020 2d20 5043 492d 4453 532d 5265 712d    - PCI-DSS-Req-
│ │ │ +0008a690: 3130 2e31 0a20 202d 2050 4349 2d44 5353  10.1.  - PCI-DSS
│ │ │ +0008a6a0: 7634 2d31 302e 320a 2020 2d20 5043 492d  v4-10.2.  - PCI-
│ │ │ +0008a6b0: 4453 5376 342d 3130 2e32 2e31 0a20 202d  DSSv4-10.2.1.  -
│ │ │ +0008a6c0: 2065 6e61 626c 655f 7374 7261 7465 6779   enable_strategy
│ │ │ +0008a6d0: 0a20 202d 206c 6f77 5f63 6f6d 706c 6578  .  - low_complex
│ │ │ +0008a6e0: 6974 790a 2020 2d20 6c6f 775f 6469 7372  ity.  - low_disr
│ │ │ +0008a6f0: 7570 7469 6f6e 0a20 202d 206d 6564 6975  uption.  - mediu
│ │ │ +0008a700: 6d5f 7365 7665 7269 7479 0a20 202d 206e  m_severity.  - n
│ │ │ +0008a710: 6f5f 7265 626f 6f74 5f6e 6565 6465 640a  o_reboot_needed.
│ │ │ +0008a720: 2020 2d20 7365 7276 6963 655f 6175 6469    - service_audi
│ │ │ +0008a730: 7464 5f65 6e61 626c 6564 0a3c 2f63 6f64  td_enabled.</cod
│ │ │ +0008a740: 653e 3c2f 7072 653e 3c2f 6469 763e 3c61  e></pre></div><a
│ │ │ +0008a750: 2063 6c61 7373 3d22 6274 6e20 6274 6e2d   class="btn btn-
│ │ │ +0008a760: 7375 6363 6573 7322 2064 6174 612d 746f  success" data-to
│ │ │ +0008a770: 6767 6c65 3d22 636f 6c6c 6170 7365 2220  ggle="collapse" 
│ │ │ +0008a780: 6461 7461 2d74 6172 6765 743d 2223 6964  data-target="#id
│ │ │ +0008a790: 6d32 3438 3439 2220 7461 6269 6e64 6578  m24849" tabindex
│ │ │ +0008a7a0: 3d22 3022 2072 6f6c 653d 2262 7574 746f  ="0" role="butto
│ │ │ +0008a7b0: 6e22 2061 7269 612d 6578 7061 6e64 6564  n" aria-expanded
│ │ │ +0008a7c0: 3d22 6661 6c73 6522 2074 6974 6c65 3d22  ="false" title="
│ │ │ +0008a7d0: 4163 7469 7661 7465 2074 6f20 7265 7665  Activate to reve
│ │ │ +0008a7e0: 616c 2220 6872 6566 3d22 2321 223e 5265  al" href="#!">Re
│ │ │ +0008a7f0: 6d65 6469 6174 696f 6e20 5075 7070 6574  mediation Puppet
│ │ │ +0008a800: 2073 6e69 7070 6574 20e2 87b2 3c2f 613e   snippet ...</a>
│ │ │ +0008a810: 3c62 723e 3c64 6976 2063 6c61 7373 3d22  <br><div class="
│ │ │ +0008a820: 7061 6e65 6c2d 636f 6c6c 6170 7365 2063  panel-collapse c
│ │ │ +0008a830: 6f6c 6c61 7073 6522 2069 643d 2269 646d  ollapse" id="idm
│ │ │ +0008a840: 3234 3834 3922 3e3c 7461 626c 6520 636c  24849"><table cl
│ │ │ +0008a850: 6173 733d 2274 6162 6c65 2074 6162 6c65  ass="table table
│ │ │ +0008a860: 2d73 7472 6970 6564 2074 6162 6c65 2d62  -striped table-b
│ │ │ +0008a870: 6f72 6465 7265 6420 7461 626c 652d 636f  ordered table-co
│ │ │ +0008a880: 6e64 656e 7365 6422 3e3c 7472 3e3c 7468  ndensed"><tr><th
│ │ │ +0008a890: 3e43 6f6d 706c 6578 6974 793a 3c2f 7468  >Complexity:</th
│ │ │ +0008a8a0: 3e3c 7464 3e6c 6f77 3c2f 7464 3e3c 2f74  ><td>low</td></t
│ │ │ +0008a8b0: 723e 3c74 723e 3c74 683e 4469 7372 7570  r><tr><th>Disrup
│ │ │ +0008a8c0: 7469 6f6e 3a3c 2f74 683e 3c74 643e 6c6f  tion:</th><td>lo
│ │ │ +0008a8d0: 773c 2f74 643e 3c2f 7472 3e3c 7472 3e3c  w</td></tr><tr><
│ │ │ +0008a8e0: 7468 3e52 6562 6f6f 743a 3c2f 7468 3e3c  th>Reboot:</th><
│ │ │ +0008a8f0: 7464 3e66 616c 7365 3c2f 7464 3e3c 2f74  td>false</td></t
│ │ │ +0008a900: 723e 3c74 723e 3c74 683e 5374 7261 7465  r><tr><th>Strate
│ │ │ +0008a910: 6779 3a3c 2f74 683e 3c74 643e 656e 6162  gy:</th><td>enab
│ │ │ +0008a920: 6c65 3c2f 7464 3e3c 2f74 723e 3c2f 7461  le</td></tr></ta
│ │ │ +0008a930: 626c 653e 3c70 7265 3e3c 636f 6465 3e69  ble><pre><code>i
│ │ │ +0008a940: 6e63 6c75 6465 2065 6e61 626c 655f 6175  nclude enable_au
│ │ │ +0008a950: 6469 7464 0a0a 636c 6173 7320 656e 6162  ditd..class enab
│ │ │ +0008a960: 6c65 5f61 7564 6974 6420 7b0a 2020 7365  le_auditd {.  se
│ │ │ +0008a970: 7276 6963 6520 7b27 6175 6469 7464 273a  rvice {'auditd':
│ │ │ +0008a980: 0a20 2020 2065 6e61 626c 6520 3d26 6774  .    enable =&gt
│ │ │ +0008a990: 3b20 7472 7565 2c0a 2020 2020 656e 7375  ; true,.    ensu
│ │ │ +0008a9a0: 7265 203d 2667 743b 2027 7275 6e6e 696e  re =&gt; 'runnin
│ │ │ +0008a9b0: 6727 2c0a 2020 7d0a 7d0a 3c2f 636f 6465  g',.  }.}.</code
│ │ │ +0008a9c0: 3e3c 2f70 7265 3e3c 2f64 6976 3e3c 6120  ></pre></div><a 
│ │ │ +0008a9d0: 636c 6173 733d 2262 746e 2062 746e 2d73  class="btn btn-s
│ │ │ +0008a9e0: 7563 6365 7373 2220 6461 7461 2d74 6f67  uccess" data-tog
│ │ │ +0008a9f0: 676c 653d 2263 6f6c 6c61 7073 6522 2064  gle="collapse" d
│ │ │ +0008aa00: 6174 612d 7461 7267 6574 3d22 2369 646d  ata-target="#idm
│ │ │ +0008aa10: 3234 3835 3022 2074 6162 696e 6465 783d  24850" tabindex=
│ │ │ +0008aa20: 2230 2220 726f 6c65 3d22 6275 7474 6f6e  "0" role="button
│ │ │ +0008aa30: 2220 6172 6961 2d65 7870 616e 6465 643d  " aria-expanded=
│ │ │ +0008aa40: 2266 616c 7365 2220 7469 746c 653d 2241  "false" title="A
│ │ │ +0008aa50: 6374 6976 6174 6520 746f 2072 6576 6561  ctivate to revea
│ │ │ +0008aa60: 6c22 2068 7265 663d 2223 2122 3e52 656d  l" href="#!">Rem
│ │ │ +0008aa70: 6564 6961 7469 6f6e 204f 5342 7569 6c64  ediation OSBuild
│ │ │ +0008aa80: 2042 6c75 6570 7269 6e74 2073 6e69 7070   Blueprint snipp
│ │ │ +0008aa90: 6574 20e2 87b2 3c2f 613e 3c62 723e 3c64  et ...</a><br><d
│ │ │ +0008aaa0: 6976 2063 6c61 7373 3d22 7061 6e65 6c2d  iv class="panel-
│ │ │ +0008aab0: 636f 6c6c 6170 7365 2063 6f6c 6c61 7073  collapse collaps
│ │ │ +0008aac0: 6522 2069 643d 2269 646d 3234 3835 3022  e" id="idm24850"
│ │ │ +0008aad0: 3e3c 7072 653e 3c63 6f64 653e 0a5b 6375  ><pre><code>.[cu
│ │ │ +0008aae0: 7374 6f6d 697a 6174 696f 6e73 2e73 6572  stomizations.ser
│ │ │ +0008aaf0: 7669 6365 735d 0a65 6e61 626c 6564 203d  vices].enabled =
│ │ │ +0008ab00: 205b 2261 7564 6974 6422 5d0a 3c2f 636f   ["auditd"].</co
│ │ │  0008ab10: 6465 3e3c 2f70 7265 3e3c 2f64 6976 3e3c  de></pre></div><
│ │ │  0008ab20: 2f64 6976 3e3c 2f74 643e 3c2f 7472 3e3c  /div></td></tr><
│ │ │  0008ab30: 2f74 626f 6479 3e3c 2f74 6162 6c65 3e3c  /tbody></table><
│ │ │  0008ab40: 2f74 643e 3c2f 7472 3e3c 2f74 626f 6479  /td></tr></tbody
│ │ │  0008ab50: 3e3c 2f74 6162 6c65 3e3c 2f64 6976 3e3c  ></table></div><
│ │ │  0008ab60: 6469 7620 6964 3d22 7265 6172 2d6d 6174  div id="rear-mat
│ │ │  0008ab70: 7465 7222 3e3c 6469 7620 636c 6173 733d  ter"><div class=
│ │ │ ├── html2text {}
│ │ │ │ @@ -1631,31 +1631,14 @@
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000479-GPOS-00224, SRG-OS-000051-GPOS-00024,
│ │ │ │                             SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1678,14 +1661,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsyslog_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -1716,31 +1716,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9, SR 6.1,
│ │ │ │                             SR 6.2, SR 7.1, SR 7.2
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.3, A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4,
│ │ │ │                             A.12.7.1, A.14.2.7, A.15.2.1, A.15.2.2, A.17.2.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-4(1)
│ │ │ │              _n_i_s_t_-_c_s_f       DE.CM-1, DE.CM-3, DE.CM-7, ID.SC-4, PR.DS-4, PR.PT-1
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -1776,14 +1759,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]
│ │ │ │  Group   File Permissions and Masks   Group contains 5 groups and 17 rules
│ │ │ │  _[_r_e_f_]   Traditional Unix security relies heavily on file and directory
│ │ │ │  permissions to prevent unauthorized users from reading or modifying files to
│ │ │ │  which they should not have access.
│ │ │ │  
│ │ │ │  Several of the commands in this section search filesystems for files or
│ │ │ │  directories with certain characteristics, and are intended to be run on every
│ │ │ │ @@ -3561,31 +3561,14 @@
│ │ │ │                             SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3,
│ │ │ │                             A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │              _o_s_-_s_r_g         SRG-OS-000480-GPOS-00227
│ │ │ │              _p_c_i_d_s_s_4        2.2.6, 2.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "cron"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_cron
│ │ │ │ -
│ │ │ │ -class install_cron {
│ │ │ │ -  package { 'cron':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -3612,14 +3595,31 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_cron_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_cron
│ │ │ │ +
│ │ │ │ +class install_cron {
│ │ │ │ +  package { 'cron':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "cron"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -3655,31 +3655,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 1.3, SR 1.4, SR 1.5, SR 1.6, SR 1.7, SR 1.8, SR
│ │ │ │                             1.9, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR 2.5, SR 2.6,
│ │ │ │                             SR 2.7, SR 7.6
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.1.2, A.12.5.1, A.12.6.2, A.14.2.2, A.14.2.3,
│ │ │ │                             A.14.2.4, A.9.1.2
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.IP-1, PR.PT-3
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["cron"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_cron
│ │ │ │ -
│ │ │ │ -class enable_cron {
│ │ │ │ -  service {'cron':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -3713,14 +3696,31 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_cron_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_cron
│ │ │ │ +
│ │ │ │ +class enable_cron {
│ │ │ │ +  service {'cron':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["cron"]
│ │ │ │  Group   Deprecated services   Group contains 5 rules
│ │ │ │  _[_r_e_f_]   Some deprecated software services impact the overall system security
│ │ │ │  due to their behavior (leak of confidentiality in network exchange, usage as
│ │ │ │  uncontrolled communication channel, risk associated with the service due to its
│ │ │ │  old age, etc.
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee iinneett--bbaasseedd tteellnneett sseerrvveerr ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The inet-based telnet daemon should be uninstalled.
│ │ │ │ @@ -3744,26 +3744,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_inetutils-telnetd
│ │ │ │ -
│ │ │ │ -class remove_inetutils-telnetd {
│ │ │ │ -  package { 'inetutils-telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure inetutils-telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -3775,14 +3763,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_inetutils-telnetd_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_inetutils-telnetd
│ │ │ │ +
│ │ │ │ +class remove_inetutils-telnetd {
│ │ │ │ +  package { 'inetutils-telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove inetutils-telnetd
│ │ │ │ @@ -3795,26 +3795,14 @@
│ │ │ │  ****** RRuullee? ?  UUnniinnssttaallll tthhee nniiss ppaacckkaaggee ? ? _[[_rr_ee_ff_]] ******
│ │ │ │  The support for Yellowpages should not be installed unless it is required.
│ │ │ │             NIS is the historical SUN service for central account management,
│ │ │ │  Rationale: more and more replaced by LDAP. NIS does not support efficiently
│ │ │ │             security constraints, ACL, etc. and should not be used.
│ │ │ │  Severity:  low
│ │ │ │  Rule ID:   xccdf_org.ssgproject.content_rule_package_nis_removed
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_nis
│ │ │ │ -
│ │ │ │ -class remove_nis {
│ │ │ │ -  package { 'nis':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure nis is removed
│ │ │ │    package:
│ │ │ │ @@ -3823,14 +3811,26 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_nis_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_nis
│ │ │ │ +
│ │ │ │ +class remove_nis {
│ │ │ │ +  package { 'nis':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove nis
│ │ │ │ @@ -3844,26 +3844,14 @@
│ │ │ │  ntpdate is a historical ntp synchronization client for unixes. It sould be
│ │ │ │  uninstalled.
│ │ │ │             ntpdate is an old not security-compliant ntp client. It should be
│ │ │ │  Rationale: replaced by modern ntp clients such as ntpd, able to use
│ │ │ │             cryptographic mechanisms integrated in NTP.
│ │ │ │  Severity:  low
│ │ │ │  Rule ID:   xccdf_org.ssgproject.content_rule_package_ntpdate_removed
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_ntpdate
│ │ │ │ -
│ │ │ │ -class remove_ntpdate {
│ │ │ │ -  package { 'ntpdate':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure ntpdate is removed
│ │ │ │    package:
│ │ │ │ @@ -3872,14 +3860,26 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ntpdate_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_ntpdate
│ │ │ │ +
│ │ │ │ +class remove_ntpdate {
│ │ │ │ +  package { 'ntpdate':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove ntpdate
│ │ │ │ @@ -3910,26 +3910,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd-ssl
│ │ │ │ -
│ │ │ │ -class remove_telnetd-ssl {
│ │ │ │ -  package { 'telnetd-ssl':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd-ssl is removed
│ │ │ │    package:
│ │ │ │ @@ -3941,14 +3929,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd-ssl_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd-ssl
│ │ │ │ +
│ │ │ │ +class remove_telnetd-ssl {
│ │ │ │ +  package { 'telnetd-ssl':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnetd-ssl
│ │ │ │ @@ -3980,26 +3980,14 @@
│ │ │ │                             SR 2.7, SR 3.1, SR 3.5, SR 3.8, SR 4.1, SR 4.3, SR
│ │ │ │                             5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
│ │ │ │                             A.11.2.6, A.12.1.2, A.12.5.1, A.12.6.2, A.13.1.1,
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.13.2.1, A.14.1.3, A.14.2.2, A.14.2.3, A.14.2.4,
│ │ │ │                             A.6.2.1, A.6.2.2, A.9.1.2
│ │ │ │              _n_i_s_t           CM-7(a), CM-7(b), CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.AC-3, PR.IP-1, PR.PT-3, PR.PT-4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   disable
│ │ │ │ -include remove_telnetd
│ │ │ │ -
│ │ │ │ -class remove_telnetd {
│ │ │ │ -  package { 'telnetd':
│ │ │ │ -    ensure => 'purged',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  - name: Ensure telnetd is removed
│ │ │ │    package:
│ │ │ │ @@ -4011,14 +3999,26 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd_removed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   disable
│ │ │ │ +include remove_telnetd
│ │ │ │ +
│ │ │ │ +class remove_telnetd {
│ │ │ │ +  package { 'telnetd':
│ │ │ │ +    ensure => 'purged',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   disable
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove telnetd
│ │ │ │ @@ -4093,31 +4093,14 @@
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_0_9 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7, 4.4.2.1, 4.4.2.2,
│ │ │ │  References:                4.4.2.4
│ │ │ │              _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "ntp"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_ntp
│ │ │ │ -
│ │ │ │ -class install_ntp {
│ │ │ │ -  package { 'ntp':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4142,14 +4125,31 @@
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ntp_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_ntp
│ │ │ │ +
│ │ │ │ +class install_ntp {
│ │ │ │ +  package { 'ntp':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "ntp"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -4183,31 +4183,14 @@
│ │ │ │                             4.4.2.4
│ │ │ │  References: _i_s_a_-_6_2_4_4_3_-_2_0_1_3 SR 2.10, SR 2.11, SR 2.12, SR 2.8, SR 2.9
│ │ │ │              _i_s_o_2_7_0_0_1_-_2_0_1_3  A.12.4.1, A.12.4.2, A.12.4.3, A.12.4.4, A.12.7.1
│ │ │ │              _n_i_s_t           CM-6(a), AU-8(1)(a)
│ │ │ │              _n_i_s_t_-_c_s_f       PR.PT-1
│ │ │ │              _p_c_i_d_s_s         Req-10.4
│ │ │ │              _p_c_i_d_s_s_4        10.6.1, 10.6
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["ntp"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_ntp
│ │ │ │ -
│ │ │ │ -class enable_ntp {
│ │ │ │ -  service {'ntp':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -4251,14 +4234,31 @@
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ntp_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_ntp
│ │ │ │ +
│ │ │ │ +class enable_ntp {
│ │ │ │ +  service {'ntp':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["ntp"]
│ │ │ │  Group   SSH Server   Group contains 1 group and 5 rules
│ │ │ │  _[_r_e_f_]   The SSH protocol is recommended for remote login and remote file
│ │ │ │  transfer. SSH provides confidentiality and integrity for data exchanged between
│ │ │ │  two systems, as well as server authentication, through the use of public key
│ │ │ │  cryptography. The implementation included with the system is called OpenSSH,
│ │ │ │  and more detailed documentation is available from its website, _h_t_t_p_s_:_/_/
│ │ │ │  _w_w_w_._o_p_e_n_s_s_h_._c_o_m. Its server program is called sshd and provided by the RPM
│ │ │ │ @@ -5158,31 +5158,14 @@
│ │ │ │                       000349-GPOS-00137, SRG-OS-000350-GPOS-00138, SRG-OS-
│ │ │ │                       000351-GPOS-00139, SRG-OS-000352-GPOS-00140, SRG-OS-
│ │ │ │                       000353-GPOS-00141, SRG-OS-000354-GPOS-00142, SRG-OS-
│ │ │ │                       000358-GPOS-00145, SRG-OS-000365-GPOS-00152, SRG-OS-
│ │ │ │                       000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │              _a_n_s_s_i    R33, R73
│ │ │ │              _p_c_i_d_s_s_4  10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[[packages]]
│ │ │ │ -name = "auditd"
│ │ │ │ -version = "*"
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include install_auditd
│ │ │ │ -
│ │ │ │ -class install_auditd {
│ │ │ │ -  package { 'auditd':
│ │ │ │ -    ensure => 'installed',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -5223,14 +5206,31 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_audit_installed
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include install_auditd
│ │ │ │ +
│ │ │ │ +class install_auditd {
│ │ │ │ +  package { 'auditd':
│ │ │ │ +    ensure => 'installed',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[[packages]]
│ │ │ │ +name = "auditd"
│ │ │ │ +version = "*"
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _S_h_e_l_l_ _s_c_r_i_p_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  # Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │ @@ -5306,31 +5306,14 @@
│ │ │ │                             SRG-OS-000358-GPOS-00145, SRG-OS-000365-GPOS-00152,
│ │ │ │                             SRG-OS-000392-GPOS-00172, SRG-OS-000475-GPOS-00220
│ │ │ │                             SRG-APP-000095-CTR-000170, SRG-APP-000409-CTR-
│ │ │ │              _a_p_p_-_s_r_g_-_c_t_r    000990, SRG-APP-000508-CTR-001300, SRG-APP-000510-
│ │ │ │                             CTR-001310
│ │ │ │              _a_n_s_s_i          R33, R73
│ │ │ │              _p_c_i_d_s_s_4        10.2.1, 10.2
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -
│ │ │ │ -[customizations.services]
│ │ │ │ -enabled = ["auditd"]
│ │ │ │ -_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ -CCoommpplleexxiittyy:: low
│ │ │ │ -DDiissrruuppttiioonn:: low
│ │ │ │ -RReebboooott::     false
│ │ │ │ -SSttrraatteeggyy::   enable
│ │ │ │ -include enable_auditd
│ │ │ │ -
│ │ │ │ -class enable_auditd {
│ │ │ │ -  service {'auditd':
│ │ │ │ -    enable => true,
│ │ │ │ -    ensure => 'running',
│ │ │ │ -  }
│ │ │ │ -}
│ │ │ │  _R_e_m_e_d_i_a_t_i_o_n_ _A_n_s_i_b_l_e_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │  CCoommpplleexxiittyy:: low
│ │ │ │  DDiissrruuppttiioonn:: low
│ │ │ │  RReebboooott::     false
│ │ │ │  SSttrraatteeggyy::   enable
│ │ │ │  - name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │ @@ -5396,11 +5379,28 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_auditd_enabled
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _P_u_p_p_e_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +CCoommpplleexxiittyy:: low
│ │ │ │ +DDiissrruuppttiioonn:: low
│ │ │ │ +RReebboooott::     false
│ │ │ │ +SSttrraatteeggyy::   enable
│ │ │ │ +include enable_auditd
│ │ │ │ +
│ │ │ │ +class enable_auditd {
│ │ │ │ +  service {'auditd':
│ │ │ │ +    enable => true,
│ │ │ │ +    ensure => 'running',
│ │ │ │ +  }
│ │ │ │ +}
│ │ │ │ +_R_e_m_e_d_i_a_t_i_o_n_ _O_S_B_u_i_l_d_ _B_l_u_e_p_r_i_n_t_ _s_n_i_p_p_e_t_ _⇲
│ │ │ │ +
│ │ │ │ +[customizations.services]
│ │ │ │ +enabled = ["auditd"]
│ │ │ │  Red Hat and Red Hat Enterprise Linux are either registered trademarks or
│ │ │ │  trademarks of Red Hat, Inc. in the United States and other countries. All other
│ │ │ │  names are registered trademarks or trademarks of their respective companies.
│ │ │ │  Generated using _O_p_e_n_S_C_A_P 1.4.1
│ │ ├── ./usr/share/xml/scap/ssg/content/ssg-debian11-ds.xml
│ │ │ ├── ./usr/share/xml/scap/ssg/content/ssg-debian11-ds.xml
│ │ │ │┄ Ordering differences only
│ │ │ │ @@ -105,179 +105,179 @@
│ │ │ │        <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">os-srg</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://www.niap-ccevs.org/Profile/PP.cfm">ospp</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">pcidss</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">pcidss4</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cunix-linux">stigid</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://public.cyber.mil/stigs/srg-stig-tools/">stigref</xccdf-1.2:reference>
│ │ │ │        <cpe-lang:platform-specification>
│ │ │ │ -        <cpe-lang:platform id="package_sudo">
│ │ │ │ +        <cpe-lang:platform id="machine">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_sudo:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_machine:def:1"/>
│ │ │ │ +          </cpe-lang:logical-test>
│ │ │ │ +        </cpe-lang:platform>
│ │ │ │ +        <cpe-lang:platform id="x86_64_arch">
│ │ │ │ +          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_x86_64:def:1"/>
│ │ │ │ +          </cpe-lang:logical-test>
│ │ │ │ +        </cpe-lang:platform>
│ │ │ │ +        <cpe-lang:platform id="package_pam">
│ │ │ │ +          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_pam:def:1"/>
│ │ │ │ +          </cpe-lang:logical-test>
│ │ │ │ +        </cpe-lang:platform>
│ │ │ │ +        <cpe-lang:platform id="system_with_kernel">
│ │ │ │ +          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │          <cpe-lang:platform id="not_bootc_and_not_container">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │              <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │                <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-bootc:def:1"/>
│ │ │ │              </cpe-lang:logical-test>
│ │ │ │              <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │                <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_container:def:1"/>
│ │ │ │              </cpe-lang:logical-test>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_ufw_and_system_with_kernel">
│ │ │ │ +        <cpe-lang:platform id="aarch64_arch_or_x86_64_arch">
│ │ │ │ +          <cpe-lang:logical-test operator="OR" negate="false">
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_x86_64:def:1"/>
│ │ │ │ +          </cpe-lang:logical-test>
│ │ │ │ +        </cpe-lang:platform>
│ │ │ │ +        <cpe-lang:platform id="aarch64_arch">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="not_package_nftables_and_not_package_ufw">
│ │ │ │ +        <cpe-lang:platform id="package_snmpd_and_system_with_kernel">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │ -            </cpe-lang:logical-test>
│ │ │ │ -            <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ -            </cpe-lang:logical-test>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_snmpd:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_iptables">
│ │ │ │ +        <cpe-lang:platform id="package_shadow-utils">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_shadow-utils:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │          <cpe-lang:platform id="not_package_nftables_and_not_package_ufw_and_package_iptables">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │              <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │                <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │              </cpe-lang:logical-test>
│ │ │ │              <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │                <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │              </cpe-lang:logical-test>
│ │ │ │              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_iptables_and_service_disabled_firewalld_and_system_with_kernel">
│ │ │ │ -          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-service_disabled_firewalld:def:1"/>
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ -          </cpe-lang:logical-test>
│ │ │ │ -        </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_logrotate">
│ │ │ │ +        <cpe-lang:platform id="package_ntp">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_logrotate:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ntp:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_rsyslog">
│ │ │ │ +        <cpe-lang:platform id="not_package_nftables_and_not_package_ufw">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_rsyslog:def:1"/>
│ │ │ │ +            <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ +              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │ +            </cpe-lang:logical-test>
│ │ │ │ +            <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ +              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ +            </cpe-lang:logical-test>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="aarch64_arch_or_x86_64_arch">
│ │ │ │ -          <cpe-lang:logical-test operator="OR" negate="false">
│ │ │ │ +        <cpe-lang:platform id="not_aarch64_arch">
│ │ │ │ +          <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_x86_64:def:1"/>
│ │ │ │ -          </cpe-lang:logical-test>
│ │ │ │ -        </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="x86_64_arch">
│ │ │ │ -          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_x86_64:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │          <cpe-lang:platform id="grub2_and_system_with_kernel">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-installed_env_has_grub2_package:def:1"/>
│ │ │ │              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_shadow-utils">
│ │ │ │ -          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_shadow-utils:def:1"/>
│ │ │ │ -          </cpe-lang:logical-test>
│ │ │ │ -        </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_pam">
│ │ │ │ +        <cpe-lang:platform id="package_iptables_and_service_disabled_firewalld_and_system_with_kernel">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_pam:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-service_disabled_firewalld:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_gdm">
│ │ │ │ +        <cpe-lang:platform id="package_systemd">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_gdm:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_systemd:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_net-snmp">
│ │ │ │ +        <cpe-lang:platform id="package_audit">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_net-snmp:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_audit:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_snmpd_and_system_with_kernel">
│ │ │ │ +        <cpe-lang:platform id="package_iptables">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_snmpd:def:1"/>
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │          <cpe-lang:platform id="package_rsh-server">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_rsh-server:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_systemd">
│ │ │ │ -          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_systemd:def:1"/>
│ │ │ │ -          </cpe-lang:logical-test>
│ │ │ │ -        </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_ntp">
│ │ │ │ -          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ntp:def:1"/>
│ │ │ │ -          </cpe-lang:logical-test>
│ │ │ │ -        </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_chrony">
│ │ │ │ -          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_chrony:def:1"/>
│ │ │ │ -          </cpe-lang:logical-test>
│ │ │ │ -        </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_postfix">
│ │ │ │ +        <cpe-lang:platform id="package_gdm">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_postfix:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_gdm:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="machine">
│ │ │ │ +        <cpe-lang:platform id="package_ufw_and_system_with_kernel">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_machine:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="aarch64_arch">
│ │ │ │ +        <cpe-lang:platform id="package_net-snmp">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_net-snmp:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │          <cpe-lang:platform id="not_aarch64_arch_and_not_s390x_arch">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │              <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │                <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │              </cpe-lang:logical-test>
│ │ │ │              <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │                <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_s390x:def:1"/>
│ │ │ │              </cpe-lang:logical-test>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="not_aarch64_arch">
│ │ │ │ -          <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ +        <cpe-lang:platform id="package_sudo">
│ │ │ │ +          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_sudo:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_audit">
│ │ │ │ +        <cpe-lang:platform id="package_postfix">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_audit:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_postfix:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="system_with_kernel">
│ │ │ │ +        <cpe-lang:platform id="package_rsyslog">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_rsyslog:def:1"/>
│ │ │ │ +          </cpe-lang:logical-test>
│ │ │ │ +        </cpe-lang:platform>
│ │ │ │ +        <cpe-lang:platform id="package_chrony">
│ │ │ │ +          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_chrony:def:1"/>
│ │ │ │ +          </cpe-lang:logical-test>
│ │ │ │ +        </cpe-lang:platform>
│ │ │ │ +        <cpe-lang:platform id="package_logrotate">
│ │ │ │ +          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_logrotate:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │        </cpe-lang:platform-specification>
│ │ │ │        <xccdf-1.2:platform idref="cpe:/o:debian:debian_linux:11"/>
│ │ │ │        <xccdf-1.2:version update="https://github.com/ComplianceAsCode/content/releases/latest">0.1.76</xccdf-1.2:version>
│ │ │ │        <xccdf-1.2:metadata>
│ │ │ │          <dc:publisher>SCAP Security Guide Project</dc:publisher>
│ │ │ │ @@ -1340,24 +1340,14 @@
│ │ │ │                    <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.IP-3</xccdf-1.2:reference>
│ │ │ │                    <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-11.5</xccdf-1.2:reference>
│ │ │ │                    <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000445-GPOS-00199</xccdf-1.2:reference>
│ │ │ │                    <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R76</xccdf-1.2:reference>
│ │ │ │                    <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R79</xccdf-1.2:reference>
│ │ │ │                    <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">11.5.2</xccdf-1.2:reference>
│ │ │ │                    <xccdf-1.2:rationale>The AIDE package must be installed if it is to be available for integrity checking.</xccdf-1.2:rationale>
│ │ │ │ -                  <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_aide_installed">[[packages]]
│ │ │ │ -name = "aide"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -                  <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_aide_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_aide
│ │ │ │ -
│ │ │ │ -class install_aide {
│ │ │ │ -  package { 'aide':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                    <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_aide_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - CJIS-5.10.1.3
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-11.5
│ │ │ │ @@ -1381,14 +1371,24 @@
│ │ │ │    - PCI-DSSv4-11.5.2
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_aide_installed</xccdf-1.2:fix>
│ │ │ │ +                  <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_aide_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_aide
│ │ │ │ +
│ │ │ │ +class install_aide {
│ │ │ │ +  package { 'aide':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +                  <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_aide_installed">[[packages]]
│ │ │ │ +name = "aide"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │                    <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_aide_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "aide"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -3428,35 +3428,35 @@
│ │ │ │                <xccdf-1.2:rationale>GnuTLS is a secure communications library implementing the SSL, TLS and DTLS
│ │ │ │  protocols and technologies around them. It provides a simple C language
│ │ │ │  application programming interface (API) to access the secure communications
│ │ │ │  protocols as well as APIs to parse and write X.509, PKCS #12, OpenPGP and
│ │ │ │  other required structures.
│ │ │ │  This package contains command line TLS client and server and certificate
│ │ │ │  manipulation tools.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_gnutls-utils_installed">[[packages]]
│ │ │ │ -name = "gnutls-utils"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_gnutls-utils
│ │ │ │ -
│ │ │ │ -class install_gnutls-utils {
│ │ │ │ -  package { 'gnutls-utils':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Ensure gnutls-utils is installed
│ │ │ │    package:
│ │ │ │      name: gnutls-utils
│ │ │ │      state: present
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_gnutls-utils_installed</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_gnutls-utils
│ │ │ │ +
│ │ │ │ +class install_gnutls-utils {
│ │ │ │ +  package { 'gnutls-utils':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_gnutls-utils_installed">[[packages]]
│ │ │ │ +name = "gnutls-utils"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">DEBIAN_FRONTEND=noninteractive apt-get install -y "gnutls-utils"</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_gnutls-utils_installed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_gnutls-utils_installed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │ @@ -3477,35 +3477,35 @@
│ │ │ │  support cross-platform development of security-enabled client and
│ │ │ │  server applications. Install the
│ │ │ │                  <html:code>nss-tools</html:code>
│ │ │ │                  package
│ │ │ │  to install command-line tools to manipulate the NSS certificate
│ │ │ │  and key database.
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_nss-tools_installed">[[packages]]
│ │ │ │ -name = "nss-tools"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_nss-tools
│ │ │ │ -
│ │ │ │ -class install_nss-tools {
│ │ │ │ -  package { 'nss-tools':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Ensure nss-tools is installed
│ │ │ │    package:
│ │ │ │      name: nss-tools
│ │ │ │      state: present
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_nss-tools_installed</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_nss-tools
│ │ │ │ +
│ │ │ │ +class install_nss-tools {
│ │ │ │ +  package { 'nss-tools':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_nss-tools_installed">[[packages]]
│ │ │ │ +name = "nss-tools"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">DEBIAN_FRONTEND=noninteractive apt-get install -y "nss-tools"</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_nss-tools_installed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_nss-tools_installed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │ @@ -9350,24 +9350,14 @@
│ │ │ │              <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000479-GPOS-00224</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000051-GPOS-00024</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>The rsyslog package provides the rsyslog daemon, which provides
│ │ │ │  system logging services.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_rsyslog_installed">[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsyslog_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_rsyslog_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -9385,14 +9375,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsyslog_installed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsyslog_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_rsyslog_installed">[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_rsyslog_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "rsyslog"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -9489,24 +9489,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>
│ │ │ │                The
│ │ │ │                <html:code>rsyslog</html:code>
│ │ │ │                service must be running in order to provide
│ │ │ │  logging services, which are essential to system administration.
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_rsyslog_enabled">[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_rsyslog_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_rsyslog_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AU-4(1)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │ @@ -9537,14 +9527,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_rsyslog_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_rsyslog_enabled">[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_rsyslog_enabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_rsyslog_enabled_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -11155,24 +11155,14 @@
│ │ │ │                  service can be enabled with the following command:
│ │ │ │                  <html:pre>$ sudo systemctl enable systemd-journald.service</html:pre>
│ │ │ │                </xccdf-1.2:description>
│ │ │ │                <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-001665</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">SC-24</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000269-GPOS-00103</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>In the event of a system failure, Debian 11 must preserve any information necessary to determine cause of failure and any information necessary to return to operations with least disruption to system processes.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_systemd-journald_enabled">[customizations.services]
│ │ │ │ -enabled = ["systemd-journald"]</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_systemd-journald_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_systemd-journald
│ │ │ │ -
│ │ │ │ -class enable_systemd-journald {
│ │ │ │ -  service {'systemd-journald':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_systemd-journald_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-SC-24
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -11201,14 +11191,24 @@
│ │ │ │    - NIST-800-53-SC-24
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_systemd-journald_enabled</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_systemd-journald_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_systemd-journald
│ │ │ │ +
│ │ │ │ +class enable_systemd-journald {
│ │ │ │ +  service {'systemd-journald':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_systemd-journald_enabled">[customizations.services]
│ │ │ │ +enabled = ["systemd-journald"]</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_systemd-journald_enabled:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_systemd-journald_enabled_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -11295,24 +11295,14 @@
│ │ │ │                <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-10.7</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R71</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.5.1</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.5</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>The logrotate package provides the logrotate services.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_logrotate_installed">[[packages]]
│ │ │ │ -name = "logrotate"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_logrotate_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_logrotate
│ │ │ │ -
│ │ │ │ -class install_logrotate {
│ │ │ │ -  package { 'logrotate':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_logrotate_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-10.7
│ │ │ │    - PCI-DSSv4-10.5
│ │ │ │ @@ -11336,14 +11326,24 @@
│ │ │ │    - PCI-DSSv4-10.5.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_logrotate_installed</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_logrotate_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_logrotate
│ │ │ │ +
│ │ │ │ +class install_logrotate {
│ │ │ │ +  package { 'logrotate':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_logrotate_installed">[[packages]]
│ │ │ │ +name = "logrotate"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_logrotate_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "logrotate"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -11577,24 +11577,14 @@
│ │ │ │                <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.3</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.4</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.7.1</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>The syslog-ng-core package provides the syslog-ng daemon, which provides
│ │ │ │  system logging services.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_syslogng_installed">[[packages]]
│ │ │ │ -name = "syslog-ng"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_syslogng_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_syslog-ng
│ │ │ │ -
│ │ │ │ -class install_syslog-ng {
│ │ │ │ -  package { 'syslog-ng':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_syslogng_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -11612,14 +11602,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_syslogng_installed</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_syslogng_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_syslog-ng
│ │ │ │ +
│ │ │ │ +class install_syslog-ng {
│ │ │ │ +  package { 'syslog-ng':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_syslogng_installed">[[packages]]
│ │ │ │ +name = "syslog-ng"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_syslogng_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "syslog-ng"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -11717,24 +11717,14 @@
│ │ │ │                <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>
│ │ │ │                  The
│ │ │ │                  <html:code>syslog-ng</html:code>
│ │ │ │                  service must be running in order to provide
│ │ │ │  logging services, which are essential to system administration.
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_syslogng_enabled">[customizations.services]
│ │ │ │ -enabled = ["syslog-ng"]</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_syslogng_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_syslog-ng
│ │ │ │ -
│ │ │ │ -class enable_syslog-ng {
│ │ │ │ -  service {'syslog-ng':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_syslogng_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AU-4(1)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │ @@ -11765,14 +11755,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_syslogng_enabled</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_syslogng_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_syslog-ng
│ │ │ │ +
│ │ │ │ +class enable_syslog-ng {
│ │ │ │ +  service {'syslog-ng':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_syslogng_enabled">[customizations.services]
│ │ │ │ +enabled = ["syslog-ng"]</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_syslogng_enabled:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_syslogng_enabled_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -12289,24 +12289,14 @@
│ │ │ │                  <xccdf-1.2:rationale>
│ │ │ │                    The
│ │ │ │                    <html:code>ip6tables</html:code>
│ │ │ │                    service provides the system's host-based firewalling
│ │ │ │  capability for IPv6 and ICMPv6.
│ │ │ │                  </xccdf-1.2:rationale>
│ │ │ │                  <xccdf-1.2:platform idref="#system_with_kernel"/>
│ │ │ │ -                <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ip6tables_enabled">[customizations.services]
│ │ │ │ -enabled = ["ip6tables"]</xccdf-1.2:fix>
│ │ │ │ -                <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ip6tables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ip6tables
│ │ │ │ -
│ │ │ │ -class enable_ip6tables {
│ │ │ │ -  service {'ip6tables':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                  <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_ip6tables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AC-4
│ │ │ │    - NIST-800-53-CA-3(5)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │ @@ -12343,14 +12333,24 @@
│ │ │ │    - NIST-800-53-SC-7(21)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ip6tables_enabled</xccdf-1.2:fix>
│ │ │ │ +                <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ip6tables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ip6tables
│ │ │ │ +
│ │ │ │ +class enable_ip6tables {
│ │ │ │ +  service {'ip6tables':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +                <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ip6tables_enabled">[customizations.services]
│ │ │ │ +enabled = ["ip6tables"]</xccdf-1.2:fix>
│ │ │ │                  <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                    <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_ip6tables_enabled:def:1"/>
│ │ │ │                  </xccdf-1.2:check>
│ │ │ │                  <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                    <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_ip6tables_enabled_ocil:questionnaire:1"/>
│ │ │ │                  </xccdf-1.2:check>
│ │ │ │                </xccdf-1.2:Rule>
│ │ │ │ @@ -12495,24 +12495,14 @@
│ │ │ │                  <xccdf-1.2:rationale>
│ │ │ │                    The
│ │ │ │                    <html:code>iptables</html:code>
│ │ │ │                    service provides the system's host-based firewalling
│ │ │ │  capability for IPv4 and ICMP.
│ │ │ │                  </xccdf-1.2:rationale>
│ │ │ │                  <xccdf-1.2:platform idref="#package_iptables_and_service_disabled_firewalld_and_system_with_kernel"/>
│ │ │ │ -                <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_iptables_enabled">[customizations.services]
│ │ │ │ -enabled = ["iptables"]</xccdf-1.2:fix>
│ │ │ │ -                <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_iptables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_iptables
│ │ │ │ -
│ │ │ │ -class enable_iptables {
│ │ │ │ -  service {'iptables':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                  <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_iptables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AC-4
│ │ │ │    - NIST-800-53-CA-3(5)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │ @@ -12550,14 +12540,24 @@
│ │ │ │    - NIST-800-53-SC-7(21)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_iptables_enabled</xccdf-1.2:fix>
│ │ │ │ +                <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_iptables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_iptables
│ │ │ │ +
│ │ │ │ +class enable_iptables {
│ │ │ │ +  service {'iptables':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +                <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_iptables_enabled">[customizations.services]
│ │ │ │ +enabled = ["iptables"]</xccdf-1.2:fix>
│ │ │ │                  <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                    <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_iptables_enabled:def:1"/>
│ │ │ │                  </xccdf-1.2:check>
│ │ │ │                  <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                    <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_iptables_enabled_ocil:questionnaire:1"/>
│ │ │ │                  </xccdf-1.2:check>
│ │ │ │                </xccdf-1.2:Rule>
│ │ │ │ @@ -14694,24 +14694,14 @@
│ │ │ │                  service can be enabled with the following command:
│ │ │ │                  <html:pre>$ sudo systemctl enable ufw.service</html:pre>
│ │ │ │                </xccdf-1.2:description>
│ │ │ │                <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-002314</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000297-GPOS-00115</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>The ufw service must be enabled and running in order for ufw to protect the system</xccdf-1.2:rationale>
│ │ │ │                <xccdf-1.2:platform idref="#package_ufw_and_system_with_kernel"/>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ufw_enabled">[customizations.services]
│ │ │ │ -enabled = ["ufw"]</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ufw_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ufw
│ │ │ │ -
│ │ │ │ -class enable_ufw {
│ │ │ │ -  service {'ufw':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_ufw_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -14740,14 +14730,24 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ufw_enabled</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ufw_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ufw
│ │ │ │ +
│ │ │ │ +class enable_ufw {
│ │ │ │ +  service {'ufw':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ufw_enabled">[customizations.services]
│ │ │ │ +enabled = ["ufw"]</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_ufw_enabled:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_ufw_enabled_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -21808,24 +21808,14 @@
│ │ │ │              <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.IP-1</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-3</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.6</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>The cron service allow periodic job execution, needed for almost all administrative tasks and services (software update, log rotating, etc.). Access to cron service should be restricted to administrative accounts only.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_cron_installed">[[packages]]
│ │ │ │ -name = "cron"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_cron_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_cron
│ │ │ │ -
│ │ │ │ -class install_cron {
│ │ │ │ -  package { 'cron':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_cron_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │ @@ -21847,14 +21837,24 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_cron_installed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_cron_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_cron
│ │ │ │ +
│ │ │ │ +class install_cron {
│ │ │ │ +  package { 'cron':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_cron_installed">[[packages]]
│ │ │ │ +name = "cron"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_cron_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "cron"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -21950,24 +21950,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.14.2.4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.9.1.2</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.IP-1</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-3</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>Due to its usage for maintenance and security-supporting tasks,
│ │ │ │  enabling the cron daemon is essential.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_cron_enabled">[customizations.services]
│ │ │ │ -enabled = ["cron"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_cron_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_cron
│ │ │ │ -
│ │ │ │ -class enable_cron {
│ │ │ │ -  service {'cron':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_cron_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -21996,14 +21986,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_cron_enabled</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_cron_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_cron
│ │ │ │ +
│ │ │ │ +class enable_cron {
│ │ │ │ +  service {'cron':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_cron_enabled">[customizations.services]
│ │ │ │ +enabled = ["cron"]</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_cron_enabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_cron_enabled_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -22107,35 +22107,35 @@
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>
│ │ │ │                <html:code>telnet</html:code>
│ │ │ │                allows clear text communications, and does not protect any
│ │ │ │  data transmission between client and server. Any confidential data can be
│ │ │ │  listened and no integrity checking is made.
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_inetutils-telnetd
│ │ │ │ -
│ │ │ │ -class remove_inetutils-telnetd {
│ │ │ │ -  package { 'inetutils-telnetd':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure inetutils-telnetd is removed
│ │ │ │    package:
│ │ │ │      name: inetutils-telnetd
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_inetutils-telnetd_removed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_inetutils-telnetd
│ │ │ │ +
│ │ │ │ +class remove_inetutils-telnetd {
│ │ │ │ +  package { 'inetutils-telnetd':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove inetutils-telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on inetutils-telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "inetutils-telnetd"</xccdf-1.2:fix>
│ │ │ │ @@ -22144,32 +22144,32 @@
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │            <xccdf-1.2:Rule selected="false" id="xccdf_org.ssgproject.content_rule_package_nis_removed" severity="low">
│ │ │ │              <xccdf-1.2:title>Uninstall the nis package</xccdf-1.2:title>
│ │ │ │              <xccdf-1.2:description>The support for Yellowpages should not be installed unless it is required.</xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:rationale>NIS is the historical SUN service for central account management, more and more replaced by LDAP.
│ │ │ │  NIS does not support efficiently security constraints, ACL, etc. and should not be used.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_nis
│ │ │ │ -
│ │ │ │ -class remove_nis {
│ │ │ │ -  package { 'nis':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure nis is removed
│ │ │ │    package:
│ │ │ │      name: nis
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_nis_removed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_nis
│ │ │ │ +
│ │ │ │ +class remove_nis {
│ │ │ │ +  package { 'nis':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove nis
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on nis. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "nis"</xccdf-1.2:fix>
│ │ │ │ @@ -22177,32 +22177,32 @@
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_nis_removed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │            <xccdf-1.2:Rule selected="false" id="xccdf_org.ssgproject.content_rule_package_ntpdate_removed" severity="low">
│ │ │ │              <xccdf-1.2:title>Uninstall the ntpdate package</xccdf-1.2:title>
│ │ │ │              <xccdf-1.2:description>ntpdate is a historical ntp synchronization client for unixes. It sould be uninstalled.</xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:rationale>ntpdate is an old not security-compliant ntp client. It should be replaced by modern ntp clients such as ntpd, able to use cryptographic mechanisms integrated in NTP.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_ntpdate
│ │ │ │ -
│ │ │ │ -class remove_ntpdate {
│ │ │ │ -  package { 'ntpdate':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure ntpdate is removed
│ │ │ │    package:
│ │ │ │      name: ntpdate
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ntpdate_removed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_ntpdate
│ │ │ │ +
│ │ │ │ +class remove_ntpdate {
│ │ │ │ +  package { 'ntpdate':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove ntpdate
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ntpdate. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ntpdate"</xccdf-1.2:fix>
│ │ │ │ @@ -22308,35 +22308,35 @@
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-3</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>
│ │ │ │                <html:code>telnet</html:code>
│ │ │ │                , even with ssl support, should not be installed.
│ │ │ │  When remote shell is required, up-to-date ssh daemon can be used.
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd-ssl
│ │ │ │ -
│ │ │ │ -class remove_telnetd-ssl {
│ │ │ │ -  package { 'telnetd-ssl':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure telnetd-ssl is removed
│ │ │ │    package:
│ │ │ │      name: telnetd-ssl
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd-ssl_removed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd-ssl
│ │ │ │ +
│ │ │ │ +class remove_telnetd-ssl {
│ │ │ │ +  package { 'telnetd-ssl':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove telnetd-ssl
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd-ssl. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd-ssl"</xccdf-1.2:fix>
│ │ │ │ @@ -22439,35 +22439,35 @@
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>
│ │ │ │                <html:code>telnet</html:code>
│ │ │ │                allows clear text communications, and does not protect
│ │ │ │  any data transmission between client and server. Any confidential data
│ │ │ │  can be listened and no integrity checking is made.'
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd
│ │ │ │ -
│ │ │ │ -class remove_telnetd {
│ │ │ │ -  package { 'telnetd':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure telnetd is removed
│ │ │ │    package:
│ │ │ │      name: telnetd
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd_removed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd
│ │ │ │ +
│ │ │ │ +class remove_telnetd {
│ │ │ │ +  package { 'telnetd':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd"</xccdf-1.2:fix>
│ │ │ │ @@ -22822,24 +22822,14 @@
│ │ │ │                package can be installed with the following command:
│ │ │ │                <html:pre>$ apt-get install postfix</html:pre>
│ │ │ │              </xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-000139</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000046-GPOS-00022</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>Emails can be used to notify designated personnel about important
│ │ │ │  system events such as failures or warnings.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_postfix_installed">[[packages]]
│ │ │ │ -name = "postfix"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_postfix_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_postfix
│ │ │ │ -
│ │ │ │ -class install_postfix {
│ │ │ │ -  package { 'postfix':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_postfix_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -22855,14 +22845,24 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_postfix_installed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_postfix_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_postfix
│ │ │ │ +
│ │ │ │ +class install_postfix {
│ │ │ │ +  package { 'postfix':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_postfix_installed">[[packages]]
│ │ │ │ +name = "postfix"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_postfix_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "postfix"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -23220,24 +23220,14 @@
│ │ │ │  
│ │ │ │  The
│ │ │ │                    <html:code>netfs</html:code>
│ │ │ │                    service can be disabled with the following command:
│ │ │ │                    <html:pre>$ sudo systemctl mask --now netfs.service</html:pre>
│ │ │ │                  </xccdf-1.2:description>
│ │ │ │                  <xccdf-1.2:rationale/>
│ │ │ │ -                <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_netfs_disabled">[customizations.services]
│ │ │ │ -masked = ["netfs"]</xccdf-1.2:fix>
│ │ │ │ -                <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_netfs_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_netfs
│ │ │ │ -
│ │ │ │ -class disable_netfs {
│ │ │ │ -  service {'netfs':
│ │ │ │ -    enable =&gt; false,
│ │ │ │ -    ensure =&gt; 'stopped',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                  <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_netfs_disabled" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -23305,14 +23295,24 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_netfs_disabled
│ │ │ │    - unknown_severity</xccdf-1.2:fix>
│ │ │ │ +                <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_netfs_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_netfs
│ │ │ │ +
│ │ │ │ +class disable_netfs {
│ │ │ │ +  service {'netfs':
│ │ │ │ +    enable =&gt; false,
│ │ │ │ +    ensure =&gt; 'stopped',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +                <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_netfs_disabled">[customizations.services]
│ │ │ │ +masked = ["netfs"]</xccdf-1.2:fix>
│ │ │ │                  <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                    <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_netfs_disabled:def:1"/>
│ │ │ │                  </xccdf-1.2:check>
│ │ │ │                </xccdf-1.2:Rule>
│ │ │ │              </xccdf-1.2:Group>
│ │ │ │            </xccdf-1.2:Group>
│ │ │ │            <xccdf-1.2:Group id="xccdf_org.ssgproject.content_group_nfs_configuring_servers">
│ │ │ │ @@ -23469,24 +23469,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000355-GPOS-00143</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R71</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.6.1</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.6</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>Time synchronization is important to support time sensitive security mechanisms like
│ │ │ │  Kerberos and also ensures log files have consistent time records across the enterprise,
│ │ │ │  which aids in forensic investigations.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_chrony_installed">[[packages]]
│ │ │ │ -name = "chrony"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_chrony_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_chrony
│ │ │ │ -
│ │ │ │ -class install_chrony {
│ │ │ │ -  package { 'chrony':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_chrony_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │    - PCI-DSSv4-10.6
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │ @@ -23508,14 +23498,24 @@
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_chrony_installed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_chrony_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_chrony
│ │ │ │ +
│ │ │ │ +class install_chrony {
│ │ │ │ +  package { 'chrony':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_chrony_installed">[[packages]]
│ │ │ │ +name = "chrony"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_chrony_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "chrony"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -23560,24 +23560,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.3</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.7.1</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-10.4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>Time synchronization (using NTP) is required by almost all network and administrative tasks (syslog, cryptographic based services (authentication, etc.), etc.). Ntpd is regulary maintained and updated, supporting security features such as RFC 5906.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_ntp_installed">[[packages]]
│ │ │ │ -name = "ntp"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntp_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_ntp
│ │ │ │ -
│ │ │ │ -class install_ntp {
│ │ │ │ -  package { 'ntp':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_ntp_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │    - enable_strategy
│ │ │ │ @@ -23597,14 +23587,24 @@
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ntp_installed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntp_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_ntp
│ │ │ │ +
│ │ │ │ +class install_ntp {
│ │ │ │ +  package { 'ntp':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_ntp_installed">[[packages]]
│ │ │ │ +name = "ntp"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_ntp_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "ntp"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -23633,24 +23633,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-004923</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://www.cyber.gov.au/acsc/view-all-content/ism">0988</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://www.cyber.gov.au/acsc/view-all-content/ism">1405</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000355-GPOS-00143</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>If chrony is in use on the system proper configuration is vital to ensuring time
│ │ │ │  synchronization is working properly.</xccdf-1.2:rationale>
│ │ │ │              <xccdf-1.2:platform idref="#package_chrony"/>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_chronyd_enabled">[customizations.services]
│ │ │ │ -enabled = ["chronyd"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_chronyd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_chronyd
│ │ │ │ -
│ │ │ │ -class enable_chronyd {
│ │ │ │ -  service {'chronyd':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_chronyd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -23679,14 +23669,24 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_chronyd_enabled</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_chronyd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_chronyd
│ │ │ │ +
│ │ │ │ +class enable_chronyd {
│ │ │ │ +  service {'chronyd':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_chronyd_enabled">[customizations.services]
│ │ │ │ +enabled = ["chronyd"]</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_chronyd_enabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_chronyd_enabled_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -23748,24 +23748,14 @@
│ │ │ │                <html:br/>
│ │ │ │                The NTP daemon offers all of the functionality of
│ │ │ │                <html:code>ntpdate</html:code>
│ │ │ │                , which is now
│ │ │ │  deprecated.
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │              <xccdf-1.2:platform idref="#package_ntp"/>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ntp_enabled">[customizations.services]
│ │ │ │ -enabled = ["ntp"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ntp_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ntp
│ │ │ │ -
│ │ │ │ -class enable_ntp {
│ │ │ │ -  service {'ntp':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_ntp_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AU-8(1)(a)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │ @@ -23804,14 +23794,24 @@
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ntp_enabled</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ntp_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ntp
│ │ │ │ +
│ │ │ │ +class enable_ntp {
│ │ │ │ +  service {'ntp':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ntp_enabled">[customizations.services]
│ │ │ │ +enabled = ["ntp"]</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_ntp_enabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_ntp_enabled_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -24169,34 +24169,34 @@
│ │ │ │                  <html:pre>$ apt-get remove snmp</html:pre>
│ │ │ │                </xccdf-1.2:description>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.4</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>If there is no need to run SNMP server software,
│ │ │ │  removing the package provides a safeguard against its
│ │ │ │  activation.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_snmp
│ │ │ │ -
│ │ │ │ -class remove_snmp {
│ │ │ │ -  package { 'snmp':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure snmp is removed
│ │ │ │    package:
│ │ │ │      name: snmp
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_net-snmp_removed
│ │ │ │    - unknown_severity</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_snmp
│ │ │ │ +
│ │ │ │ +class remove_snmp {
│ │ │ │ +  package { 'snmp':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove snmp
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on snmp. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "snmp"</xccdf-1.2:fix>
│ │ │ │ @@ -24215,24 +24215,14 @@
│ │ │ │                  service can be disabled with the following command:
│ │ │ │                  <html:pre>$ sudo systemctl mask --now snmpd.service</html:pre>
│ │ │ │                </xccdf-1.2:description>
│ │ │ │                <xccdf-1.2:reference href="https://www.cyber.gov.au/acsc/view-all-content/ism">1311</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>Running SNMP software provides a network-based avenue of attack, and
│ │ │ │  should be disabled if not needed.</xccdf-1.2:rationale>
│ │ │ │                <xccdf-1.2:platform idref="#package_snmpd_and_system_with_kernel"/>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_snmpd_disabled">[customizations.services]
│ │ │ │ -masked = ["snmpd"]</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_snmpd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_snmpd
│ │ │ │ -
│ │ │ │ -class disable_snmpd {
│ │ │ │ -  service {'snmpd':
│ │ │ │ -    enable =&gt; false,
│ │ │ │ -    ensure =&gt; 'stopped',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_snmpd_disabled" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -24303,14 +24293,24 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_snmpd_disabled</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_snmpd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_snmpd
│ │ │ │ +
│ │ │ │ +class disable_snmpd {
│ │ │ │ +  service {'snmpd':
│ │ │ │ +    enable =&gt; false,
│ │ │ │ +    ensure =&gt; 'stopped',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_snmpd_disabled">[customizations.services]
│ │ │ │ +masked = ["snmpd"]</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_snmpd_disabled:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_snmpd_disabled_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -24576,24 +24576,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000423-GPOS-00187</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000424-GPOS-00188</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000425-GPOS-00189</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000426-GPOS-00190</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>Without protection of the transmitted information, confidentiality, and
│ │ │ │  integrity may be compromised because unprotected communications can be
│ │ │ │  intercepted and either read or altered.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_openssh-server_installed">[[packages]]
│ │ │ │ -name = "openssh-server"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_openssh-server
│ │ │ │ -
│ │ │ │ -class install_openssh-server {
│ │ │ │ -  package { 'openssh-server':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_openssh-server_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -24611,14 +24601,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_openssh-server_installed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_openssh-server
│ │ │ │ +
│ │ │ │ +class install_openssh-server {
│ │ │ │ +  package { 'openssh-server':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_openssh-server_installed">[[packages]]
│ │ │ │ +name = "openssh-server"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_openssh-server_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "openssh-server"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -24641,21 +24641,14 @@
│ │ │ │                <html:code>openssh-server</html:code>
│ │ │ │                package can be removed with the following command:
│ │ │ │                <html:pre>$ apt-get remove openssh-server</html:pre>
│ │ │ │              </xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:rationale>Without protection of the transmitted information, confidentiality, and
│ │ │ │  integrity may be compromised because unprotected communications can be
│ │ │ │  intercepted and either read or altered.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_openssh-server
│ │ │ │ -
│ │ │ │ -class remove_openssh-server {
│ │ │ │ -  package { 'openssh-server':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_openssh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -24671,14 +24664,21 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_openssh-server_removed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_openssh-server
│ │ │ │ +
│ │ │ │ +class remove_openssh-server {
│ │ │ │ +  package { 'openssh-server':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_openssh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove openssh-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on openssh-server. Execute this
│ │ │ │ @@ -24704,24 +24704,14 @@
│ │ │ │  This is unusual, as SSH is a common method for encrypted and authenticated
│ │ │ │  remote access.</xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-3(6)</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">IA-2(4)</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=container-platform">SRG-APP-000185-CTR-000490</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=container-platform">SRG-APP-000141-CTR-000315</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale/>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_sshd_disabled">[customizations.services]
│ │ │ │ -masked = ["ssh"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_sshd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_sshd
│ │ │ │ -
│ │ │ │ -class disable_sshd {
│ │ │ │ -  service {'ssh':
│ │ │ │ -    enable =&gt; false,
│ │ │ │ -    ensure =&gt; 'stopped',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_sshd_disabled" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-3(6)
│ │ │ │    - NIST-800-53-IA-2(4)
│ │ │ │    - disable_strategy
│ │ │ │ @@ -24798,14 +24788,24 @@
│ │ │ │    - NIST-800-53-IA-2(4)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_sshd_disabled</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_sshd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_sshd
│ │ │ │ +
│ │ │ │ +class disable_sshd {
│ │ │ │ +  service {'ssh':
│ │ │ │ +    enable =&gt; false,
│ │ │ │ +    ensure =&gt; 'stopped',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_sshd_disabled">[customizations.services]
│ │ │ │ +masked = ["ssh"]</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_sshd_disabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_sshd_disabled_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -25173,22 +25173,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-2.2.4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R50</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.6</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>If an unauthorized user obtains the private SSH host key file, the host could be
│ │ │ │  impersonated.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_private_key">include ssh_private_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_private_key_perms {
│ │ │ │ -  exec { 'sshd_priv_key':
│ │ │ │ -    command =&gt; "chmod 0640 /etc/ssh/*_key",
│ │ │ │ -    path    =&gt; '/bin:/usr/bin'
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="file_permissions_sshd_private_key" complexity="low" disruption="low" reboot="false" strategy="configure">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-171-3.1.13
│ │ │ │    - NIST-800-171-3.13.10
│ │ │ │    - NIST-800-53-AC-17(a)
│ │ │ │ @@ -25247,14 +25239,22 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - configure_strategy
│ │ │ │    - file_permissions_sshd_private_key
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_private_key">include ssh_private_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_private_key_perms {
│ │ │ │ +  exec { 'sshd_priv_key':
│ │ │ │ +    command =&gt; "chmod 0640 /etc/ssh/*_key",
│ │ │ │ +    path    =&gt; '/bin:/usr/bin'
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="file_permissions_sshd_private_key"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  for keyfile in /etc/ssh/*_key; do
│ │ │ │      test -f "$keyfile" || continue
│ │ │ │      if test root:root = "$(stat -c "%U:%G" "$keyfile")"; then
│ │ │ │ @@ -25345,22 +25345,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-2.2.4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R50</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.6</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>If a public host key file is modified by an unauthorized user, the SSH service
│ │ │ │  may be compromised.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_pub_key">include ssh_public_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_public_key_perms {
│ │ │ │ -  exec { 'sshd_pub_key':
│ │ │ │ -    command =&gt; "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ -    path    =&gt; '/bin:/usr/bin'
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="file_permissions_sshd_pub_key" complexity="low" disruption="low" reboot="false" strategy="configure">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-171-3.1.13
│ │ │ │    - NIST-800-171-3.13.10
│ │ │ │    - NIST-800-53-AC-17(a)
│ │ │ │ @@ -25419,14 +25411,22 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - configure_strategy
│ │ │ │    - file_permissions_sshd_pub_key
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_pub_key">include ssh_public_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_public_key_perms {
│ │ │ │ +  exec { 'sshd_pub_key':
│ │ │ │ +    command =&gt; "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ +    path    =&gt; '/bin:/usr/bin'
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="file_permissions_sshd_pub_key" complexity="low" disruption="low" reboot="false" strategy="configure"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  find -L /etc/ssh/ -maxdepth 1 -perm /u+xs,g+xws,o+xwt  -type f -regextype posix-extended -regex '^.*\.pub$' -exec chmod u-xs,g-xws,o-xwt {} \;
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -31309,24 +31309,14 @@
│ │ │ │            <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000392-GPOS-00172</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000475-GPOS-00220</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R33</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R73</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.2.1</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.2</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>The auditd service is an access monitoring and accounting daemon, watching system calls to audit any access, in comparison with potential local access control policy such as SELinux policy.</xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_audit_installed">[[packages]]
│ │ │ │ -name = "auditd"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_audit_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_auditd
│ │ │ │ -
│ │ │ │ -class install_auditd {
│ │ │ │ -  package { 'auditd':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_audit_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AC-7(a)
│ │ │ │    - NIST-800-53-AU-12(2)
│ │ │ │    - NIST-800-53-AU-14
│ │ │ │ @@ -31362,14 +31352,24 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_audit_installed</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_audit_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_auditd
│ │ │ │ +
│ │ │ │ +class install_auditd {
│ │ │ │ +  package { 'auditd':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_audit_installed">[[packages]]
│ │ │ │ +name = "auditd"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_audit_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "auditd"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -31588,24 +31588,14 @@
│ │ │ │              <html:br/>
│ │ │ │              Additionally, a properly configured audit subsystem ensures that actions of
│ │ │ │  individual system users can be uniquely traced to those users so they
│ │ │ │  can be held accountable for their actions.
│ │ │ │            </xccdf-1.2:rationale>
│ │ │ │            <xccdf-1.2:platform idref="#package_audit"/>
│ │ │ │            <xccdf-1.2:requires idref="xccdf_org.ssgproject.content_rule_package_audit_installed"/>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_auditd_enabled">[customizations.services]
│ │ │ │ -enabled = ["auditd"]</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_auditd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_auditd
│ │ │ │ -
│ │ │ │ -class enable_auditd {
│ │ │ │ -  service {'auditd':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_auditd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - CJIS-5.4.1.1
│ │ │ │    - NIST-800-171-3.3.1
│ │ │ │    - NIST-800-171-3.3.2
│ │ │ │ @@ -31666,14 +31656,24 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_auditd_enabled</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_auditd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_auditd
│ │ │ │ +
│ │ │ │ +class enable_auditd {
│ │ │ │ +  service {'auditd':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_auditd_enabled">[customizations.services]
│ │ │ │ +enabled = ["auditd"]</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_auditd_enabled:def:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │            <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_auditd_enabled_ocil:questionnaire:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │          </xccdf-1.2:Rule>
│ │ │ │ @@ -93189,5857 +93189,5660 @@
│ │ │ │        <ocil:generator>
│ │ │ │          <ocil:product_name>build_shorthand.py from SCAP Security Guide</ocil:product_name>
│ │ │ │          <ocil:product_version>ssg: 0.1.76</ocil:product_version>
│ │ │ │          <ocil:schema_version>2.0</ocil:schema_version>
│ │ │ │          <ocil:timestamp>2025-03-01T08:08:00</ocil:timestamp>
│ │ │ │        </ocil:generator>
│ │ │ │        <ocil:questionnaires>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_proc_kcore_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable support for /proc/kkcore</ocil:title>
│ │ │ │ -          <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_proc_kcore_action:testaction:1</ocil:test_action_ref>
│ │ │ │ -          </ocil:actions>
│ │ │ │ -        </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_panic_timeout_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Kernel panic timeout</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_strictmodes_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Use of Strict Mode Checking</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_panic_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_strictmodes_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_max_concurrent_login_sessions_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Limit the Number of Concurrent Login Sessions Allowed Per User</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_action_mail_acct_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd mail_acct Action on Low Disk Space</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_srv_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /srv Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_srv_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_devkmem_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable /dev/kmem virtual device support</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /var/log/syslog File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_devkmem_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_sha512_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Sign kernel modules with SHA-512</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_dir_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Account Lockouts Must Persist</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_chronyd_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>The Chronyd service is enabled</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_chronyd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-dir_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that System Executable Directories Have Restrictive Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_init_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - init</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-dir_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH Support for .rhosts Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns Backup gshadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_pam_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable PAM</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_logon_fail_delay_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure the Logon Failure Delay is Set Correctly in login.defs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_pam_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_logon_fail_delay_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_ownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Audit Configuration Files Must Be Owned By Root</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_ownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that System Executables Have Root Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Kernel panic on oops</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_use_priv_separation_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Use of Privilege Separation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_use_priv_separation_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlink_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects File Deletion Events by User - unlink</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_hardlinks_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Kernel Parameter to Enforce DAC on Hardlinks</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_write_logs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Write Audit Logs to the Disk</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_delete_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on Kernel Module Unloading - delete_module</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_write_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on passwd File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_module_ipv6_option_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable IPv6 Networking Support Automatic Loading</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lremovexattr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lremovexattr</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_overflow_action_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Appropriate Action Must be Setup When the Internal Audit Event Queue is Full</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_overflow_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_slab_nomerge_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable merging of slabs with similar size</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_net_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_0_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set SSH Client Alive Count Max to zero</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns shadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_0_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_home_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /home Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-gid_passwd_group_same_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>All GIDs referenced in /etc/passwd must be defined in /etc/group</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_home_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-gid_passwd_group_same_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd Max Log File Size</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_login_grace_time_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure SSH LoginGraceTime is configured</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_login_grace_time_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_idle_timeout_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set SSH Client Alive Interval</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_proc_kcore_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable support for /proc/kkcore</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_idle_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_proc_kcore_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Sending and Accepting Shared Media Redirects for All IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_warn_age_login_defs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Password Warning Age</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_num_logs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd Number of Logs Retained</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_shutdown_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - shutdown</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_num_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Encrypted X11 Forwarding</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-harden_ssh_client_crypto_policy_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Harden SSH client Crypto Policy</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_init_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on Kernel Module Loading - init_module</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-no_empty_passwords_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Prevent Login to Accounts With Empty Password</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-no_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Unauthorized Access Attempts to Files (unsuccessful)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_ntp_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Install the ntp service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_ntp_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-ensure_logrotate_activated_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Logrotate Runs Periodically</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-dir_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that System Executable Have Root Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-ensure_logrotate_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-dir_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_empty_passwords_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH Access via Empty Passwords</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Specify module signing key to use</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Prevent Routing External Traffic to Local Loopback on All IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_var_tmp_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Polyinstantiation of /var/tmp Directories</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_nss-tools_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure nss-tools is installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_nss-tools_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount2_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount2</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-set_ip6tables_default_rule_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Default ip6tables Policy for Incoming Packets</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-set_ip6tables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_unauthorized_world_writable_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure No World-Writable Files Exist</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_no_uid_except_zero_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Only Root Has UID 0</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_ptys_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable legacy (BSD) PTY support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_no_uid_except_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_ptys_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_ntp_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Install the ntp service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-ensure_logrotate_activated_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Logrotate Runs Periodically</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_ntp_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-ensure_logrotate_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-selinux_state_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure SELinux State is Enforcing</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-selinux_state_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns Backup passwd File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_security_yama_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Yama support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_security_yama_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_symlinks_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Kernel Parameter to Enforce DAC on Symlinks</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_ip6tables_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify ip6tables Enabled if Using IPv6</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nodev_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add nodev Option to /dev/shm</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_ip6tables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_time_watch_localtime_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Attempts to Alter the localtime File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns group File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchown_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchown</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-coredump_disable_backtraces_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable core dump backtraces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-coredump_disable_backtraces_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set SSH Client Alive Count Max</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchownat_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchownat</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_init_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - init</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_log_format_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Resolve information before writing to audit logs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_log_format_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns passwd File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_x86_vsyscall_emulation_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable x86 vsyscall emulation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_compat_vdso_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable the 32-bit vDSO</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_bug_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable support for BUG()</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_compat_vdso_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_bug_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_add_requiretty_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo requiretty</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns Backup gshadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_add_requiretty_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_nosmap_argument_absent_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure SMAP is not disabled during boot</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_fs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable kernel debugfs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_fs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_notifiers_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable checks on notifier call chains</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_ipv6_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable the IPv6 protocol</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_notifiers_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable GSSAPI Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Default iptables Policy for Incoming Packets</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_gnutls-utils_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure gnutls-utils is installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chmod_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chmod</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_gnutls-utils_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that System Executables Have Restrictive Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_lastlog_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Attempts to Alter Logon and Logout Events - lastlog</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_maxstartups_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure SSH MaxStartups is configured</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_maxstartups_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_action_mail_acct_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd mail_acct Action on Low Disk Space</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_profile_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure the Default Umask is Set Correctly in /etc/profile</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_profile_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_info_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set LogLevel to INFO</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_var_log_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /var/log Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_info_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that Shared Library Files Have Restrictive Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-gnome_gdm_disable_xdmcp_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable XDMCP in GDM</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_fs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable kernel debugfs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_nosmep_argument_absent_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure SMEP is not disabled during boot</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_fs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_aide_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Install AIDE</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns passwd File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_aide_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_rekey_limit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Force frequent session key renegotiation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Unsuccessful Access Attempts to Files - truncate</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_rekey_limit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_memory_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Randomize the kernel memory sections</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_compat_vdso_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable the 32-bit vDSO</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_memory_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_compat_vdso_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │          <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nosuid_ocil:questionnaire:1">
│ │ │ │            <ocil:title>Add nosuid Option to /dev/shm</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │              <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_zero_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Use zero for poisoning instead of debugging value</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on Backup group File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_gnutls-utils_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure gnutls-utils is installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_gnutls-utils_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_files_groupownership_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Log Files Are Owned By Appropriate Group</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_net-snmp_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall net-snmp Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_files_groupownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_net-snmp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_root_password_login_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH root Login with a Password (Insecure)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lremovexattr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lremovexattr</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_root_password_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_remove_nopasswd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo NOPASSWD</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure System to Forward All Mail For The Root Account</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_remove_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-no_rsh_trust_files_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Remove Rsh Trust Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_module_uvcvideo_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable the uvcvideo module</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-no_rsh_trust_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │          <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_renameat_ocil:questionnaire:1">
│ │ │ │            <ocil:title>Ensure auditd Collects File Deletion Events by User - renameat</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │              <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_ptys_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable legacy (BSD) PTY support</ocil:title>
│ │ │ │ -          <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_ptys_action:testaction:1</ocil:test_action_ref>
│ │ │ │ -          </ocil:actions>
│ │ │ │ -        </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_logon_fail_delay_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure the Logon Failure Delay is Set Correctly in login.defs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Accepting Packets Routed Between Local Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_logon_fail_delay_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_stig_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_files_ownership_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Log Files Are Owned By Appropriate User</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_files_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_stig_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns gshadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_module_ipv6_option_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable IPv6 Networking Support Automatic Loading</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable GSSAPI Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_zero_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Use zero for poisoning instead of debugging value</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable IPv6 Addressing on IPv6 Interfaces by Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Public Key Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rename_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects File Deletion Events by User - rename</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-aide_build_database_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Build and Test AIDE Database</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_freq_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set number of records to cause an explicit flush to audit logs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-aide_build_database_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_freq_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_usr_share_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Mandatory Access Controls in usr/share</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that System Executables Have Root Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_syslogng_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable syslog-ng Service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchown_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchown</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_syslogng_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_no_sanity_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable poison without sanity check</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-no_netrc_files_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify No netrc Files Exist</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-no_netrc_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nodev_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add nodev Option to /dev/shm</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_l1tf_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure L1 Terminal Fault mitigations</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_l1tf_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │          <ocil:questionnaire id="ocil:ssg-audit_rules_time_adjtimex_ocil:questionnaire:1">
│ │ │ │            <ocil:title>Record attempts to alter time through adjtimex</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │              <ocil:test_action_ref>ocil:ssg-audit_rules_time_adjtimex_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │ -          <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ -          </ocil:actions>
│ │ │ │ -        </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_audit_configuration_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Audit Configuration Files Permissions are 640 or More Restrictive</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_rsa_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH Support for Rhosts RSA Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_max_auth_tries_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set SSH authentication attempt limit</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_home_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure that User Home Directories are not Group-Writable or World-Readable</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_max_auth_tries_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_home_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_iptables_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify iptables Enabled</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_root_path_dirs_no_write_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure that Root's Path Does Not Include World or Group-Writable Directories</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_iptables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_rsyslog_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable rsyslog Service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_sshd_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH Server If Possible</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_rsyslog_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_sshd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │          <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_ocil:questionnaire:1">
│ │ │ │            <ocil:title>Disable IPv6 Addressing on All IPv6 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │              <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on Backup shadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-configure_user_data_backups_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Backups of User Data</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-configure_user_data_backups_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-chronyd_server_directive_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Chrony is only configured with the server directive</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns Backup shadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-chronyd_server_directive_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns shadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_remove_no_authenticate_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo !authenticate</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_remove_no_authenticate_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_poweroff_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - poweroff</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_compat_brk_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable compatibility with brk()</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_compat_brk_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_user_known_hosts_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH Support for User Known Hosts</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_audit_configuration_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Audit Configuration Files Permissions are 640 or More Restrictive</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-coredump_disable_storage_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable storing core dump</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_rng_core_default_quality_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure the confidence in TPM for entropy</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-coredump_disable_storage_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_auditd_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable auditd Service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_allow_only_protocol2_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Allow Only SSH Protocol 2</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_auditd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_allow_only_protocol2_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchownat_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchownat</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_lastlog_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Attempts to Alter Logon and Logout Events - lastlog</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_audit_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure the audit Subsystem is Installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_page_table_isolation_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Remove the kernel mapping in user mode</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_audit_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_page_table_isolation_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_ipv6_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable the IPv6 protocol</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_hibernation_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable hibernation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_hibernation_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_rng_core_default_quality_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure the confidence in TPM for entropy</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_root_gid_zero_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Root Has A Primary GID 0</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_root_gid_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_x86_vsyscall_emulation_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable x86 vsyscall emulation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable GSSAPI Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_networkconfig_modification_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Network Environment</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_setxattr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - setxattr</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns Backup gshadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_remote_loghost_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Logs Sent To Remote Host</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_remote_loghost_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_forward_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Default iptables Policy for Forwarded Packets</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_max_sessions_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set SSH MaxSessions limit</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_forward_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_max_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_files_ownership_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Log Files Are Owned By Appropriate User</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_pam_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable PAM</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_files_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_pam_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns group File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_filter_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable use of Berkeley Packet Filter with seccomp</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_local_events_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Include Local Events in Audit Logs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_add_requiretty_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo requiretty</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_local_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_add_requiretty_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_net_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_write_logs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Write Audit Logs to the Disk</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_write_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-dir_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that Shared Library Directories Have Root Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-dir_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_var_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /var Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-dir_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that Shared Library Directories Have Restrictive Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_var_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-dir_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_l1tf_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure L1 Terminal Fault mitigations</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudoers_explicit_command_args_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Explicit arguments in sudo specifications</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_l1tf_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudoers_explicit_command_args_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /var/log/messages File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_symlinks_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Kernel Parameter to Enforce DAC on Symlinks</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on Backup gshadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_cron_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable cron Service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_cron_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_openssh-server_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Install the OpenSSH Server Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_info_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set LogLevel to INFO</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_openssh-server_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_info_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_hardlinks_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Kernel Parameter to Enforce DAC on Hardlinks</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_systemmap_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on System.map Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-postfix_client_configure_relayhost_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure System to Forward All Mail through a specific host</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_snmpd_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable snmpd Service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-postfix_client_configure_relayhost_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_snmpd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_hash_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Specify the hash to use when signing modules</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_hash_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns Backup shadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_default_mmap_min_addr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Low Address Space To Protect From User Allocation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_compat_brk_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable compatibility with brk()</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fsetxattr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fsetxattr</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_compat_brk_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Unsuccessful Access Attempts to Files - open</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure debug-shell service is not enabled during boot</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Mandatory Access Controls</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_mce_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Force kernel panic on uncorrected MCEs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_mce_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_limit_user_access_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Limit Users' SSH Access</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable X11 Forwarding</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_limit_user_access_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_permissions_var_log_audit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>System Audit Logs Must Have Mode 0750 or Less Permissive</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_permissions_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_reboot_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - reboot</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns Backup group File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_reboot_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_spectre_v2_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enforce Spectre v2 mitigation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_spectre_v2_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_postfix_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>The Postfix package is installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on shadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_postfix_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-disallow_bypass_password_sudo_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disallow Configuration to Bypass Password Requirements for Privilege Escalation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns gshadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-disallow_bypass_password_sudo_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rmdir_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects File Deletion Events by User - rmdir</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure ARP filtering for All IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_mce_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Force kernel panic on uncorrected MCEs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_fs_suid_dumpable_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Core Dumps for SUID programs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_mce_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure System to Forward All Mail For The Root Account</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_root_password_login_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH root Login with a Password (Insecure)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_root_password_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns gshadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_module_uvcvideo_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable the uvcvideo module</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_user_known_hosts_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH Support for User Known Hosts</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_finit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading - finit_module</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_ip6tables_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify ip6tables Enabled if Using IPv6</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_ip6tables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_list_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable checks on linked list manipulation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_memory_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Randomize the kernel memory sections</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_list_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_memory_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Kernel panic oops</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-account_use_centralized_automated_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Use Centralized and Automated Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-account_use_centralized_automated_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_compression_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Compression Or Set Compression to delayed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_idle_timeout_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set SSH Client Alive Interval</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_compression_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_idle_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_rsa_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH Support for Rhosts RSA Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_nosmap_argument_absent_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure SMAP is not disabled during boot</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Sending and Accepting Shared Media Redirects by Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Unsuccessful Access Attempts to Files - creat</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Audit Configuration Files Must Be Owned By Group root</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_tcp_forwarding_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH TCP Forwarding</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns shadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_audit_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure the audit Subsystem is Installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_audit_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_snmpd_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable snmpd Service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_networkconfig_modification_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Network Environment</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_snmpd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_time_settimeofday_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record attempts to alter time through settimeofday</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_last_change_is_in_past_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure all users last password change date is in the past</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_time_settimeofday_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_net-snmp_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall net-snmp Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns group File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_net-snmp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-gnome_gdm_disable_xdmcp_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable XDMCP in GDM</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_randomize_va_space_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Randomized Layout of Virtual Address Space</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_time_stime_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Attempts to Alter Time Through stime</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_admin_space_left_action_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd admin_space_left Action on Low Disk Space</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_time_stime_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns Backup gshadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Unauthorized Access Attempts to Files (unsuccessful)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_login_defs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure the Default Umask is Set Correctly in login.defs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_time_settimeofday_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record attempts to alter time through settimeofday</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_time_settimeofday_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_allow_only_protocol2_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Allow Only SSH Protocol 2</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_num_logs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd Number of Logs Retained</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_allow_only_protocol2_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_num_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_admin_space_left_action_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd admin_space_left Action on Low Disk Space</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_credentials_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable checks on credential management</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_credentials_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-dir_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that System Executable Have Root Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlink_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects File Deletion Events by User - unlink</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-dir_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify User/Group Information</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_retpoline_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Avoid speculative indirect branches in kernel</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_iptables_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify iptables Enabled</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_retpoline_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_iptables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Unsuccessful Access Attempts to Files - openat</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-no_all_squash_exports_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure All-Squashing Disabled On All Exports</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-no_all_squash_exports_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-harden_ssh_client_crypto_policy_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Harden SSH client Crypto Policy</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Sending and Accepting Shared Media Redirects for All IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudoers_no_command_negation_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Don't define allowed commands in sudoers by means of exclusion</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_max_auth_tries_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set SSH authentication attempt limit</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudoers_no_command_negation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_max_auth_tries_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_module_tipc_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable TIPC Support</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_time_watch_localtime_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Attempts to Alter the localtime File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_module_tipc_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-dir_perms_world_writable_sticky_bits_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that All World-Writable Directories Have Sticky Bits Set</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_syslogng_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure syslog-ng is Installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_syslogng_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_home_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /home Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_home_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_nosmep_argument_absent_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure SMEP is not disabled during boot</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_init_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on Kernel Module Loading - init_module</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_base_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Randomize the address of the kernel image (KASLR)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_nss-tools_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure nss-tools is installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_base_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_nss-tools_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_remote_loghost_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Logs Sent To Remote Host</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_minlen_login_defs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Password Minimum Length in login.defs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_remote_loghost_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable module signature verification</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_retpoline_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Avoid speculative indirect branches in kernel</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_retpoline_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-securetty_root_login_console_only_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Restrict Virtual Console Root Logins</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_root_login_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH Root Login</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-securetty_root_login_console_only_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_root_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-selinux_not_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure SELinux is Not Disabled</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_media_export_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on Exporting to Media (successful)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-selinux_not_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_media_export_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_warn_age_login_defs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Password Warning Age</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-dir_perms_world_writable_sticky_bits_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that All World-Writable Directories Have Sticky Bits Set</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_logrotate_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure logrotate is Installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure System to Forward All Mail From Postmaster to The Root Account</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_logrotate_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_acpi_custom_method_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Do not allow ACPI methods to be inserted/replaced at run time</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable PubkeyAuthentication Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects File Deletion Events by User - unlinkat</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_ntp_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable the NTP Daemon</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_ntp_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-account_unique_name_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure All Accounts on the System Have Unique Names</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-account_unique_name_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_root_gid_zero_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Root Has A Primary GID 0</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_syslogng_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable syslog-ng Service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_root_gid_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_syslogng_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-chronyd_specify_remote_server_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>A remote time server for Chrony is configured</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_unmap_kernel_at_el0_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Unmap kernel when running in userspace (aka KAISER)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-chronyd_specify_remote_server_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Unsuccessful Access Attempts to Files - ftruncate</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on Backup passwd File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_spec_store_bypass_disable_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Speculative Store Bypass Mitigation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-no_direct_root_logins_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Direct root Logins Not Allowed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-no_direct_root_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_audispd_syslog_plugin_activated_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd to use audispd's syslog plugin</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_acpi_custom_method_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Do not allow ACPI methods to be inserted/replaced at run time</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_ntp_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable the NTP Daemon</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-disable_host_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Host-Based Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_ntp_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-disable_host_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns Backup group File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-selinux_state_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure SELinux State is Enforcing</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-selinux_state_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_vdsm_nopasswd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Only the VDSM User Can Use sudo NOPASSWD</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_custom_logfile_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Sudo Logfile Exists - sudo logfile</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_custom_logfile_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on /var/log/syslog File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_rsyslog_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure rsyslog is Installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_rsyslog_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on /var/log Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_spectre_v2_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enforce Spectre v2 mitigation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_spectre_v2_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_security_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable different security models</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_faillock_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Attempts to Alter Logon and Logout Events - faillock</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_security_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_faillock_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_var_log_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /var/log Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH Support for .rhosts Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /var/log Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_stig_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_default_mmap_min_addr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Low Address Space To Protect From User Allocation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_rsyslog_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable rsyslog Service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_rsyslog_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Unsuccessful Access Attempts to Files - open_by_handle_at</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-no_empty_passwords_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure There Are No Accounts With Blank or Null Passwords</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_vdsm_nopasswd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Only the VDSM User Can Use sudo NOPASSWD</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable GSSAPI Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Unsuccessful Access Attempts to Files - open</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_openssh-server_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Remove the OpenSSH Server Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns Backup shadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_openssh-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /var/log/messages File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_disable_recovery_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Recovery Booting</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_disable_recovery_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chown_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chown</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_add_use_pty_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo use_pty</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_add_use_pty_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns Backup passwd File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_audispd_syslog_plugin_activated_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd to use audispd's syslog plugin</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that Shared Library Files Have Root Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-snmpd_not_default_password_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Default SNMP Password Is Not Used</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-snmpd_not_default_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_fs_suid_dumpable_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Core Dumps for SUID programs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns shadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_enable_iommu_force_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>IOMMU configuration directive</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /var/log Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_enable_iommu_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_hibernation_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable hibernation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify User/Group Information</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_hibernation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns Backup shadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rmdir_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects File Deletion Events by User - rmdir</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_profile_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure the Default Umask is Set Correctly in /etc/profile</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-display_login_attempts_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure PAM Displays Last Logon/Access Notification</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_profile_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-display_login_attempts_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_remove_no_authenticate_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo !authenticate</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmod_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmod</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_remove_no_authenticate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_rekey_limit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Force frequent session key renegotiation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_rekey_limit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_setxattr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - setxattr</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_MFEhiplsm_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Install the Host Intrusion Prevention System (HIPS) Module</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_MFEhiplsm_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-restrict_serial_port_logins_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Restrict Serial Port Root Logins</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_no_uid_except_zero_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Only Root Has UID 0</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-restrict_serial_port_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_no_uid_except_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_root_path_dirs_no_write_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure that Root's Path Does Not Include World or Group-Writable Directories</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_ufw_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify ufw Enabled</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_ufw_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-gid_passwd_group_same_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>All GIDs referenced in /etc/passwd must be defined in /etc/group</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-dir_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that System Executable Directories Have Restrictive Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-gid_passwd_group_same_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-dir_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_do_not_permit_user_env_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Do Not Allow SSH Environment Options</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_empty_passwords_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH Access via Empty Passwords</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_messages_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on /var/log/messages File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_0_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set SSH Client Alive Count Max to zero</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_0_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_overflow_action_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Appropriate Action Must be Setup When the Internal Audit Event Queue is Full</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_time_stime_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Attempts to Alter Time Through stime</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_overflow_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_time_stime_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-prefer_64bit_os_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Prefer to use a 64-bit Operating System when supported</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_force_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Require modules to be validly signed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-prefer_64bit_os_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_systemd-journald_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable systemd-journald Service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lsetxattr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lsetxattr</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_systemd-journald_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmodat_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmodat</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount2_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount2</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_unauthorized_world_writable_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure No World-Writable Files Exist</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rename_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects File Deletion Events by User - rename</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_poweroff_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - poweroff</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_space_left_action_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd space_left Action on Low Disk Space</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_no_sanity_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable poison without sanity check</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_use_priv_separation_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Use of Privilege Separation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fremovexattr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fremovexattr</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_use_priv_separation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_tmp_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /tmp Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that System Executables Have Restrictive Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_chronyd_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>The Chronyd service is enabled</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_chronyd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_add_use_pty_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo use_pty</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on Backup gshadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_add_use_pty_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_syslogng_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure syslog-ng is Installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_forward_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Default iptables Policy for Forwarded Packets</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_syslogng_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_forward_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-no_empty_passwords_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Prevent Login to Accounts With Empty Password</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Prevent Routing External Traffic to Local Loopback on All IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-no_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-configure_user_data_backups_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Backups of User Data</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_syn_cookies_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable TCP/IP syncookie support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-configure_user_data_backups_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_syn_cookies_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Unsuccessful Access Attempts to Files - creat</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_do_not_permit_user_env_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Do Not Allow SSH Environment Options</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-no_all_squash_exports_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure All-Squashing Disabled On All Exports</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_messages_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on /var/log/messages File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-no_all_squash_exports_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Default iptables Policy for Incoming Packets</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_systemd-journald_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable systemd-journald Service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_systemd-journald_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-no_direct_root_logins_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Direct root Logins Not Allowed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-no_direct_root_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_kerb_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Kerberos Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_login_defs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure the Default Umask is Set Correctly in login.defs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_kerb_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_cron_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Install the cron service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_cron_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_enable_iommu_force_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>IOMMU configuration directive</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_enable_iommu_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lchown_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lchown</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Kernel panic on oops</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on gshadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_base_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Randomize the address of the kernel image (KASLR)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_base_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_rsyslog_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure rsyslog is Installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on /var/log Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_rsyslog_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmod_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmod</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_local_events_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Include Local Events in Audit Logs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_local_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns passwd File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_notifiers_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable checks on notifier call chains</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_notifiers_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_var_log_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /var/log Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_chrony_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>The Chrony package is installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_chrony_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_sshd_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH Server If Possible</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_all_shadowed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify All Account Password Hashes are Shadowed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_sshd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_all_shadowed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_var_log_audit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /var/log/audit Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Audit Configuration Files Must Be Owned By Group root</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_login_grace_time_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure SSH LoginGraceTime is configured</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Public Key Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_login_grace_time_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_slub_debug_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable SLUB debugging support</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd Max Log File Size</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_slub_debug_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_files_permissions_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure System Log Files Have Correct Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_module_tipc_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable TIPC Support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_files_permissions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_module_tipc_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_all_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable automatic signing of all modules</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable module signature verification</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_all_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_minlen_login_defs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Password Minimum Length in login.defs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_security_writable_hooks_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable mutable hooks</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_binfmt_misc_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable kernel support for MISC binaries</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_spec_store_bypass_disable_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Speculative Store Bypass Mitigation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_binfmt_misc_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-no_empty_passwords_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure There Are No Accounts With Blank or Null Passwords</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_srv_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /srv Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_srv_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_disable_recovery_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Recovery Booting</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_limit_user_access_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Limit Users' SSH Access</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_disable_recovery_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_limit_user_access_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_shutdown_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - shutdown</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects File Deletion Events by User</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_media_export_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on Exporting to Media (successful)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_ownership_var_log_audit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>System Audit Logs Must Be Owned By Root</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_media_export_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_ownership_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_tallylog_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Attempts to Alter Logon and Logout Events - tallylog</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_security_dmesg_restrict_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Restrict unprivileged access to the kernel syslog</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_strictmodes_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Use of Strict Mode Checking</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_removexattr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - removexattr</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_strictmodes_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_kptr_restrict_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Restrict Exposed Kernel Pointer Addresses Access</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_filter_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable use of Berkeley Packet Filter with seccomp</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_remove_nopasswd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo NOPASSWD</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_remove_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_syn_cookies_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable TCP/IP syncookie support</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_aide_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Install AIDE</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_syn_cookies_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_aide_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_tcp_forwarding_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH TCP Forwarding</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_tallylog_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Attempts to Alter Logon and Logout Events - tallylog</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_all_shadowed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify All Account Password Hashes are Shadowed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_sg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable checks on scatter-gather (SG) table operations</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_all_shadowed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_sg_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_cron_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable cron Service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns passwd File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_cron_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_hash_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Specify the hash to use when signing modules</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmodat_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmodat</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_hash_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_bug_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable support for BUG()</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_ownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Audit Configuration Files Must Be Owned By Root</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_bug_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_ownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-account_unique_name_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure All Accounts on the System Have Unique Names</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Encrypted X11 Forwarding</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-account_unique_name_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_home_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure that User Home Directories are not Group-Writable or World-Readable</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_slab_nomerge_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable merging of slabs with similar size</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_home_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_maximum_age_login_defs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Password Maximum Age</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_security_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable different security models</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_maximum_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_security_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-dir_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that Shared Library Directories Have Restrictive Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_require_authentication_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-dir_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_require_authentication_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on group File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_slub_debug_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable SLUB debugging support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_slub_debug_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /var/log/syslog File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-restrict_serial_port_logins_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Restrict Serial Port Root Logins</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-restrict_serial_port_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Accepting Packets Routed Between Local Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_add_noexec_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Privileged Escalated Commands Cannot Execute Other Commands - sudo NOEXEC</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_add_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Unsuccessful Access Attempts to Files - ftruncate</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_unmap_kernel_at_el0_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Unmap kernel when running in userspace (aka KAISER)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudoers_no_root_target_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Don't target root user in the sudoers file</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudoers_no_root_target_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_verbose_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set SSH Daemon LogLevel to VERBOSE</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-selinux_not_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure SELinux is Not Disabled</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-selinux_not_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_kptr_restrict_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Restrict Exposed Kernel Pointer Addresses Access</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on Backup group File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_maxstartups_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure SSH MaxStartups is configured</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Unsuccessful Access Attempts to Files - openat</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_maxstartups_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_chrony_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>The Chrony package is installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_time_clock_settime_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Attempts to Alter Time Through clock_settime</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_chrony_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_time_clock_settime_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fremovexattr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fremovexattr</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-chronyd_specify_remote_server_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>A remote time server for Chrony is configured</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-chronyd_specify_remote_server_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_sg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable checks on scatter-gather (SG) table operations</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns Backup passwd File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_sg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on Backup passwd File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_postfix_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>The Postfix package is installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_postfix_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +          </ocil:actions>
│ │ │ │ +        </ocil:questionnaire>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_dev_shm_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /dev/shm is configured</ocil:title>
│ │ │ │ +          <ocil:actions>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_dev_shm_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +          </ocil:actions>
│ │ │ │ +        </ocil:questionnaire>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-securetty_root_login_console_only_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Restrict Virtual Console Root Logins</ocil:title>
│ │ │ │ +          <ocil:actions>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-securetty_root_login_console_only_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │          <ocil:questionnaire id="ocil:ssg-kernel_module_rds_disabled_ocil:questionnaire:1">
│ │ │ │            <ocil:title>Disable RDS Support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │              <ocil:test_action_ref>ocil:ssg-kernel_module_rds_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lsetxattr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lsetxattr</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_verbose_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set SSH Daemon LogLevel to VERBOSE</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudoers_explicit_command_args_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Explicit arguments in sudo specifications</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-no_rsh_trust_files_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Remove Rsh Trust Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudoers_explicit_command_args_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-no_rsh_trust_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable IPv6 Addressing on IPv6 Interfaces by Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_sysadmin_actions_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects System Administrator Actions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_dev_shm_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /dev/shm is configured</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on /var/log/syslog File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_dev_shm_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable X11 Forwarding</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_stig_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns group File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_kerb_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Kerberos Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_kerb_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_ufw_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify ufw Enabled</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_kexec_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable kexec system call</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_ufw_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_kexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-dir_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that Shared Library Directories Have Root Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_space_left_action_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd space_left Action on Low Disk Space</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-dir_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects File Deletion Events by User</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_compression_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Compression Or Set Compression to delayed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_compression_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_ownership_var_log_audit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>System Audit Logs Must Be Owned By Root</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_maximum_age_login_defs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Password Maximum Age</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_ownership_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_maximum_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_sysadmin_actions_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects System Administrator Actions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-disallow_bypass_password_sudo_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disallow Configuration to Bypass Password Requirements for Privilege Escalation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-disallow_bypass_password_sudo_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_immutable_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Make the auditd Configuration Immutable</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_files_permissions_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure System Log Files Have Correct Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_immutable_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_files_permissions_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_sha512_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Sign kernel modules with SHA-512</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_dir_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Account Lockouts Must Persist</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns gshadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_auditd_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable auditd Service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_auditd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on shadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_tmp_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /tmp Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_MFEhiplsm_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Install the Host Intrusion Prevention System (HIPS) Module</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chown_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chown</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_MFEhiplsm_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure debug-shell service is not enabled during boot</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_tmp_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Polyinstantiation of /tmp Directories</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure System to Forward All Mail From Postmaster to The Root Account</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Unsuccessful Access Attempts to Files - open_by_handle_at</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_time_clock_settime_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Attempts to Alter Time Through clock_settime</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_devkmem_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable /dev/kmem virtual device support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_time_clock_settime_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_devkmem_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fsetxattr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fsetxattr</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_openssh-server_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Install the OpenSSH Server Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_openssh-server_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_systemmap_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on System.map Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects File Deletion Events by User - unlinkat</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure ARP filtering for All IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_usr_share_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Mandatory Access Controls in usr/share</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_max_sessions_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set SSH MaxSessions limit</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-aide_build_database_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Build and Test AIDE Database</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_max_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-aide_build_database_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-account_use_centralized_automated_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Use Centralized and Automated Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_finit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading - finit_module</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-account_use_centralized_automated_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_kexec_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable kexec system call</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_list_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable checks on linked list manipulation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_kexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_list_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_ia32_emulation_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable IA32 emulation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_files_groupownership_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Log Files Are Owned By Appropriate Group</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_ia32_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_files_groupownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable seccomp to safely compute untrusted bytecode</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_custom_logfile_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Sudo Logfile Exists - sudo logfile</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_openssh-server_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Remove the OpenSSH Server Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_custom_logfile_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_openssh-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /var/log/syslog File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Specify module signing key to use</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_var_log_audit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /var/log/audit Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudoers_no_root_target_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Don't target root user in the sudoers file</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_ia32_emulation_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable IA32 emulation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudoers_no_root_target_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_ia32_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_print_last_log_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable SSH Print Last Log</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudoers_no_command_negation_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Don't define allowed commands in sudoers by means of exclusion</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_print_last_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudoers_no_command_negation_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_security_writable_hooks_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable mutable hooks</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_permissions_var_log_audit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>System Audit Logs Must Have Mode 0750 or Less Permissive</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_permissions_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_freq_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set number of records to cause an explicit flush to audit logs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable seccomp to safely compute untrusted bytecode</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_freq_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_security_yama_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Yama support</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-chronyd_server_directive_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Chrony is only configured with the server directive</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_security_yama_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-chronyd_server_directive_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Response Mode of ARP Requests for All IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /var/log/syslog File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns Backup group File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Kernel panic oops</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_var_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /var Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_var_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on group File</ocil:title>
│ │ │ │ +          <ocil:actions>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +          </ocil:actions>
│ │ │ │ +        </ocil:questionnaire>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │            <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Rsyslog Authenticates Off-Loaded Audit Records</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-disable_host_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Host-Based Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_immutable_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Make the auditd Configuration Immutable</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-disable_host_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_immutable_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_require_authentication_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on Backup shadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_require_authentication_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_security_dmesg_restrict_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Restrict unprivileged access to the kernel syslog</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /var/log/messages File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_faillock_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Attempts to Alter Logon and Logout Events - faillock</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Response Mode of ARP Requests for All IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_faillock_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_minimum_age_login_defs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Password Minimum Age</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_print_last_log_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable SSH Print Last Log</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_print_last_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-no_netrc_files_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify No netrc Files Exist</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_max_concurrent_login_sessions_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Limit the Number of Concurrent Login Sessions Allowed Per User</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-no_netrc_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chmod_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chmod</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns Backup passwd File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_add_noexec_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Privileged Escalated Commands Cannot Execute Other Commands - sudo NOEXEC</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lchown_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lchown</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_add_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_page_table_isolation_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Remove the kernel mapping in user mode</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_all_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable automatic signing of all modules</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_page_table_isolation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_all_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_force_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Require modules to be validly signed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_minimum_age_login_defs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Password Minimum Age</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-snmpd_not_default_password_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Default SNMP Password Is Not Used</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that Shared Library Files Have Root Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-snmpd_not_default_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-display_login_attempts_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure PAM Displays Last Logon/Access Notification</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_binfmt_misc_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable kernel support for MISC binaries</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-display_login_attempts_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_binfmt_misc_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_cron_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Install the cron service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_logrotate_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure logrotate is Installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_cron_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_logrotate_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Unsuccessful Access Attempts to Files - truncate</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on gshadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-set_ip6tables_default_rule_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Default ip6tables Policy for Incoming Packets</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns Backup group File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-set_ip6tables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_removexattr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - removexattr</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-prefer_64bit_os_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Prefer to use a 64-bit Operating System when supported</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-prefer_64bit_os_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_last_change_is_in_past_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure all users last password change date is in the past</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Sending and Accepting Shared Media Redirects by Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Rsyslog Authenticates Off-Loaded Audit Records</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_reboot_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - reboot</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_reboot_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_root_login_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH Root Login</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_panic_timeout_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Kernel panic timeout</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_root_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_panic_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_var_tmp_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Polyinstantiation of /var/tmp Directories</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-postfix_client_configure_relayhost_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure System to Forward All Mail through a specific host</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-postfix_client_configure_relayhost_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_delete_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on Kernel Module Unloading - delete_module</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that Shared Library Files Have Restrictive Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_tmp_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Polyinstantiation of /tmp Directories</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set SSH Client Alive Count Max</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_log_format_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Resolve information before writing to audit logs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /var/log/messages File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_log_format_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_credentials_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable checks on credential management</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on passwd File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_credentials_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable PubkeyAuthentication Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_var_log_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /var/log Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-coredump_disable_backtraces_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable core dump backtraces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Mandatory Access Controls</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-coredump_disable_backtraces_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_randomize_va_space_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Randomized Layout of Virtual Address Space</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-coredump_disable_storage_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable storing core dump</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-coredump_disable_storage_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │        </ocil:questionnaires>
│ │ │ │        <ocil:test_actions>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_proc_kcore_action:testaction:1" question_ref="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_strictmodes_action:testaction:1" question_ref="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_timeout_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1" question_ref="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_srv_action:testaction:1" question_ref="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_devkmem_action:testaction:1" question_ref="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_chronyd_enabled_action:testaction:1" question_ref="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_init_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_logon_fail_delay_action:testaction:1" question_ref="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pam_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_private_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_use_priv_separation_action:testaction:1" question_ref="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_hardlinks_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_write_logs_action:testaction:1" question_ref="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_ipv6_option_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_overflow_action_action:testaction:1" question_ref="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1" question_ref="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_0_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-gid_passwd_group_same_action:testaction:1" question_ref="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_home_action:testaction:1" question_ref="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_login_grace_time_action:testaction:1" question_ref="ocil:ssg-sshd_set_login_grace_time_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_proc_kcore_action:testaction:1" question_ref="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_idle_timeout_action:testaction:1" question_ref="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_num_logs_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1" question_ref="ocil:ssg-harden_ssh_client_crypto_policy_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_ntp_installed_action:testaction:1" question_ref="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-ensure_logrotate_activated_action:testaction:1" question_ref="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_key_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_empty_passwords_action:testaction:1" question_ref="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_nss-tools_installed_action:testaction:1" question_ref="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-set_ip6tables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1" question_ref="ocil:ssg-file_permissions_unauthorized_world_writable_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_ptys_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_ptys_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_no_uid_except_zero_action:testaction:1" question_ref="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-ensure_logrotate_activated_action:testaction:1" question_ref="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_ntp_installed_action:testaction:1" question_ref="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-selinux_state_action:testaction:1" question_ref="ocil:ssg-selinux_state_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_yama_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_symlinks_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nodev_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_ip6tables_enabled_action:testaction:1" question_ref="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_backtraces_action:testaction:1" question_ref="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_log_format_action:testaction:1" question_ref="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_init_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_bug_action:testaction:1" question_ref="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_vdso_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_requiretty_action:testaction:1" question_ref="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_fs_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ipv6_action:testaction:1" question_ref="ocil:ssg-kernel_config_ipv6_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_notifiers_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_gnutls-utils_installed_action:testaction:1" question_ref="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_maxstartups_action:testaction:1" question_ref="ocil:ssg-sshd_set_maxstartups_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_profile_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_info_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_info_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1" question_ref="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_fs_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_aide_installed_action:testaction:1" question_ref="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_rekey_limit_action:testaction:1" question_ref="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_vdso_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_memory_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_memory_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nosuid_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nosuid_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_zero_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_gnutls-utils_installed_action:testaction:1" question_ref="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_net-snmp_removed_action:testaction:1" question_ref="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_groupownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_groupownership_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_password_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-no_rsh_trust_files_action:testaction:1" question_ref="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_ptys_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_ptys_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_ownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_ownership_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_logon_fail_delay_action:testaction:1" question_ref="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_ipv6_option_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_zero_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_freq_action:testaction:1" question_ref="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-aide_build_database_action:testaction:1" question_ref="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-no_netrc_files_action:testaction:1" question_ref="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_syslogng_enabled_action:testaction:1" question_ref="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_l1tf_argument_action:testaction:1" question_ref="ocil:ssg-grub2_l1tf_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_adjtimex_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nodev_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_adjtimex_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_home_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1" question_ref="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_sshd_disabled_action:testaction:1" question_ref="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_auth_tries_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_iptables_enabled_action:testaction:1" question_ref="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-configure_user_data_backups_action:testaction:1" question_ref="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_rsyslog_enabled_action:testaction:1" question_ref="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_no_authenticate_action:testaction:1" question_ref="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_brk_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_brk_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-chronyd_server_directive_action:testaction:1" question_ref="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1" question_ref="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_allow_only_protocol2_action:testaction:1" question_ref="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_storage_action:testaction:1" question_ref="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_table_isolation_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_auditd_enabled_action:testaction:1" question_ref="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hibernation_action:testaction:1" question_ref="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_gid_zero_action:testaction:1" question_ref="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_audit_installed_action:testaction:1" question_ref="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ipv6_action:testaction:1" question_ref="ocil:ssg-kernel_config_ipv6_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1" question_ref="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_remote_loghost_action:testaction:1" question_ref="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_sessions_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pam_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_filter_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_forward_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_requiretty_action:testaction:1" question_ref="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_ownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_ownership_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_write_logs_action:testaction:1" question_ref="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_local_events_action:testaction:1" question_ref="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudoers_explicit_command_args_action:testaction:1" question_ref="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_symlinks_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_action:testaction:1" question_ref="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_cron_enabled_action:testaction:1" question_ref="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_l1tf_argument_action:testaction:1" question_ref="ocil:ssg-grub2_l1tf_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_info_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_info_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_systemmap_action:testaction:1" question_ref="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_snmpd_disabled_action:testaction:1" question_ref="ocil:ssg-service_snmpd_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_installed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_hash_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_hardlinks_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1" question_ref="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_relayhost_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_mce_argument_action:testaction:1" question_ref="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_brk_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_brk_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_limit_user_access_action:testaction:1" question_ref="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_var_log_audit_action:testaction:1" question_ref="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_reboot_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_spectre_v2_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_postfix_installed_action:testaction:1" question_ref="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-disallow_bypass_password_sudo_action:testaction:1" question_ref="ocil:ssg-disallow_bypass_password_sudo_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_password_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_mce_argument_action:testaction:1" question_ref="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_ip6tables_enabled_action:testaction:1" question_ref="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_memory_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_memory_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-account_use_centralized_automated_auth_action:testaction:1" question_ref="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_idle_timeout_action:testaction:1" question_ref="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_list_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_compression_action:testaction:1" question_ref="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_audit_installed_action:testaction:1" question_ref="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_groupownership_audit_configuration_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1" question_ref="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_snmpd_disabled_action:testaction:1" question_ref="ocil:ssg-service_snmpd_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_settimeofday_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_net-snmp_removed_action:testaction:1" question_ref="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1" question_ref="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_settimeofday_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_stime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_num_logs_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_credentials_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_allow_only_protocol2_action:testaction:1" question_ref="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_iptables_enabled_action:testaction:1" question_ref="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-no_all_squash_exports_action:testaction:1" question_ref="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_retpoline_action:testaction:1" question_ref="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_auth_tries_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1" question_ref="ocil:ssg-harden_ssh_client_crypto_policy_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_command_negation_action:testaction:1" question_ref="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_syslogng_installed_action:testaction:1" question_ref="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_tipc_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_home_action:testaction:1" question_ref="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1" question_ref="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_nss-tools_installed_action:testaction:1" question_ref="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_retpoline_action:testaction:1" question_ref="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_base_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_remote_loghost_action:testaction:1" question_ref="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_media_export_action:testaction:1" question_ref="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1" question_ref="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-securetty_root_login_console_only_action:testaction:1" question_ref="ocil:ssg-securetty_root_login_console_only_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-selinux_not_disabled_action:testaction:1" question_ref="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_ntp_enabled_action:testaction:1" question_ref="ocil:ssg-service_ntp_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_logrotate_installed_action:testaction:1" question_ref="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-account_unique_name_action:testaction:1" question_ref="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1" question_ref="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_syslogng_enabled_action:testaction:1" question_ref="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlinkat_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1" question_ref="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_gid_zero_action:testaction:1" question_ref="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-no_direct_root_logins_action:testaction:1" question_ref="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-chronyd_specify_remote_server_action:testaction:1" question_ref="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1" question_ref="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-disable_host_auth_action:testaction:1" question_ref="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-selinux_state_action:testaction:1" question_ref="ocil:ssg-selinux_state_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1" question_ref="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_custom_logfile_action:testaction:1" question_ref="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_ntp_enabled_action:testaction:1" question_ref="ocil:ssg-service_ntp_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_rsyslog_installed_action:testaction:1" question_ref="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_spectre_v2_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_vdsm_nopasswd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_faillock_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_rsyslog_enabled_action:testaction:1" question_ref="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_vdsm_nopasswd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1" question_ref="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_disable_recovery_action:testaction:1" question_ref="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_use_pty_action:testaction:1" question_ref="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_removed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1" question_ref="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_messages_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-snmpd_not_default_password_action:testaction:1" question_ref="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chown_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_enable_iommu_force_action:testaction:1" question_ref="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-display_login_attempts_action:testaction:1" question_ref="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hibernation_action:testaction:1" question_ref="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_rekey_limit_action:testaction:1" question_ref="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_profile_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_MFEhiplsm_installed_action:testaction:1" question_ref="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_no_authenticate_action:testaction:1" question_ref="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_no_uid_except_zero_action:testaction:1" question_ref="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_private_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_ufw_enabled_action:testaction:1" question_ref="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-restrict_serial_port_logins_action:testaction:1" question_ref="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_empty_passwords_action:testaction:1" question_ref="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1" question_ref="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_0_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-gid_passwd_group_same_action:testaction:1" question_ref="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_stime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1" question_ref="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_force_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lsetxattr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_overflow_action_action:testaction:1" question_ref="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-prefer_64bit_os_action:testaction:1" question_ref="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1" question_ref="ocil:ssg-file_permissions_unauthorized_world_writable_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_systemd-journald_enabled_action:testaction:1" question_ref="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_use_priv_separation_action:testaction:1" question_ref="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_tmp_action:testaction:1" question_ref="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_forward_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_chronyd_enabled_action:testaction:1" question_ref="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_use_pty_action:testaction:1" question_ref="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_syn_cookies_action:testaction:1" question_ref="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_syslogng_installed_action:testaction:1" question_ref="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1" question_ref="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-configure_user_data_backups_action:testaction:1" question_ref="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_systemd-journald_enabled_action:testaction:1" question_ref="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-no_all_squash_exports_action:testaction:1" question_ref="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_cron_installed_action:testaction:1" question_ref="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-no_direct_root_logins_action:testaction:1" question_ref="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_enable_iommu_force_action:testaction:1" question_ref="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_kerb_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_base_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_local_events_action:testaction:1" question_ref="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_notifiers_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_rsyslog_installed_action:testaction:1" question_ref="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_chrony_installed_action:testaction:1" question_ref="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_all_shadowed_action:testaction:1" question_ref="ocil:ssg-accounts_password_all_shadowed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_groupownership_audit_configuration_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_sshd_disabled_action:testaction:1" question_ref="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_audit_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_tipc_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_login_grace_time_action:testaction:1" question_ref="ocil:ssg-sshd_set_login_grace_time_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slub_debug_action:testaction:1" question_ref="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_permissions_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_all_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_srv_action:testaction:1" question_ref="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_limit_user_access_action:testaction:1" question_ref="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_binfmt_misc_action:testaction:1" question_ref="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_var_log_audit_action:testaction:1" question_ref="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_disable_recovery_action:testaction:1" question_ref="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_dmesg_restrict_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_media_export_action:testaction:1" question_ref="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_kptr_restrict_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_strictmodes_action:testaction:1" question_ref="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_aide_installed_action:testaction:1" question_ref="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_filter_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_sg_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_sg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_syn_cookies_action:testaction:1" question_ref="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_all_shadowed_action:testaction:1" question_ref="ocil:ssg-accounts_password_all_shadowed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_cron_enabled_action:testaction:1" question_ref="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_hash_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1" question_ref="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_bug_action:testaction:1" question_ref="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-account_unique_name_action:testaction:1" question_ref="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_require_authentication_action:testaction:1" question_ref="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_home_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slub_debug_action:testaction:1" question_ref="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_maximum_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_maximum_age_login_defs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-restrict_serial_port_logins_action:testaction:1" question_ref="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_noexec_action:testaction:1" question_ref="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_root_target_action:testaction:1" question_ref="ocil:ssg-sudoers_no_root_target_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-selinux_not_disabled_action:testaction:1" question_ref="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1" question_ref="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_verbose_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_clock_settime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_kptr_restrict_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-chronyd_specify_remote_server_action:testaction:1" question_ref="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_maxstartups_action:testaction:1" question_ref="ocil:ssg-sshd_set_maxstartups_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_chrony_installed_action:testaction:1" question_ref="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_postfix_installed_action:testaction:1" question_ref="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_dev_shm_action:testaction:1" question_ref="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_sg_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_sg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-securetty_root_login_console_only_action:testaction:1" question_ref="ocil:ssg-securetty_root_login_console_only_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_rds_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_rds_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_verbose_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lsetxattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-no_rsh_trust_files_action:testaction:1" question_ref="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudoers_explicit_command_args_action:testaction:1" question_ref="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1" question_ref="ocil:ssg-audit_rules_sysadmin_actions_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_dev_shm_action:testaction:1" question_ref="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_kerb_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_kexec_action:testaction:1" question_ref="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_ufw_enabled_action:testaction:1" question_ref="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_compression_action:testaction:1" question_ref="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_maximum_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_maximum_age_login_defs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_var_log_audit_action:testaction:1" question_ref="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-disallow_bypass_password_sudo_action:testaction:1" question_ref="ocil:ssg-disallow_bypass_password_sudo_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1" question_ref="ocil:ssg-audit_rules_sysadmin_actions_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_permissions_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_immutable_action:testaction:1" question_ref="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_auditd_enabled_action:testaction:1" question_ref="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_tmp_action:testaction:1" question_ref="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chown_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_MFEhiplsm_installed_action:testaction:1" question_ref="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_tmp_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_devkmem_action:testaction:1" question_ref="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_clock_settime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_installed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlinkat_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_systemmap_action:testaction:1" question_ref="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-aide_build_database_action:testaction:1" question_ref="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_sessions_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-account_use_centralized_automated_auth_action:testaction:1" question_ref="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_list_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_kexec_action:testaction:1" question_ref="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_groupownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_groupownership_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ia32_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_ia32_emulation_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_removed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_custom_logfile_action:testaction:1" question_ref="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_syslog_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_audit_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_key_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ia32_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_ia32_emulation_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_root_target_action:testaction:1" question_ref="ocil:ssg-sudoers_no_root_target_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_command_negation_action:testaction:1" question_ref="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_print_last_log_action:testaction:1" question_ref="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_var_log_audit_action:testaction:1" question_ref="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_freq_action:testaction:1" question_ref="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-chronyd_server_directive_action:testaction:1" question_ref="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_yama_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_syslog_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_action:testaction:1" question_ref="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-disable_host_auth_action:testaction:1" question_ref="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_immutable_action:testaction:1" question_ref="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_require_authentication_action:testaction:1" question_ref="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_dmesg_restrict_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_faillock_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_minimum_age_login_defs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_print_last_log_action:testaction:1" question_ref="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-no_netrc_files_action:testaction:1" question_ref="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1" question_ref="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_noexec_action:testaction:1" question_ref="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_table_isolation_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_all_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_force_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_minimum_age_login_defs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-snmpd_not_default_password_action:testaction:1" question_ref="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-display_login_attempts_action:testaction:1" question_ref="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_binfmt_misc_action:testaction:1" question_ref="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_cron_installed_action:testaction:1" question_ref="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_logrotate_installed_action:testaction:1" question_ref="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-set_ip6tables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-prefer_64bit_os_action:testaction:1" question_ref="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1" question_ref="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_reboot_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_timeout_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_relayhost_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_tmp_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_log_format_action:testaction:1" question_ref="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_messages_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_credentials_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_backtraces_action:testaction:1" question_ref="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_storage_action:testaction:1" question_ref="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │        </ocil:test_actions>
│ │ │ │        <ocil:questions>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PROC_KCORE /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PANIC_TIMEOUT /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 limits the number of concurrent sessions to
│ │ │ │ -"" for all
│ │ │ │ -accounts and/or account types with the following command:
│ │ │ │ -$ grep -r -s maxlogins /etc/security/limits.conf /etc/security/limits.d/*.conf
│ │ │ │ -/etc/security/limits.conf:* hard maxlogins 10
│ │ │ │ -This can be set as a global domain (with the * wildcard) but may be set differently for multiple domains.
│ │ │ │ -      Is it the case that the "maxlogins" item is missing, commented out, or the value is set greater
│ │ │ │ -than "&lt;sub idref="var_accounts_max_concurrent_login_sessions" /&gt;" and
│ │ │ │ -is not documented with the Information System Security Officer (ISSO) as an
│ │ │ │ -operational requirement for all domains that have the "maxlogins" item
│ │ │ │ -assigned'?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /srv with the following command:
│ │ │ │ -
│ │ │ │ -$ mountpoint /srv
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's StrictModes option is set, run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that "/srv is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEVKMEM /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that the SA and ISSO (at a minimum) are notified when the audit storage volume is full.
│ │ │ │ +$ sudo grep -i StrictModes /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -Check which action Debian 11 takes when the audit storage volume is full with the following command:
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │ -max_log_file_action = 
│ │ │ │ -      Is it the case that the value of the "max_log_file_action" option is set to "ignore", "rotate", or "suspend", or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured use a non-default faillock directory to ensure contents persist after reboot:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 11 is configured to notify the SA and/or ISSO (at a minimum) in the event of an audit processing failure with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep 'dir =' /etc/security/faillock.conf
│ │ │ │ +$ sudo grep action_mail_acct /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -dir = /var/log/faillock
│ │ │ │ -      Is it the case that the "dir" option is not set to a non-default documented tally log directory, is missing or commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ -/bin
│ │ │ │ -/sbin
│ │ │ │ -/usr/bin
│ │ │ │ -/usr/sbin
│ │ │ │ -/usr/local/bin
│ │ │ │ -/usr/local/sbin
│ │ │ │ -To find system executables directories that are group-writable or
│ │ │ │ -world-writable, run the following command for each directory DIR
│ │ │ │ -which contains system executables:
│ │ │ │ -$ sudo find -L DIR -perm /022 -type d
│ │ │ │ -      Is it the case that any of these files are group-writable or world-writable?</ocil:question_text>
│ │ │ │ +action_mail_acct = 
│ │ │ │ +      Is it the case that the value of the "action_mail_acct" keyword is not set to "&lt;sub idref="var_auditd_action_mail_acct" /&gt;" and/or other accounts for security personnel, the "action_mail_acct" keyword is missing, or the retuned line is commented out, ask the system administrator to indicate how they and the ISSO are notified of an audit process failure. If there is no evidence of the proper personnel being notified of an audit processing failure?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's IgnoreRhosts option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 takes the appropriate action when the audit files have reached maximum size.
│ │ │ │  
│ │ │ │ -$ sudo grep -i IgnoreRhosts /etc/ssh/sshd_config
│ │ │ │ +Check that Debian 11 takes the appropriate action when the audit files have reached maximum size with the following command:
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +max_log_file_action = 
│ │ │ │ +      Is it the case that the value of the "max_log_file_action" option is not "ROTATE", "SINGLE", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full. If there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's UsePAM option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i UsePAM /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /var/log/syslog,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /var/log/syslog
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +syslog
│ │ │ │ +      Is it the case that /var/log/syslog does not have an owner of syslog?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │ -          <ocil:question_text>To properly set the owner of /etc/audit/, run the command:
│ │ │ │ -$ sudo chown root /etc/audit/ 
│ │ │ │ -
│ │ │ │ -To properly set the owner of /etc/audit/rules.d/, run the command:
│ │ │ │ -$ sudo chown root /etc/audit/rules.d/ 
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_SHA512 /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the system commands contained in the following directories are owned by "root" with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin ! -user root -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system commands are found to not be owned by root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +chronyd service:
│ │ │ │ +$ sudo systemctl is-active chronyd
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the chronyd process is not running?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.panic_on_oops kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.panic_on_oops
│ │ │ │ -1.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "init" command with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -unlink system call, run the following command:
│ │ │ │ -$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +$ sudo auditctl -l | grep init
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that Audit Daemon is configured to write logs to the disk, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep write_logs /etc/audit/auditd.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -write_logs = yes
│ │ │ │ -      Is it the case that write_logs isn't set to yes?</ocil:question_text>
│ │ │ │ +-a always,exit -F path=/init -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-init
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/passwd,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/gshadow-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/passwd
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/passwd does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +$ ls -lL /etc/gshadow-
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/gshadow- does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -lremovexattr system call, run the following command:
│ │ │ │ -$ sudo grep "lremovexattr" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 enforces a delay of at least  seconds between console logon prompts following a failed logon attempt with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +$ sudo grep -i "FAIL_DELAY" /etc/login.defs
│ │ │ │ +FAIL_DELAY 
│ │ │ │ +      Is it the case that the value of "FAIL_DELAY" is not set to "&lt;sub idref="var_accounts_fail_delay" /&gt;" or greater, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include slab_nomerge=yes, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*slab_nomerge=yes.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that merging of slabs with similar size is enabled?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupownership_sshd_private_key_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/ssh/*_key,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ssh/*_key
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ssh/*_key does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure ClientAliveInterval is set correctly, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep ClientAliveCountMax /etc/ssh/sshd_config
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_full_action_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 takes the appropriate action when the audit storage volume is full.
│ │ │ │  
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -ClientAliveCountMax 0
│ │ │ │ +Check that Debian 11 takes the appropriate action when the audit storage volume is full with the following command:
│ │ │ │  
│ │ │ │ -In this case, the SSH timeout occurs precisely when
│ │ │ │ -the ClientAliveInterval is set.
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /home with the following command:
│ │ │ │ +$ sudo grep disk_full_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -$ mountpoint /home
│ │ │ │ +disk_full_action = 
│ │ │ │  
│ │ │ │ -      Is it the case that "/home is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ -determine how much data the system will retain in each audit log file:
│ │ │ │ -$ sudo grep max_log_file /etc/audit/auditd.conf
│ │ │ │ -max_log_file = 6
│ │ │ │ -      Is it the case that the system audit data threshold has not been properly configured?</ocil:question_text>
│ │ │ │ +If the value of the "disk_full_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full.
│ │ │ │ +      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to see what the timeout interval is:
│ │ │ │ -$ sudo grep ClientAliveInterval /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -ClientAliveInterval 
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │ +          <ocil:question_text>To check if UsePrivilegeSeparation is enabled or set correctly, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep UsePrivilegeSeparation /etc/ssh/sshd_config
│ │ │ │ +If configured properly, output should be .
│ │ │ │ +      Is it the case that it is commented out or is not enabled?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.shared_media kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_hardlinks_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the fs.protected_hardlinks kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.shared_media
│ │ │ │ -0.
│ │ │ │ +$ sysctl fs.protected_hardlinks
│ │ │ │ +1.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ -determine how many logs the system is configured to retain after rotation:
│ │ │ │ -$ sudo grep num_logs /etc/audit/auditd.conf
│ │ │ │ -num_logs = 5
│ │ │ │ -      Is it the case that the system log file retention has not been properly configured?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -init_module system call, run the following command:
│ │ │ │ -$ sudo grep "init_module" /etc/audit/audit.*
│ │ │ │ +delete_module system call, run the following command:
│ │ │ │ +$ sudo grep "delete_module" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that the audit system collects unauthorized file accesses, run the following commands:
│ │ │ │ -$ sudo grep EACCES /etc/audit/audit.rules
│ │ │ │ -$ sudo grep EPERM /etc/audit/audit.rules
│ │ │ │ -      Is it the case that 32-bit and 64-bit system calls to creat, open, openat, open_by_handle_at, truncate, and ftruncate are not audited during EACCES and EPERM?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the status and frequency of logrotate, run the following command:
│ │ │ │ -$ sudo grep logrotate /var/log/cron*
│ │ │ │ -If logrotate is configured properly, output should include references to
│ │ │ │ -/etc/cron.daily.
│ │ │ │ -      Is it the case that logrotate is not configured to run daily?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PermitEmptyPasswords option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i PermitEmptyPasswords /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_module_ipv6_option_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +If the system is configured to disable the
│ │ │ │ +ipv6 kernel module, it will contain a line
│ │ │ │ +of the form:
│ │ │ │ +options ipv6 disable=1
│ │ │ │ +Such lines may be inside any file in /etc/modprobe.d or the
│ │ │ │ +deprecated/etc/modprobe.conf.  This permits insertion of the IPv6
│ │ │ │ +kernel module (which other parts of the system expect to be present), but
│ │ │ │ +otherwise keeps it inactive.  Run the following command to search for such
│ │ │ │ +lines in all files in /etc/modprobe.d and the deprecated
│ │ │ │ +/etc/modprobe.conf:
│ │ │ │ +$ grep -r ipv6 /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ +      Is it the case that the ipv6 kernel module is not disabled?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.route_localnet kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.route_localnet
│ │ │ │ -0.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the audit system is configured to take an appropriate action when the internal event queue is full:
│ │ │ │ +$ sudo grep -i overflow_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the nss-tools package is installed: $ dpkg -l  nss-tools
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -umount2 system call, run the following command:
│ │ │ │ -$ sudo grep "umount2" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +The output should contain overflow_action = syslog
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_unauthorized_world_writable_question:question:1">
│ │ │ │ -          <ocil:question_text>To find world-writable files, run the following command:
│ │ │ │ -$ sudo find / -xdev -type f -perm -002
│ │ │ │ -      Is it the case that there is output?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that only the "root" account has a UID "0" assignment with the
│ │ │ │ -following command:
│ │ │ │ -$ awk -F: '$3 == 0 {print $1}' /etc/passwd
│ │ │ │ -root
│ │ │ │ -      Is it the case that any accounts other than "root" have a UID of "0"?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the ntp package is installed: $ dpkg -l  ntp
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +If the value of the "overflow_action" option is not set to syslog,
│ │ │ │ +single, halt or the line is commented out, ask the System Administrator
│ │ │ │ +to indicate how the audit logs are off-loaded to a different system or media.
│ │ │ │ +      Is it the case that auditd overflow action is not set correctly?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-selinux_state_question:question:1">
│ │ │ │ -          <ocil:question_text>Ensure that Debian 11 verifies correct operation of security functions.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │  
│ │ │ │ -Check if "SELinux" is active and in "" mode with the following command:
│ │ │ │ +$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -$ sudo getenforce
│ │ │ │ +If a line indicating /etc/issue.net is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -      Is it the case that SELINUX is not set to enforcing?</ocil:question_text>
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/passwd-,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/shadow,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/passwd-
│ │ │ │ +$ ls -lL /etc/shadow
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/passwd- does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_symlinks_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the fs.protected_symlinks kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl fs.protected_symlinks
│ │ │ │ -1.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>If IPv6 is disabled, this is not applicable.
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -Run the following command to determine the current status of the
│ │ │ │ -ip6tables service:
│ │ │ │ -$ sudo systemctl is-active ip6tables
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit attempts to
│ │ │ │ -alter time via the /etc/localtime file, run the following
│ │ │ │ -command:
│ │ │ │ -$ sudo auditctl -l | grep "watch=/etc/localtime"
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -      Is it the case that the system is not configured to audit time changes?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/shadow does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchown system call, run the following command:
│ │ │ │ -$ sudo grep "fchown" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure all GIDs referenced in /etc/passwd are defined in /etc/group,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo pwck -qr
│ │ │ │ +There should be no output.
│ │ │ │ +      Is it the case that GIDs referenced in /etc/passwd are returned as not defined in /etc/group?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure ClientAliveInterval is set correctly, run the following command:
│ │ │ │ -$ sudo grep ClientAliveCountMax /etc/ssh/sshd_config
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_login_grace_time_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure LoginGraceTime is set correctly, run the following command:
│ │ │ │ +$ sudo grep LoginGraceTime /etc/ssh/sshd_config
│ │ │ │  If properly configured, the output should be:
│ │ │ │ -ClientAliveCountMax 
│ │ │ │ -For SSH earlier than v8.2, a ClientAliveCountMax value of 0 causes a timeout precisely when
│ │ │ │ -the ClientAliveInterval is set.  Starting with v8.2, a value of 0 disables the timeout
│ │ │ │ -functionality completely.
│ │ │ │ -If the option is set to a number greater than 0, then the session will be disconnected after
│ │ │ │ -ClientAliveInterval * ClientAliveCountMax seconds without receiving a keep alive message.
│ │ │ │ +LoginGraceTime 
│ │ │ │ +If the option is set to a number greater than 0, then the unauthenticated session will be disconnected
│ │ │ │ +after the configured number seconds.
│ │ │ │        Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "init" command with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep init
│ │ │ │ -
│ │ │ │ --a always,exit -F path=/init -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-init
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/passwd,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/passwd
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/passwd does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_COMPAT_VDSO /boot/config.*
│ │ │ │ +    $ grep CONFIG_PROC_KCORE /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if requiretty has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults.*\brequiretty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that requiretty is not enabled in sudo?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the password warning age, run the command:
│ │ │ │ +$ grep PASS_WARN_AGE /etc/login.defs
│ │ │ │ +The DoD requirement is 7.
│ │ │ │ +      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │ -          <ocil:question_text>Make sure that the kernel is not disabling SMAP with the following
│ │ │ │ -commands.
│ │ │ │ -grep -q nosmap /boot/config-`uname -r`
│ │ │ │ -If the command returns a line, it means that SMAP is being disabled.
│ │ │ │ -      Is it the case that the kernel is configured to disable SMAP?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "shutdown" command with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo auditctl -l | grep shutdown
│ │ │ │ +
│ │ │ │ +-a always,exit -F path=/shutdown -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-shutdown
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_NOTIFIERS /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-harden_ssh_client_crypto_policy_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify if the OpenSSH Client uses defined Crypto Policy, run:
│ │ │ │ +$ cat /etc/ssh/ssh_config.d/02-ospp.conf
│ │ │ │ +and verify that the line matches
│ │ │ │ +Match final all
│ │ │ │ +RekeyLimit 512M 1h
│ │ │ │ +GSSAPIAuthentication no
│ │ │ │ +Ciphers aes256-ctr,aes256-cbc,aes128-ctr,aes128-cbc
│ │ │ │ +PubkeyAcceptedKeyTypes ssh-rsa,ecdsa-sha2-nistp384,ecdsa-sha2-nistp256
│ │ │ │ +MACs hmac-sha2-512,hmac-sha2-256
│ │ │ │ +KexAlgorithms ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group14-sha1
│ │ │ │ +      Is it the case that Crypto Policy for OpenSSH Client is not configured according to CC requirements?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's GSSAPIAuthentication option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i GSSAPIAuthentication /etc/ssh/sshd_config
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +$ grep nullok /etc/pam.d/system-auth /etc/pam.d/password-auth
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +If this produces any output, it may be possible to log into accounts
│ │ │ │ +with empty passwords. Remove any instances of the nullok option to
│ │ │ │ +prevent logins with empty passwords.
│ │ │ │ +      Is it the case that NULL passwords can be used?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the gnutls-utils package is installed: $ dpkg -l  gnutls-utils
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the ntp package is installed: $ dpkg -l  ntp
│ │ │ │        Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the system commands contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin -perm /022 -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system commands are found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ +/bin
│ │ │ │ +/sbin
│ │ │ │ +/usr/bin
│ │ │ │ +/usr/local/bin
│ │ │ │ +/usr/local/sbin
│ │ │ │ +/usr/sbin
│ │ │ │ +For each of these directories, run the following command to find files
│ │ │ │ +not owned by root:
│ │ │ │ +$ sudo find -L DIR/ ! -user root -type d -exec chown root {} \;
│ │ │ │ +      Is it the case that any system executables directories are found to not be owned by root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/lastlog" with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_KEY /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to ensure that /var/tmp is configured as a
│ │ │ │ +polyinstantiated directory:
│ │ │ │ +$ sudo grep /var/tmp /etc/security/namespace.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +/var/tmp /var/tmp/tmp-inst/    level      root,adm
│ │ │ │ +      Is it the case that is not configured?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that the SA and ISSO (at a minimum) are notified when the audit storage volume is full.
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep /var/log/lastlog
│ │ │ │ +Check which action Debian 11 takes when the audit storage volume is full with the following command:
│ │ │ │  
│ │ │ │ --w /var/log/lastlog -p wa -k logins
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │ +max_log_file_action = 
│ │ │ │ +      Is it the case that the value of the "max_log_file_action" option is set to "ignore", "rotate", or "suspend", or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 11 is configured to notify the SA and/or ISSO (at a minimum) in the event of an audit processing failure with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep action_mail_acct /etc/audit/auditd.conf
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │ +          <ocil:question_text>If IPv6 is disabled, this is not applicable.
│ │ │ │  
│ │ │ │ -action_mail_acct = 
│ │ │ │ -      Is it the case that the value of the "action_mail_acct" keyword is not set to "&lt;sub idref="var_auditd_action_mail_acct" /&gt;" and/or other accounts for security personnel, the "action_mail_acct" keyword is missing, or the retuned line is commented out, ask the system administrator to indicate how they and the ISSO are notified of an audit process failure. If there is no evidence of the proper personnel being notified of an audit processing failure?</ocil:question_text>
│ │ │ │ +Inspect the file /etc/sysconfig/ip6tables to determine
│ │ │ │ +the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ +$ sudo grep ":INPUT" /etc/sysconfig/ip6tables
│ │ │ │ +      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_loglevel_info_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's LogLevel option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i LogLevel /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If a line indicating INFO is returned, then the required value is set.
│ │ │ │ +If a line indicating /etc/issue is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the system-wide shared library files contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 -perm /022 -type f -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system-wide shared library file is found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_ptys_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_FS /boot/config.*
│ │ │ │ +    $ grep CONFIG_LEGACY_PTYS /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the aide package is installed: $ dpkg -l  aide
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the status and frequency of logrotate, run the following command:
│ │ │ │ +$ sudo grep logrotate /var/log/cron*
│ │ │ │ +If logrotate is configured properly, output should include references to
│ │ │ │ +/etc/cron.daily.
│ │ │ │ +      Is it the case that logrotate is not configured to run daily?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │ -          <ocil:question_text>To check if RekeyLimit is set correctly, run the
│ │ │ │ -following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep RekeyLimit /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If configured properly, output should be
│ │ │ │ -RekeyLimit  
│ │ │ │ -      Is it the case that it is commented out or is not set?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/ssh/*.pub,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ssh/*.pub
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ssh/*.pub does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_randomize_memory_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_RANDOMIZE_MEMORY /boot/config.*
│ │ │ │ +    $ grep CONFIG_SECURITY_YAMA /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_dev_shm_nosuid_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the nosuid option is configured for the /dev/shm mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/dev/shm\s'
│ │ │ │ -    . . . /dev/shm . . . nosuid . . .
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the operating system encrypts audit records off-loaded onto a different system
│ │ │ │ +or media from the system being audited with the following commands:
│ │ │ │  
│ │ │ │ -      Is it the case that the "/dev/shm" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │ +$ sudo grep -i '$ActionSendStreamDriverMode' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │  
│ │ │ │ -$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │ +The output should be:
│ │ │ │  
│ │ │ │ -If a line indicating /etc/issue is returned, then the required value is set.
│ │ │ │ +/etc/rsyslog.conf:$ActionSendStreamDriverMode 1
│ │ │ │ +      Is it the case that rsyslogd ActionSendStreamDriverMode is not set to 1?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_dev_shm_nodev_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the nodev option is configured for the /dev/shm mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/dev/shm\s'
│ │ │ │ +    . . . /dev/shm . . . nodev . . .
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/dev/shm" file system does not have the "nodev" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/group-,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/group,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/group-
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/group- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-rsyslog_files_groupownership_question:question:1">
│ │ │ │ -          <ocil:question_text>The group-owner of all log files written by rsyslog should be
│ │ │ │ -adm.
│ │ │ │ -These log files are determined by the second part of each Rule line in
│ │ │ │ -/etc/rsyslog.conf and typically all appear in /var/log.
│ │ │ │ -To see the group-owner of a given log file, run the following command:
│ │ │ │ -$ ls -l LOGFILE
│ │ │ │ -      Is it the case that the group-owner is not correct?</ocil:question_text>
│ │ │ │ +$ ls -lL /etc/group
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/group does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 disables core dump backtraces by issuing the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │ +$ grep -i process /etc/systemd/coredump.conf
│ │ │ │  
│ │ │ │ -If a line indicating prohibit-password is returned, then the required value is set.
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if NOPASSWD has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri nopasswd /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that nopasswd is specified in the sudo config files?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │ -          <ocil:question_text>The existence of the file /etc/hosts.equiv or a file named
│ │ │ │ -.rhosts inside a user home directory indicates the presence
│ │ │ │ -of an Rsh trust relationship.
│ │ │ │ -      Is it the case that these files exist?</ocil:question_text>
│ │ │ │ +ProcessSizeMax=0
│ │ │ │ +      Is it the case that the "ProcessSizeMax" item is missing, commented out, or the value is anything other than "0" and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -renameat system call, run the following command:
│ │ │ │ -$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │ +fchownat system call, run the following command:
│ │ │ │ +$ sudo grep "fchownat" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_ptys_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that Audit Daemon is configured to resolve all uid, gid, syscall,
│ │ │ │ +architecture, and socket address information before writing the event to disk,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo grep log_format /etc/audit/auditd.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +log_format = ENRICHED
│ │ │ │ +      Is it the case that log_format isn't set to ENRICHED?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_LEGACY_PTYS /boot/config.*
│ │ │ │ +    $ grep CONFIG_X86_VSYSCALL_EMULATION /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 enforces a delay of at least  seconds between console logon prompts following a failed logon attempt with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i "FAIL_DELAY" /etc/login.defs
│ │ │ │ -FAIL_DELAY 
│ │ │ │ -      Is it the case that the value of "FAIL_DELAY" is not set to "&lt;sub idref="var_accounts_fail_delay" /&gt;" or greater, or the line is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 takes the appropriate action when an audit processing failure occurs.
│ │ │ │ -
│ │ │ │ -Check that Debian 11 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -disk_error_action = HALT
│ │ │ │ -
│ │ │ │ -If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ -      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 takes the appropriate action when the audit storage volume is full.
│ │ │ │ -
│ │ │ │ -Check that Debian 11 takes the appropriate action when the audit storage volume is full with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep disk_full_action /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -disk_full_action = 
│ │ │ │ -
│ │ │ │ -If the value of the "disk_full_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full.
│ │ │ │ -      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_module_ipv6_option_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │ -
│ │ │ │ -If the system is configured to disable the
│ │ │ │ -ipv6 kernel module, it will contain a line
│ │ │ │ -of the form:
│ │ │ │ -options ipv6 disable=1
│ │ │ │ -Such lines may be inside any file in /etc/modprobe.d or the
│ │ │ │ -deprecated/etc/modprobe.conf.  This permits insertion of the IPv6
│ │ │ │ -kernel module (which other parts of the system expect to be present), but
│ │ │ │ -otherwise keeps it inactive.  Run the following command to search for such
│ │ │ │ -lines in all files in /etc/modprobe.d and the deprecated
│ │ │ │ -/etc/modprobe.conf:
│ │ │ │ -$ grep -r ipv6 /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ -      Is it the case that the ipv6 kernel module is not disabled?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_zero_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PAGE_POISONING_ZERO /boot/config.*
│ │ │ │ +    $ grep CONFIG_BUG /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │ -          <ocil:question_text>To find the location of the AIDE database file, run the following command:
│ │ │ │ -$ sudo ls -l DBDIR/database_file_name
│ │ │ │ -      Is it the case that there is no database file?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit changes to its SELinux
│ │ │ │ -configuration files, run the following command:
│ │ │ │ -$ sudo auditctl -l | grep "dir=/usr/share/selinux"
│ │ │ │ -If the system is configured to watch for changes to its SELinux
│ │ │ │ -configuration, a line should be returned (including
│ │ │ │ -perm=wa indicating permissions that are watched).
│ │ │ │ -      Is it the case that the system is not configured to audit attempts to change the MAC policy?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/gshadow-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/gshadow-
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +shadow
│ │ │ │ +      Is it the case that /etc/gshadow- does not have a group owner of shadow?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -syslog-ng service:
│ │ │ │ -$ sudo systemctl is-active syslog-ng
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the "syslog-ng" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_DEBUG_FS /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_ipv6_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PAGE_POISONING_NO_SANITY /boot/config.*
│ │ │ │ +    $ grep CONFIG_IPV6 /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_dev_shm_nodev_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the nodev option is configured for the /dev/shm mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/dev/shm\s'
│ │ │ │ -    . . . /dev/shm . . . nodev . . .
│ │ │ │ -
│ │ │ │ -      Is it the case that the "/dev/shm" file system does not have the "nodev" option set?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the file /etc/sysconfig/iptables to determine
│ │ │ │ +the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ +$ sudo grep ":INPUT" /etc/sysconfig/iptables
│ │ │ │ +      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -adjtimex system call, run the following command:
│ │ │ │ -$ sudo grep "adjtimex" /etc/audit/audit.*
│ │ │ │ +chmod system call, run the following command:
│ │ │ │ +$ sudo grep "chmod" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/ssh/*.pub,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/ssh/*.pub,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/ssh/*.pub
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/ssh/*.pub does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │ -          <ocil:question_text>To properly set the permissions of /etc/audit/, run the command:
│ │ │ │ -$ sudo chmod 0640 /etc/audit/
│ │ │ │ -
│ │ │ │ -To properly set the permissions of /etc/audit/rules.d/, run the command:
│ │ │ │ -$ sudo chmod 0640 /etc/audit/rules.d/
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure the MaxAuthTries parameter is set, run the following command:
│ │ │ │ -$ sudo grep MaxAuthTries /etc/ssh/sshd_config
│ │ │ │ -If properly configured, output should be:
│ │ │ │ -MaxAuthTries 
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -iptables service:
│ │ │ │ -$ sudo systemctl is-active iptables
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -rsyslog service:
│ │ │ │ -$ sudo systemctl is-active rsyslog
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the "rsyslog" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │ -          <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │ -
│ │ │ │ -If the system is configured to prevent the usage of the ipv6 on
│ │ │ │ -network interfaces, it will contain a line of the form:
│ │ │ │ -net.ipv6.conf.all.disable_ipv6 = 1
│ │ │ │ -Such lines may be inside any file in the /etc/sysctl.d directory.
│ │ │ │ -This permits insertion of the IPv6 kernel module (which other parts of the
│ │ │ │ -system expect to be present), but otherwise keeps all network interfaces
│ │ │ │ -from using IPv6. Run the following command to search for such lines in all
│ │ │ │ -files in /etc/sysctl.d:
│ │ │ │ -$ grep -r ipv6 /etc/sysctl.d
│ │ │ │ -      Is it the case that the ipv6 support is disabled on all network interfaces?</ocil:question_text>
│ │ │ │ +$ ls -lL /etc/ssh/*.pub
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ssh/*.pub does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/shadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/shadow-
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /etc/shadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_maxstartups_question:question:1">
│ │ │ │ +          <ocil:question_text>To check if MaxStartups is configured, run the following command:
│ │ │ │ +$ sudo grep -r ^[\s]*MaxStartups /etc/ssh/sshd_config*
│ │ │ │ +If configured, this command should output the configuration.
│ │ │ │ +      Is it the case that maxstartups is not configured?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command and verify that time sources are only configured with server directive:
│ │ │ │ -# grep -E "^(server|pool)" /etc/chrony.conf
│ │ │ │ -A line with the appropriate server should be returned, any line returned starting with pool is a finding.
│ │ │ │ -      Is it the case that an authoritative remote time server is not configured or configured with pool directive?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the umask setting is configured correctly in the /etc/profile file
│ │ │ │ +or scripts within /etc/profile.d directory with the following command:
│ │ │ │ +$ grep "umask" /etc/profile*
│ │ │ │ +umask 
│ │ │ │ +      Is it the case that the value for the "umask" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;",
│ │ │ │ +or the "umask" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/shadow,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /var/log,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/shadow
│ │ │ │ +$ ls -lL /var/log
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/shadow does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /var/log does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "poweroff" command with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure that XDMCP is disabled in /etc/gdm/custom.conf, run the following command:
│ │ │ │ +grep -Pzo "\[xdmcp\]\nEnable=false" /etc/gdm/custom.conf
│ │ │ │ +The output should return the following:
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep poweroff
│ │ │ │ +[xdmcp]
│ │ │ │ +Enable=false
│ │ │ │  
│ │ │ │ --a always,exit -F path=/poweroff -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-poweroff
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the Enable is not set to false or is missing in the xdmcp section of the /etc/gdm/custom.conf gdm configuration file?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's IgnoreUserKnownHosts option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │ +          <ocil:question_text>Make sure that the kernel is not disabling SMEP with the following
│ │ │ │ +commands.
│ │ │ │ +grep -q nosmep /boot/config-`uname -r`
│ │ │ │ +If the command returns a line, it means that SMEP is being disabled.
│ │ │ │ +      Is it the case that the kernel is configured to disable SMEP?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/passwd,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/passwd
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/passwd does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the truncate system call.
│ │ │ │  
│ │ │ │ -$ sudo grep -i IgnoreUserKnownHosts /etc/ssh/sshd_config
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +$ sudo grep -r truncate /etc/audit/rules.d
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 disables storing core dumps for all users by issuing the following command:
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │  
│ │ │ │ -$ grep -i storage /etc/systemd/coredump.conf
│ │ │ │ +$ sudo grep truncate /etc/audit/audit.rules
│ │ │ │  
│ │ │ │ -Storage=none
│ │ │ │ -      Is it the case that Storage is not set to none or is commented out and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -auditd service:
│ │ │ │ -$ sudo systemctl is-active auditd
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the auditd service is not running?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchownat system call, run the following command:
│ │ │ │ -$ sudo grep "fchownat" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +The output should be the following:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the audit package is installed: $ dpkg -l  audit
│ │ │ │ -      Is it the case that the audit package is not installed?</ocil:question_text>
│ │ │ │ +-a always,exit -F arch=b32 -S truncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S truncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S truncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S truncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_ipv6_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_IPV6 /boot/config.*
│ │ │ │ +    $ grep CONFIG_COMPAT_VDSO /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include rng_core.default_quality=, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*rng_core.default_quality=.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that trust on hardware random number generator is not configured appropriately?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_dev_shm_nosuid_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the nosuid option is configured for the /dev/shm mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/dev/shm\s'
│ │ │ │ +    . . . /dev/shm . . . nosuid . . .
│ │ │ │ +
│ │ │ │ +      Is it the case that the "/dev/shm" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_zero_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_X86_VSYSCALL_EMULATION /boot/config.*
│ │ │ │ +    $ grep CONFIG_PAGE_POISONING_ZERO /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit changes to its network configuration,
│ │ │ │ -run the following command:
│ │ │ │ -auditctl -l | grep -E '(/etc/issue|/etc/issue.net|/etc/hosts|/etc/sysconfig/network)'
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the gnutls-utils package is installed: $ dpkg -l  gnutls-utils
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the snmp package is installed:
│ │ │ │ +$ dpkg -l  snmp
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +lremovexattr system call, run the following command:
│ │ │ │ +$ sudo grep "lremovexattr" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -If the system is configured to watch for network configuration changes, a line should be returned for
│ │ │ │ -each file specified (and perm=wa should be indicated for each).
│ │ │ │ -      Is it the case that the system is not configured to audit changes of the network configuration?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/gshadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/gshadow-
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/gshadow- does not have an owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │ +          <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ +$ sudo postconf alias_maps
│ │ │ │ +Query the Postfix alias maps for an alias for the root user:
│ │ │ │ +$ sudo postmap -q root hash:/etc/aliases
│ │ │ │ +The output should return an alias.
│ │ │ │ +      Is it the case that the alias is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to ensure the default FORWARD policy is DROP:
│ │ │ │ -grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ -The output should be similar to the following:
│ │ │ │ -$ sudo grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ -:FORWARD DROP [0:0
│ │ │ │ -      Is it the case that the default policy for the FORWARD chain is not set to DROP?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>If the device or Debian 11 does not have a camera installed, this requirement is not applicable.
│ │ │ │ +
│ │ │ │ +This requirement is not applicable to mobile devices (smartphones and tablets), where the use of the camera is a local AO decision.
│ │ │ │ +
│ │ │ │ +This requirement is not applicable to dedicated VTC suites located in approved VTC locations that are centrally managed.
│ │ │ │ +
│ │ │ │ +For an external camera, if there is not a method for the operator to manually disconnect the camera at the end of collaborative computing sessions, this is a finding.
│ │ │ │ +
│ │ │ │ +For a built-in camera, the camera must be protected by a camera cover (e.g., laptop camera cover slide) when not in use. If the built-in camera is not protected with a camera cover, or is not physically disabled, this is a finding.
│ │ │ │ +
│ │ │ │ +If the camera is not disconnected, covered, or physically disabled, determine if it is being disabled via software with the following commands:
│ │ │ │ +
│ │ │ │ +Verify the operating system disables the ability to load the uvcvideo kernel module.
│ │ │ │ +
│ │ │ │ +$ sudo grep -r uvcvideo /etc/modprobe.d/* | grep "/bin/true"
│ │ │ │ +
│ │ │ │ +install uvcvideo /bin/true
│ │ │ │ +      Is it the case that the command does not return any output, or the line is commented out, and the collaborative computing device has not been authorized for use?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +renameat system call, run the following command:
│ │ │ │ +$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.accept_local kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.accept_local
│ │ │ │ +0.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-rsyslog_files_ownership_question:question:1">
│ │ │ │            <ocil:question_text>The owner of all log files written by rsyslog should be
│ │ │ │  
│ │ │ │  adm.
│ │ │ │  
│ │ │ │  These log files are determined by the second part of each Rule line in
│ │ │ │  /etc/rsyslog.conf and typically all appear in /var/log.
│ │ │ │  To see the owner of a given log file, run the following command:
│ │ │ │  $ ls -l LOGFILE
│ │ │ │        Is it the case that the owner is not correct?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/group,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/gshadow,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/group
│ │ │ │ +$ ls -lL /etc/gshadow
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/group does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that Audit Daemon is configured to include local events, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep local_events /etc/audit/auditd.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -local_events = yes
│ │ │ │ -      Is it the case that local_events isn't set to yes?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/gshadow does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's GSSAPIAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i GSSAPIAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If a line indicating /etc/issue.net is returned, then the required value is set.
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the operating system encrypts audit records off-loaded onto a different system
│ │ │ │ -or media from the system being audited with the following commands:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i '$ActionSendStreamDriverMode' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │ +          <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │  
│ │ │ │ -The output should be:
│ │ │ │ +If the system is configured to prevent the usage of the ipv6 on
│ │ │ │ +network interfaces, it will contain a line of the form:
│ │ │ │ +net.ipv6.conf.default.disable_ipv6 = 1
│ │ │ │ +Such lines may be inside any file in the /etc/sysctl.d directory.
│ │ │ │ +This permits insertion of the IPv6 kernel module (which other parts of the
│ │ │ │ +system expect to be present), but otherwise keeps network interfaces
│ │ │ │ +from using IPv6. Run the following command to search for such lines in all
│ │ │ │ +files in /etc/sysctl.d:
│ │ │ │ +$ grep -r ipv6 /etc/sysctl.d
│ │ │ │ +      Is it the case that the ipv6 support is disabled by default on network interfaces?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +rename system call, run the following command:
│ │ │ │ +$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -/etc/rsyslog.conf:$ActionSendStreamDriverMode 1
│ │ │ │ -      Is it the case that rsyslogd ActionSendStreamDriverMode is not set to 1?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /var with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that Audit Daemon is configured to flush to disk after
│ │ │ │ +every  records, run the following command:
│ │ │ │ +$ sudo grep freq /etc/audit/auditd.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +freq = 
│ │ │ │ +      Is it the case that freq isn't set to &lt;sub idref="var_auditd_freq" /&gt;?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the system commands contained in the following directories are owned by "root" with the following command:
│ │ │ │  
│ │ │ │ -$ mountpoint /var
│ │ │ │ +$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin ! -user root -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system commands are found to not be owned by root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +fchown system call, run the following command:
│ │ │ │ +$ sudo grep "fchown" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -      Is it the case that "/var is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the system for the existence of any .netrc files,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo find /home -xdev -name .netrc
│ │ │ │ +      Is it the case that any .netrc files exist?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-grub2_l1tf_argument_question:question:1">
│ │ │ │            <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │  in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │  If they include l1tf=, then the parameter
│ │ │ │  is configured at boot time.
│ │ │ │  $ sudo grep 'kernelopts.*l1tf=.*' GRUBENV_FILE_LOCATION
│ │ │ │  Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │        Is it the case that l1tf mitigations are not configured appropriately?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /var/log/messages,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /var/log/messages
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /var/log/messages does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/gshadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/gshadow-
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /etc/gshadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the openssh-server package is installed: $ dpkg -l  openssh-server
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +adjtimex system call, run the following command:
│ │ │ │ +$ sudo grep "adjtimex" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_hardlinks_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the fs.protected_hardlinks kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl fs.protected_hardlinks
│ │ │ │ -1.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │ +          <ocil:question_text>To check which SSH protocol version is allowed, check version of
│ │ │ │ +openssh-server with following command:
│ │ │ │ +$ rpm -qi openssh-server | grep Version
│ │ │ │ +Versions equal to or higher than 7.4 have deprecated the RhostsRSAAuthentication option.
│ │ │ │ +If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ +To determine how the SSH daemon's RhostsRSAAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +$ sudo grep -i RhostsRSAAuthentication /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to ensure postfix routes mail to this system:
│ │ │ │ -$ grep relayhost /etc/postfix/main.cf
│ │ │ │ -If properly configured, the output should show only .
│ │ │ │ -      Is it the case that it is not?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure the user home directory is not group-writable or world-readable, run the following:
│ │ │ │ +# ls -ld /home/USER
│ │ │ │ +      Is it the case that the user home directory is group-writable or world-readable?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure write permissions are disabled for group and other
│ │ │ │ + for each element in root's path, run the following command:
│ │ │ │ +# ls -ld DIR
│ │ │ │ +      Is it the case that group or other write permissions exist?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>To check that the sshd service is disabled in system boot configuration,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo systemctl is-enabled sshd
│ │ │ │ +Output should indicate the sshd service has either not been installed,
│ │ │ │ +or has been disabled at all runlevels, as shown in the example below:
│ │ │ │ +$ sudo systemctl is-enabled sshd disabled
│ │ │ │  
│ │ │ │ -$ sudo grep audit /etc/security/faillock.conf
│ │ │ │ +Run the following command to verify sshd is not active (i.e. not running) through current runtime configuration:
│ │ │ │ +$ sudo systemctl is-active sshd
│ │ │ │  
│ │ │ │ -audit
│ │ │ │ -      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │ +If the service is not running the command will return the following output:
│ │ │ │ +inactive
│ │ │ │ +
│ │ │ │ +The service will also be masked, to check that the sshd is masked, run the following command:
│ │ │ │ +$ sudo systemctl show sshd | grep "LoadState\|UnitFileState"
│ │ │ │ +
│ │ │ │ +If the service is masked the command will return the following outputs:
│ │ │ │ +
│ │ │ │ +LoadState=masked
│ │ │ │ +
│ │ │ │ +UnitFileState=masked
│ │ │ │ +      Is it the case that the "sshd" is loaded and not masked?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │ +          <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │ +
│ │ │ │ +If the system is configured to prevent the usage of the ipv6 on
│ │ │ │ +network interfaces, it will contain a line of the form:
│ │ │ │ +net.ipv6.conf.all.disable_ipv6 = 1
│ │ │ │ +Such lines may be inside any file in the /etc/sysctl.d directory.
│ │ │ │ +This permits insertion of the IPv6 kernel module (which other parts of the
│ │ │ │ +system expect to be present), but otherwise keeps all network interfaces
│ │ │ │ +from using IPv6. Run the following command to search for such lines in all
│ │ │ │ +files in /etc/sysctl.d:
│ │ │ │ +$ grep -r ipv6 /etc/sysctl.d
│ │ │ │ +      Is it the case that the ipv6 support is disabled on all network interfaces?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that the system backups user data.
│ │ │ │ +      Is it the case that it is not?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_shadow_question:question:1">
│ │ │ │            <ocil:question_text>To check the ownership of /etc/shadow-,
│ │ │ │  run the command:
│ │ │ │  $ ls -lL /etc/shadow-
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │        Is it the case that /etc/shadow- does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if !authenticate has not been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -r \!authenticate /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that !authenticate is specified in the sudo config files?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-kernel_config_compat_brk_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │      $ grep CONFIG_COMPAT_BRK /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the open system call.
│ │ │ │ -
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │ +          <ocil:question_text>To properly set the permissions of /etc/audit/, run the command:
│ │ │ │ +$ sudo chmod 0640 /etc/audit/
│ │ │ │  
│ │ │ │ -$ sudo grep -r open /etc/audit/rules.d
│ │ │ │ +To properly set the permissions of /etc/audit/rules.d/, run the command:
│ │ │ │ +$ sudo chmod 0640 /etc/audit/rules.d/
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include rng_core.default_quality=, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*rng_core.default_quality=.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that trust on hardware random number generator is not configured appropriately?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │ +          <ocil:question_text>To check which SSH protocol version is allowed, check version of openssh-server with following command:
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +$ dpkg -s openssh-server | grep Version
│ │ │ │  
│ │ │ │ -$ sudo grep open /etc/audit/audit.rules
│ │ │ │ +Versions equal to or higher than 7.4 only allow Protocol 2.
│ │ │ │ +If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ +$ sudo grep Protocol /etc/ssh/sshd_config
│ │ │ │ +If configured properly, output should be Protocol 2
│ │ │ │ +      Is it the case that it is commented out or is not set correctly to Protocol 2?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/lastlog" with the following command:
│ │ │ │  
│ │ │ │ -The output should be the following:
│ │ │ │ +$ sudo auditctl -l | grep /var/log/lastlog
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-w /var/log/lastlog -p wa -k logins
│ │ │ │        Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit changes to its SELinux
│ │ │ │ -configuration files, run the following command:
│ │ │ │ -$ sudo auditctl -l | grep "dir=/etc/selinux"
│ │ │ │ -If the system is configured to watch for changes to its SELinux
│ │ │ │ -configuration, a line should be returned (including
│ │ │ │ -perm=wa indicating permissions that are watched).
│ │ │ │ -      Is it the case that the system is not configured to audit attempts to change the MAC policy?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_PAGE_TABLE_ISOLATION /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure sshd limits the users who can log in, run the following:
│ │ │ │ -pre&gt;$ sudo grep -rPi '^\h*(allow|deny)(users|groups)\h+\H+(\h+.*)?$' /etc/ssh/sshd_config*
│ │ │ │ -If properly configured, the output should be a list of usernames and/or
│ │ │ │ -groups allowed to log in to this system.
│ │ │ │ -      Is it the case that sshd does not limit the users who can log in?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_HIBERNATION /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the audit log directories have a correct mode or less permissive mode.
│ │ │ │ -
│ │ │ │ -Find the location of the audit logs:
│ │ │ │ -
│ │ │ │ -$ sudo grep "^log_file" /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -Find the group that owns audit logs:
│ │ │ │ -
│ │ │ │ -$ sudo grep "^log_group" /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -Run the following command to check the mode of the system audit logs:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that root's primary group is zero run the following command:
│ │ │ │  
│ │ │ │ -$ sudo stat -c "%a %n" [audit_log_directory]
│ │ │ │ +    grep '^root:' /etc/passwd | cut -d : -f 4
│ │ │ │  
│ │ │ │ -Replace "[audit_log_directory]" to the correct audit log directory path, by default this location is "/var/log/audit".
│ │ │ │ +The command should return:
│ │ │ │  
│ │ │ │ +0
│ │ │ │  
│ │ │ │ -If the log_group is "root" or is not set, the correct permissions are 0700, otherwise they are 0750.
│ │ │ │ -      Is it the case that audit logs have a more permissive mode?</ocil:question_text>
│ │ │ │ +      Is it the case that root has a primary gid not equal to zero?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "reboot" command with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's GSSAPIAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep reboot
│ │ │ │ +$ sudo grep -i GSSAPIAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ --a always,exit -F path=/reboot -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-reboot
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include spectre_v2=on, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*spectre_v2=on.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that spectre_v2 mitigation is not enforced?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the postfix package is installed: $ dpkg -l  postfix
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-disallow_bypass_password_sudo_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the operating system is not configured to bypass password requirements for privilege
│ │ │ │ -escalation. Check the configuration of the "/etc/pam.d/sudo" file with the following command:
│ │ │ │ -$ sudo grep pam_succeed_if /etc/pam.d/sudo
│ │ │ │ -      Is it the case that system is configured to bypass password requirements for privilege escalation?</ocil:question_text>
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -rmdir system call, run the following command:
│ │ │ │ -$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │ +setxattr system call, run the following command:
│ │ │ │ +$ sudo grep "setxattr" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include mce=0, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*mce=0.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that MCE tolerance is not set to zero?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │ -          <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ -$ sudo postconf alias_maps
│ │ │ │ -Query the Postfix alias maps for an alias for the root user:
│ │ │ │ -$ sudo postmap -q root hash:/etc/aliases
│ │ │ │ -The output should return an alias.
│ │ │ │ -      Is it the case that the alias is not set?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure logs are sent to a remote host, examine the file
│ │ │ │ +/etc/rsyslog.conf.
│ │ │ │ +If using UDP, a line similar to the following should be present:
│ │ │ │ + *.* @
│ │ │ │ +If using TCP, a line similar to the following should be present:
│ │ │ │ + *.* @@
│ │ │ │ +If using RELP, a line similar to the following should be present:
│ │ │ │ + *.* :omrelp:
│ │ │ │ +      Is it the case that no evidence that the audit logs are being off-loaded to another system or media?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/gshadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/gshadow
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/gshadow does not have an owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to see what the max sessions number is:
│ │ │ │ +$ sudo grep MaxSessions /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +MaxSessions 
│ │ │ │ +      Is it the case that MaxSessions is not configured or not configured correctly?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>If the device or Debian 11 does not have a camera installed, this requirement is not applicable.
│ │ │ │ -
│ │ │ │ -This requirement is not applicable to mobile devices (smartphones and tablets), where the use of the camera is a local AO decision.
│ │ │ │ -
│ │ │ │ -This requirement is not applicable to dedicated VTC suites located in approved VTC locations that are centrally managed.
│ │ │ │ -
│ │ │ │ -For an external camera, if there is not a method for the operator to manually disconnect the camera at the end of collaborative computing sessions, this is a finding.
│ │ │ │ -
│ │ │ │ -For a built-in camera, the camera must be protected by a camera cover (e.g., laptop camera cover slide) when not in use. If the built-in camera is not protected with a camera cover, or is not physically disabled, this is a finding.
│ │ │ │ -
│ │ │ │ -If the camera is not disconnected, covered, or physically disabled, determine if it is being disabled via software with the following commands:
│ │ │ │ -
│ │ │ │ -Verify the operating system disables the ability to load the uvcvideo kernel module.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's UsePAM option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -r uvcvideo /etc/modprobe.d/* | grep "/bin/true"
│ │ │ │ +$ sudo grep -i UsePAM /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -install uvcvideo /bin/true
│ │ │ │ -      Is it the case that the command does not return any output, or the line is commented out, and the collaborative computing device has not been authorized for use?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -finit_module system call, run the following command:
│ │ │ │ -$ sudo grep "finit_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_LIST /boot/config.*
│ │ │ │ +    $ grep CONFIG_SECCOMP_FILTER /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PANIC_ON_OOPS /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if requiretty has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults.*\brequiretty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that requiretty is not enabled in sudo?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │ -          <ocil:question_text>To check if compression is enabled or set correctly, run the
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that Audit Daemon is configured to write logs to the disk, run the
│ │ │ │  following command:
│ │ │ │ -$ sudo grep Compression /etc/ssh/sshd_config
│ │ │ │ -If configured properly, output should be no or delayed.
│ │ │ │ -      Is it the case that it is commented out, or is not set to no or delayed?</ocil:question_text>
│ │ │ │ +$ sudo grep write_logs /etc/audit/auditd.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +write_logs = yes
│ │ │ │ +      Is it the case that write_logs isn't set to yes?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │ -          <ocil:question_text>To check which SSH protocol version is allowed, check version of
│ │ │ │ -openssh-server with following command:
│ │ │ │ -$ rpm -qi openssh-server | grep Version
│ │ │ │ -Versions equal to or higher than 7.4 have deprecated the RhostsRSAAuthentication option.
│ │ │ │ -If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ -To determine how the SSH daemon's RhostsRSAAuthentication option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i RhostsRSAAuthentication /etc/ssh/sshd_config
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the system-wide shared library directories are owned by "root" with the following command:
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +$ sudo find /lib /lib64 /usr/lib /usr/lib64 ! -user root -type d -exec stat -c "%n %U" '{}' \;
│ │ │ │ +      Is it the case that any system-wide shared library directory is not owned by root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>Shared libraries are stored in the following directories:
│ │ │ │ +/lib
│ │ │ │ +/lib64
│ │ │ │ +/usr/lib
│ │ │ │ +/usr/lib64
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +To find shared libraries that are group-writable or world-writable,
│ │ │ │ +run the following command for each directory DIR which contains shared libraries:
│ │ │ │ +$ sudo find -L DIR -perm /022 -type d
│ │ │ │ +      Is it the case that any of these files are group-writable or world-writable?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.default.shared_media kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if arguments that commands can be executed with are restricted, run the following command:
│ │ │ │ +$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+(?:[ \t]+[^,\s]+)+[ \t]*,)*(\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+[ \t]*(?:,|$))' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that /etc/sudoers file contains user specifications that allow execution of commands with any arguments?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_symlinks_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the fs.protected_symlinks kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.default.shared_media
│ │ │ │ -0.
│ │ │ │ +$ sysctl fs.protected_symlinks
│ │ │ │ +1.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupownership_audit_configuration_question:question:1">
│ │ │ │ -          <ocil:question_text>To properly set the group owner of /etc/audit/, run the command:
│ │ │ │ -$ sudo chgrp root /etc/audit/
│ │ │ │ -
│ │ │ │ -To properly set the group owner of /etc/audit/rules.d/, run the command:
│ │ │ │ -$ sudo chgrp root /etc/audit/rules.d/
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +cron service:
│ │ │ │ +$ sudo systemctl is-active cron
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │        Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/shadow,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_loglevel_info_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's LogLevel option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i LogLevel /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating INFO is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /boot/System.map*,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/shadow
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -shadow
│ │ │ │ -      Is it the case that /etc/shadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ +$ ls -l /boot/System.map*
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /boot/System.map* does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-service_snmpd_disabled_question:question:1">
│ │ │ │            <ocil:question_text>To check that the snmpd service is disabled in system boot configuration,
│ │ │ │  run the following command:
│ │ │ │  $ sudo systemctl is-enabled snmpd
│ │ │ │  Output should indicate the snmpd service has either not been installed,
│ │ │ │  or has been disabled at all runlevels, as shown in the example below:
│ │ │ │ @@ -99057,267 +98860,293 @@
│ │ │ │  If the service is masked the command will return the following outputs:
│ │ │ │  
│ │ │ │  LoadState=masked
│ │ │ │  
│ │ │ │  UnitFileState=masked
│ │ │ │        Is it the case that the "snmpd" is loaded and not masked?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_HASH /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +$ grep CONFIG_DEFAULT_MMAP_MIN_ADDR /boot/config.*
│ │ │ │ +For each kernel installed, a line with value should be returned.
│ │ │ │ +If the system architecture is x86_64, the value should be 65536.
│ │ │ │ +If the system architecture is aarch64, the value should be 32768.
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -settimeofday system call, run the following command:
│ │ │ │ -$ sudo grep "settimeofday" /etc/audit/audit.*
│ │ │ │ +fsetxattr system call, run the following command:
│ │ │ │ +$ sudo grep "fsetxattr" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the snmp package is installed:
│ │ │ │ -$ dpkg -l  snmp
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │ +          <ocil:question_text>Ensure that debug-shell service is not enabled with the following command:
│ │ │ │ +grep systemd\.debug-shell=1 /boot/grub2/grubenv /etc/default/grub
│ │ │ │ +If the command returns a line, it means that debug-shell service is being enabled.
│ │ │ │ +      Is it the case that the comand returns a line?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure that XDMCP is disabled in /etc/gdm/custom.conf, run the following command:
│ │ │ │ -grep -Pzo "\[xdmcp\]\nEnable=false" /etc/gdm/custom.conf
│ │ │ │ -The output should return the following:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include mce=0, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*mce=0.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that MCE tolerance is not set to zero?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │  
│ │ │ │ -[xdmcp]
│ │ │ │ -Enable=false
│ │ │ │ +$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -      Is it the case that the Enable is not set to false or is missing in the xdmcp section of the /etc/gdm/custom.conf gdm configuration file?</ocil:question_text>
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │ -          <ocil:question_text>If the system is not configured to audit time changes, this is a finding.
│ │ │ │ -If the system is 64-bit only, this is not applicable
│ │ │ │ -ocil: |
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -stime system call, run the following command:
│ │ │ │ -$ sudo grep "stime" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/ssh/*_key,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ssh/*_key
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ssh/*_key does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/gshadow-,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/group-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/gshadow-
│ │ │ │ +$ ls -lL /etc/group-
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/group- does not have an owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/ssh/*_key,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/ssh/*_key
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /etc/ssh/*_key does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/shadow,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/shadow
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /etc/shadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/gshadow,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/gshadow
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  shadow
│ │ │ │ -      Is it the case that /etc/gshadow- does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/gshadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 defines default permissions for all authenticated users in such a way that the user can only read and modify their own files with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.arp_filter kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.arp_filter
│ │ │ │ +.
│ │ │ │  
│ │ │ │ -# grep -i umask /etc/login.defs
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the fs.suid_dumpable kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl fs.suid_dumpable
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -UMASK 
│ │ │ │ -      Is it the case that the value for the "UMASK" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;", or the "UMASK" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │ -          <ocil:question_text>To check which SSH protocol version is allowed, check version of openssh-server with following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ dpkg -s openssh-server | grep Version
│ │ │ │ +$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -Versions equal to or higher than 7.4 only allow Protocol 2.
│ │ │ │ -If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ -$ sudo grep Protocol /etc/ssh/sshd_config
│ │ │ │ -If configured properly, output should be Protocol 2
│ │ │ │ -      Is it the case that it is commented out or is not set correctly to Protocol 2?</ocil:question_text>
│ │ │ │ +If a line indicating prohibit-password is returned, then the required value is set.
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 11 is configured to take action in the event of allocated audit record storage volume reaches 95 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the operating system encrypts audit records off-loaded onto a different system
│ │ │ │ +or media from the system being audited with the following commands:
│ │ │ │  
│ │ │ │ -$ sudo grep admin_space_left_action /etc/audit/auditd.conf
│ │ │ │ +$ sudo grep -i '$DefaultNetstreamDriver' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │  
│ │ │ │ -admin_space_left_action = single
│ │ │ │ +The output should be:
│ │ │ │  
│ │ │ │ -If the value of the "admin_space_left_action" is not set to "single", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ -      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │ +/etc/rsyslog.conf:$DefaultNetstreamDriver gtls
│ │ │ │ +      Is it the case that rsyslogd DefaultNetstreamDriver not set to gtls?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ -/bin
│ │ │ │ -/sbin
│ │ │ │ -/usr/bin
│ │ │ │ -/usr/local/bin
│ │ │ │ -/usr/local/sbin
│ │ │ │ -/usr/sbin
│ │ │ │ -For each of these directories, run the following command to find files
│ │ │ │ -not owned by root:
│ │ │ │ -$ sudo find -L DIR/ ! -user root -type d -exec chown root {} \;
│ │ │ │ -      Is it the case that any system executables directories are found to not be owned by root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's IgnoreUserKnownHosts option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i IgnoreUserKnownHosts /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit account changes,
│ │ │ │ -run the following command:
│ │ │ │ -auditctl -l | grep -E '(/etc/passwd|/etc/shadow|/etc/group|/etc/gshadow|/etc/security/opasswd)'
│ │ │ │ -If the system is configured to watch for account changes, lines should be returned for
│ │ │ │ -each file specified (and with perm=wa for each).
│ │ │ │ -      Is it the case that the system is not configured to audit account changes?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>If IPv6 is disabled, this is not applicable.
│ │ │ │ +
│ │ │ │ +
│ │ │ │ +
│ │ │ │ +Run the following command to determine the current status of the
│ │ │ │ +ip6tables service:
│ │ │ │ +$ sudo systemctl is-active ip6tables
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_randomize_memory_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_RETPOLINE /boot/config.*
│ │ │ │ +    $ grep CONFIG_RANDOMIZE_MEMORY /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the openat system call.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that the system is integrated with a centralized authentication mechanism
│ │ │ │ +such as as Active Directory, Kerberos, Directory Server, etc. that has
│ │ │ │ +automated account mechanisms in place.
│ │ │ │ +      Is it the case that the system is not using a centralized authentication mechanism, or it is not automated?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to see what the timeout interval is:
│ │ │ │ +$ sudo grep ClientAliveInterval /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +ClientAliveInterval 
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │ +          <ocil:question_text>Make sure that the kernel is not disabling SMAP with the following
│ │ │ │ +commands.
│ │ │ │ +grep -q nosmap /boot/config-`uname -r`
│ │ │ │ +If the command returns a line, it means that SMAP is being disabled.
│ │ │ │ +      Is it the case that the kernel is configured to disable SMAP?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the creat system call.
│ │ │ │  
│ │ │ │  If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -r openat /etc/audit/rules.d
│ │ │ │ +$ sudo grep -r creat /etc/audit/rules.d
│ │ │ │  
│ │ │ │  If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep openat /etc/audit/audit.rules
│ │ │ │ +$ sudo grep creat /etc/audit/audit.rules
│ │ │ │  
│ │ │ │  The output should be the following:
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │        Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-harden_ssh_client_crypto_policy_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify if the OpenSSH Client uses defined Crypto Policy, run:
│ │ │ │ -$ cat /etc/ssh/ssh_config.d/02-ospp.conf
│ │ │ │ -and verify that the line matches
│ │ │ │ -Match final all
│ │ │ │ -RekeyLimit 512M 1h
│ │ │ │ -GSSAPIAuthentication no
│ │ │ │ -Ciphers aes256-ctr,aes256-cbc,aes128-ctr,aes128-cbc
│ │ │ │ -PubkeyAcceptedKeyTypes ssh-rsa,ecdsa-sha2-nistp384,ecdsa-sha2-nistp256
│ │ │ │ -MACs hmac-sha2-512,hmac-sha2-256
│ │ │ │ -KexAlgorithms ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group14-sha1
│ │ │ │ -      Is it the case that Crypto Policy for OpenSSH Client is not configured according to CC requirements?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's AllowTcpForwarding option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i AllowTcpForwarding /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +      Is it the case that The AllowTcpForwarding option exists and is disabled?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if negation is used to define commands users are allowed to execute using sudo, run the following command:
│ │ │ │ -$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,!\n][^,\n]+,)*\s*(?:\([^\)]+\))?\s*(?!\s*\()(!\S+).*' /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that /etc/sudoers file contains rules that define the set of allowed commands using negation?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the audit package is installed: $ dpkg -l  audit
│ │ │ │ +      Is it the case that the audit package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>If the system is configured to prevent the loading of the tipc kernel module,
│ │ │ │ -it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ -These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit changes to its network configuration,
│ │ │ │ +run the following command:
│ │ │ │ +auditctl -l | grep -E '(/etc/issue|/etc/issue.net|/etc/hosts|/etc/sysconfig/network)'
│ │ │ │  
│ │ │ │ -Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ -$ grep -r tipc /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +If the system is configured to watch for network configuration changes, a line should be returned for
│ │ │ │ +each file specified (and perm=wa should be indicated for each).
│ │ │ │ +      Is it the case that the system is not configured to audit changes of the network configuration?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │ -          <ocil:question_text>To find world-writable directories that lack the sticky bit, run the following command:
│ │ │ │ -$ sudo find / -type d \( -perm -0002 -a ! -perm -1000 \) -print 2&gt;/dev/null
│ │ │ │ -fixtext: |-
│ │ │ │ -Configure all world-writable directories to have the sticky bit set to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │ -
│ │ │ │ -Set the sticky bit on all world-writable directories using the command, replace "[World-Writable Directory]" with any directory path missing the sticky bit:
│ │ │ │ -
│ │ │ │ -$ chmod a+t [World-Writable Directory]
│ │ │ │ -srg_requirement:
│ │ │ │ -A sticky bit must be set on all Debian 11 public directories to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │ -      Is it the case that any world-writable directories are missing the sticky bit?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that the interactive user account passwords last change time is not in the future
│ │ │ │ +The following command should return no output
│ │ │ │ +$ sudo expiration=$(cat /etc/shadow|awk -F ':' '{print $3}');
│ │ │ │ +for edate in ${expiration[@]}; do if [[ $edate &gt; $(( $(date +%s)/86400 )) ]];
│ │ │ │ +then echo "Expiry date in future";
│ │ │ │ +fi; done 
│ │ │ │ +      Is it the case that any interactive user password that has last change time in the future?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/ssh/*.pub,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/group,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/ssh/*.pub
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ +$ ls -lL /etc/group
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/ssh/*.pub does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/group does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the operating system encrypts audit records off-loaded onto a different system
│ │ │ │ -or media from the system being audited with the following commands:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.randomize_va_space kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.randomize_va_space
│ │ │ │ +2.
│ │ │ │  
│ │ │ │ -$ sudo grep -i '$DefaultNetstreamDriver' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 11 is configured to take action in the event of allocated audit record storage volume reaches 95 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │  
│ │ │ │ -The output should be:
│ │ │ │ +$ sudo grep admin_space_left_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -/etc/rsyslog.conf:$DefaultNetstreamDriver gtls
│ │ │ │ -      Is it the case that rsyslogd DefaultNetstreamDriver not set to gtls?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │ -          <ocil:question_text>Make sure that the kernel is not disabling SMEP with the following
│ │ │ │ -commands.
│ │ │ │ -grep -q nosmep /boot/config-`uname -r`
│ │ │ │ -If the command returns a line, it means that SMEP is being disabled.
│ │ │ │ -      Is it the case that the kernel is configured to disable SMEP?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_RANDOMIZE_BASE /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure logs are sent to a remote host, examine the file
│ │ │ │ -/etc/rsyslog.conf.
│ │ │ │ -If using UDP, a line similar to the following should be present:
│ │ │ │ - *.* @
│ │ │ │ -If using TCP, a line similar to the following should be present:
│ │ │ │ - *.* @@
│ │ │ │ -If using RELP, a line similar to the following should be present:
│ │ │ │ - *.* :omrelp:
│ │ │ │ -      Is it the case that no evidence that the audit logs are being off-loaded to another system or media?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +admin_space_left_action = single
│ │ │ │ +
│ │ │ │ +If the value of the "admin_space_left_action" is not set to "single", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ +      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-securetty_root_login_console_only_question:question:1">
│ │ │ │ -          <ocil:question_text>To check for virtual console entries which permit root login, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep ^vc/[0-9] /etc/securetty
│ │ │ │ -If any output is returned, then root logins over virtual console devices is permitted.
│ │ │ │ -      Is it the case that root login over virtual console devices is permitted?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that the audit system collects unauthorized file accesses, run the following commands:
│ │ │ │ +$ sudo grep EACCES /etc/audit/audit.rules
│ │ │ │ +$ sudo grep EPERM /etc/audit/audit.rules
│ │ │ │ +      Is it the case that 32-bit and 64-bit system calls to creat, open, openat, open_by_handle_at, truncate, and ftruncate are not audited during EACCES and EPERM?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Ensure that Debian 11 does not disable SELinux.
│ │ │ │ -
│ │ │ │ -Check if "SELinux" is active and in "enforcing" or "permissive" mode with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +settimeofday system call, run the following command:
│ │ │ │ +$ sudo grep "settimeofday" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -$ sudo getenforce
│ │ │ │ -Enforcing
│ │ │ │ --OR-
│ │ │ │ -Permissive
│ │ │ │ -      Is it the case that SELinux is disabled?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the password warning age, run the command:
│ │ │ │ -$ grep PASS_WARN_AGE /etc/login.defs
│ │ │ │ -The DoD requirement is 7.
│ │ │ │ -      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the logrotate package is installed: $ dpkg -l  logrotate
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ +determine how many logs the system is configured to retain after rotation:
│ │ │ │ +$ sudo grep num_logs /etc/audit/auditd.conf
│ │ │ │ +num_logs = 5
│ │ │ │ +      Is it the case that the system log file retention has not been properly configured?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_ACPI_CUSTOM_METHOD /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEBUG_CREDENTIALS /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -unlinkat system call, run the following command:
│ │ │ │ -$ sudo grep "unlinkat" /etc/audit/audit.*
│ │ │ │ +unlink system call, run the following command:
│ │ │ │ +$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │  init_module system call, run the following command:
│ │ │ │ @@ -99329,803 +99158,783 @@
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  To determine if the system is configured to audit calls to the
│ │ │ │  delete_module system call, run the following command:
│ │ │ │  $ sudo grep "delete_module" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that root's primary group is zero run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +iptables service:
│ │ │ │ +$ sudo systemctl is-active iptables
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify all squashing has been disabled, run the following command:
│ │ │ │ +$ grep all_squash /etc/exports
│ │ │ │ +      Is it the case that there is output?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.shared_media kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.shared_media
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -    grep '^root:' /etc/passwd | cut -d : -f 4
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure the MaxAuthTries parameter is set, run the following command:
│ │ │ │ +$ sudo grep MaxAuthTries /etc/ssh/sshd_config
│ │ │ │ +If properly configured, output should be:
│ │ │ │ +MaxAuthTries 
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit attempts to
│ │ │ │ +alter time via the /etc/localtime file, run the following
│ │ │ │ +command:
│ │ │ │ +$ sudo auditctl -l | grep "watch=/etc/localtime"
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +      Is it the case that the system is not configured to audit time changes?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 11 generates an audit record for all uses of the "umount" and system call.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +"umount" system call, run the following command:
│ │ │ │ +$ sudo grep "umount" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line like the following.
│ │ │ │ +-a always,exit -F arch=b32 -S umount -F auid&gt;=1000 -F auid!=unset -k privileged-umount
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the syslog-ng-core package is installed: $ dpkg -l  syslog-ng-core
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /home with the following command:
│ │ │ │  
│ │ │ │ -The command should return:
│ │ │ │ +$ mountpoint /home
│ │ │ │  
│ │ │ │ -0
│ │ │ │ +      Is it the case that "/home is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +init_module system call, run the following command:
│ │ │ │ +$ sudo grep "init_module" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -      Is it the case that root has a primary gid not equal to zero?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command and verify remote server is configured properly:
│ │ │ │ -# grep -E "^(server|pool)" /etc/chrony.conf
│ │ │ │ -      Is it the case that a remote time server is not configured?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the nss-tools package is installed: $ dpkg -l  nss-tools
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the ftruncate system call.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the minimum password length, run the command:
│ │ │ │ +$ grep PASS_MIN_LEN /etc/login.defs
│ │ │ │ +The DoD requirement is 15.
│ │ │ │ +      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_RETPOLINE /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ +$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -$ sudo grep -r ftruncate /etc/audit/rules.d
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +mount system call, run the following command:
│ │ │ │ +$ sudo grep "mount" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -$ sudo grep ftruncate /etc/audit/audit.rules
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │ +          <ocil:question_text>To find world-writable directories that lack the sticky bit, run the following command:
│ │ │ │ +$ sudo find / -type d \( -perm -0002 -a ! -perm -1000 \) -print 2&gt;/dev/null
│ │ │ │ +fixtext: |-
│ │ │ │ +Configure all world-writable directories to have the sticky bit set to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │  
│ │ │ │ -The output should be the following:
│ │ │ │ +Set the sticky bit on all world-writable directories using the command, replace "[World-Writable Directory]" with any directory path missing the sticky bit:
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +$ chmod a+t [World-Writable Directory]
│ │ │ │ +srg_requirement:
│ │ │ │ +A sticky bit must be set on all Debian 11 public directories to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │ +      Is it the case that any world-writable directories are missing the sticky bit?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include spec_store_bypass_disable=, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*spec_store_bypass_disable=.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that SSB is not configured appropriately?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │ +          <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ +$ sudo postconf alias_maps
│ │ │ │ +Query the Postfix alias maps for an alias for the postmaster user:
│ │ │ │ +$ sudo postmap -q postmaster hash:/etc/aliases
│ │ │ │ +The output should return root.
│ │ │ │ +      Is it the case that the alias is not set or is not root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify the audispd's syslog plugin is active, run the following command:
│ │ │ │ -$ sudo grep active /etc/audit/plugins.d/syslog.conf
│ │ │ │ -If the plugin is active, the output will show yes.
│ │ │ │ -      Is it the case that it is not activated?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-service_ntp_enabled_question:question:1">
│ │ │ │            <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │  ntp service:
│ │ │ │  $ sudo systemctl is-active ntp
│ │ │ │  If the service is running, it should return the following: active
│ │ │ │        Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/group-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/group-
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/group- does not have a group owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_vdsm_nopasswd_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if NOPASSWD has been configured for the vdsm user for sudo,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo grep -ri nopasswd /etc/sudoers.d/
│ │ │ │ -The command should return output only for the vdsm user.
│ │ │ │ -      Is it the case that nopasswd is set for any users beyond vdsm?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /var/log/syslog,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /var/log/syslog
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /var/log/syslog does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify all accounts have unique names, run the following command:
│ │ │ │ +$ sudo getent passwd | awk -F: '{ print $1}' | uniq -d
│ │ │ │ +No output should be returned.
│ │ │ │ +      Is it the case that a line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /var/log,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /var/log
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -drwxr-xr-x
│ │ │ │ -      Is it the case that /var/log does not have unix mode drwxr-xr-x?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +syslog-ng service:
│ │ │ │ +$ sudo systemctl is-active syslog-ng
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the "syslog-ng" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECURITY /boot/config.*
│ │ │ │ +    $ grep CONFIG_UNMAP_KERNEL_AT_EL0 /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /var/log,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/passwd-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /var/log
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /var/log does not have an owner of root?</ocil:question_text>
│ │ │ │ +$ ls -l /etc/passwd-
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/passwd- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /var/log,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /var/log
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /var/log does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure root may not directly login to the system over physical consoles,
│ │ │ │ +run the following command:
│ │ │ │ +cat /etc/securetty
│ │ │ │ +If any output is returned, this is a finding.
│ │ │ │ +      Is it the case that the /etc/securetty file is not empty?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -$ grep CONFIG_DEFAULT_MMAP_MIN_ADDR /boot/config.*
│ │ │ │ -For each kernel installed, a line with value should be returned.
│ │ │ │ -If the system architecture is x86_64, the value should be 65536.
│ │ │ │ -If the system architecture is aarch64, the value should be 32768.
│ │ │ │ +    $ grep CONFIG_ACPI_CUSTOM_METHOD /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the open_by_handle_at system call.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's HostbasedAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ +$ sudo grep -i HostbasedAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -$ sudo grep -r open_by_handle_at /etc/audit/rules.d
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-selinux_state_question:question:1">
│ │ │ │ +          <ocil:question_text>Ensure that Debian 11 verifies correct operation of security functions.
│ │ │ │  
│ │ │ │ -$ sudo grep open_by_handle_at /etc/audit/audit.rules
│ │ │ │ +Check if "SELinux" is active and in "" mode with the following command:
│ │ │ │  
│ │ │ │ -The output should be the following:
│ │ │ │ +$ sudo getenforce
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S open_by_handle_at -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S open_by_handle_at -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S open_by_handle_at -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S open_by_handle_at -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that SELINUX is not set to enforcing?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/ssh/*.pub,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/ssh/*.pub
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ssh/*.pub does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if logfile has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults\s*\blogfile\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that logfile is not enabled in sudo?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's GSSAPIAuthentication option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the rsyslog package is installed: $ dpkg -l  rsyslog
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include spectre_v2=on, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*spectre_v2=on.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that spectre_v2 mitigation is not enforced?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/security/opasswd" with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i GSSAPIAuthentication /etc/ssh/sshd_config
│ │ │ │ +$ sudo auditctl -l | grep 
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +-w  -p wa -k logins
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's IgnoreRhosts option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i IgnoreRhosts /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the openssh-server package is installed: $ dpkg -l  openssh-server
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 takes the appropriate action when an audit processing failure occurs.
│ │ │ │ +
│ │ │ │ +Check that Debian 11 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +disk_error_action = HALT
│ │ │ │ +
│ │ │ │ +If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ +      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_messages_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /var/log/messages,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /var/log/messages
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /var/log/messages does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +rsyslog service:
│ │ │ │ +$ sudo systemctl is-active rsyslog
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the "rsyslog" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_chown_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -chown system call, run the following command:
│ │ │ │ -$ sudo grep "chown" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │ +$ sudo awk -F: '!$2 {print $1}' /etc/shadow
│ │ │ │ +If this produces any output, it may be possible to log into accounts
│ │ │ │ +with empty passwords.
│ │ │ │ +      Is it the case that Blank or NULL passwords can be used?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/passwd-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/passwd-
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/passwd- does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_vdsm_nopasswd_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if NOPASSWD has been configured for the vdsm user for sudo,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo grep -ri nopasswd /etc/sudoers.d/
│ │ │ │ +The command should return output only for the vdsm user.
│ │ │ │ +      Is it the case that nopasswd is set for any users beyond vdsm?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the system-wide shared library files are owned by "root" with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the open system call.
│ │ │ │  
│ │ │ │ -$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 ! -user root -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system wide shared library file is not owned by root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the fs.suid_dumpable kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl fs.suid_dumpable
│ │ │ │ -0.
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include iommu=force, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*iommu=force.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that I/OMMU is not activated?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_HIBERNATION /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +$ sudo grep -r open /etc/audit/rules.d
│ │ │ │ +
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep open /etc/audit/audit.rules
│ │ │ │ +
│ │ │ │ +The output should be the following:
│ │ │ │ +
│ │ │ │ +-a always,exit -F arch=b32 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_shadow_question:question:1">
│ │ │ │            <ocil:question_text>To check the group ownership of /etc/shadow-,
│ │ │ │  run the command:
│ │ │ │  $ ls -lL /etc/shadow-
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  shadow
│ │ │ │        Is it the case that /etc/shadow- does not have a group owner of shadow?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the umask setting is configured correctly in the /etc/profile file
│ │ │ │ -or scripts within /etc/profile.d directory with the following command:
│ │ │ │ -$ grep "umask" /etc/profile*
│ │ │ │ -umask 
│ │ │ │ -      Is it the case that the value for the "umask" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;",
│ │ │ │ -or the "umask" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if !authenticate has not been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -r \!authenticate /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that !authenticate is specified in the sudo config files?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupownership_sshd_private_key_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/ssh/*_key,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/ssh/*_key
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ssh/*_key does not have a group owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -setxattr system call, run the following command:
│ │ │ │ -$ sudo grep "setxattr" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that GRUB_DISABLE_RECOVERY is set to true in /etc/default/grub to disable recovery boot.
│ │ │ │ +Run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +$ sudo grep GRUB_DISABLE_RECOVERY /etc/default/grub
│ │ │ │ +      Is it the case that GRUB_DISABLE_RECOVERY is not set to true or is missing?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │ -          <ocil:question_text>To check for serial port entries which permit root login,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo grep ^ttyS/[0-9] /etc/securetty
│ │ │ │ -If any output is returned, then root login over serial ports is permitted.
│ │ │ │ -      Is it the case that root login over serial ports is permitted?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if use_pty has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults.*\buse_pty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that use_pty is not enabled in sudo?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure write permissions are disabled for group and other
│ │ │ │ - for each element in root's path, run the following command:
│ │ │ │ -# ls -ld DIR
│ │ │ │ -      Is it the case that group or other write permissions exist?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify the audispd's syslog plugin is active, run the following command:
│ │ │ │ +$ sudo grep active /etc/audit/plugins.d/syslog.conf
│ │ │ │ +If the plugin is active, the output will show yes.
│ │ │ │ +      Is it the case that it is not activated?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure all GIDs referenced in /etc/passwd are defined in /etc/group,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo pwck -qr
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure the default password is not set, run the following command:
│ │ │ │ +$ sudo grep -v "^#" /etc/snmp/snmpd.conf| grep -E 'public|private'
│ │ │ │  There should be no output.
│ │ │ │ -      Is it the case that GIDs referenced in /etc/passwd are returned as not defined in /etc/group?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PermitUserEnvironment option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i PermitUserEnvironment /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +      Is it the case that the default SNMP passwords public and private have not been changed or removed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /var/log/messages,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/shadow,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /var/log/messages
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /var/log/messages does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the audit system is configured to take an appropriate action when the internal event queue is full:
│ │ │ │ -$ sudo grep -i overflow_action /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -The output should contain overflow_action = syslog
│ │ │ │ -
│ │ │ │ -If the value of the "overflow_action" option is not set to syslog,
│ │ │ │ -single, halt or the line is commented out, ask the System Administrator
│ │ │ │ -to indicate how the audit logs are off-loaded to a different system or media.
│ │ │ │ -      Is it the case that auditd overflow action is not set correctly?</ocil:question_text>
│ │ │ │ +$ ls -lL /etc/shadow
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +shadow
│ │ │ │ +      Is it the case that /etc/shadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │ -          <ocil:question_text>To check if the installed Operating System is 64-bit, run the following command:
│ │ │ │ -$ uname -m
│ │ │ │ -The output should be one of the following: x86_64, aarch64, ppc64le or s390x.
│ │ │ │ -If the output is i686 or i386 the operating system is 32-bit.
│ │ │ │ -Check if the installed CPU supports 64-bit operating systems by running the following command:
│ │ │ │ -$ lscpu | grep "CPU op-mode"
│ │ │ │ -If the output contains 64bit, the CPU supports 64-bit operating systems.
│ │ │ │ -      Is it the case that the installed operating sytem is 32-bit but the CPU supports operation in 64-bit?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /var/log,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /var/log
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /var/log does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -systemd-journald service:
│ │ │ │ -$ sudo systemctl is-active systemd-journald
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the systemd-journald service is not running?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit account changes,
│ │ │ │ +run the following command:
│ │ │ │ +auditctl -l | grep -E '(/etc/passwd|/etc/shadow|/etc/group|/etc/gshadow|/etc/security/opasswd)'
│ │ │ │ +If the system is configured to watch for account changes, lines should be returned for
│ │ │ │ +each file specified (and with perm=wa for each).
│ │ │ │ +      Is it the case that the system is not configured to audit account changes?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchmodat system call, run the following command:
│ │ │ │ -$ sudo grep "fchmodat" /etc/audit/audit.*
│ │ │ │ +rmdir system call, run the following command:
│ │ │ │ +$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that auditing of privileged command use is configured, run the following command
│ │ │ │ -to search privileged commands in relevant partitions and check if they are covered by auditd
│ │ │ │ -rules:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify users are provided with feedback on when account accesses last occurred with the following command:
│ │ │ │  
│ │ │ │ -FILTER_NODEV=$(awk '/nodev/ { print $2 }' /proc/filesystems | paste -sd,)
│ │ │ │ -PARTITIONS=$(findmnt -n -l -k -it $FILTER_NODEV | grep -Pv "noexec|nosuid" | awk '{ print $1 }')
│ │ │ │ -for PARTITION in $PARTITIONS; do
│ │ │ │ -  for PRIV_CMD in $(find "${PARTITION}" -xdev -perm /6000 -type f 2&gt;/dev/null); do
│ │ │ │ -    grep -qr "${PRIV_CMD}" /etc/audit/rules.d /etc/audit/audit.rules &amp;&amp;
│ │ │ │ -      printf "OK: ${PRIV_CMD}\n" || printf "WARNING - rule not found for: ${PRIV_CMD}\n"
│ │ │ │ -  done
│ │ │ │ -done
│ │ │ │ +$ sudo grep pam_lastlog /etc/pam.d/postlogin
│ │ │ │  
│ │ │ │ -The output should not contain any WARNING.
│ │ │ │ -      Is it the case that any setuid or setgid programs doesn't have a line in the audit rules?</ocil:question_text>
│ │ │ │ +session [default=1] pam_lastlog.so showfailed
│ │ │ │ +      Is it the case that "pam_lastlog.so" is not properly configured in "/etc/pam.d/postlogin" file?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -rename system call, run the following command:
│ │ │ │ -$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │ +fchmod system call, run the following command:
│ │ │ │ +$ sudo grep "fchmod" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 notifies the SA and ISSO (at a minimum) when allocated audit record storage volume reaches 75 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -w space_left_action /etc/audit/auditd.conf
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │ +          <ocil:question_text>To check if RekeyLimit is set correctly, run the
│ │ │ │ +following command:
│ │ │ │  
│ │ │ │ -space_left_action = 
│ │ │ │ +$ sudo grep RekeyLimit /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If the value of the "space_left_action" is not set to "", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ -      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │ +If configured properly, output should be
│ │ │ │ +RekeyLimit  
│ │ │ │ +      Is it the case that it is commented out or is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │ -          <ocil:question_text>To check if UsePrivilegeSeparation is enabled or set correctly, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep UsePrivilegeSeparation /etc/ssh/sshd_config
│ │ │ │ -If configured properly, output should be .
│ │ │ │ -      Is it the case that it is commented out or is not enabled?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that McAfee HIPS is installed, run the following command(s):
│ │ │ │ +$ rpm -q MFEhiplsm
│ │ │ │ +      Is it the case that the HBSS HIPS module is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /tmp with the following command:
│ │ │ │ -
│ │ │ │ -$ mountpoint /tmp
│ │ │ │ -
│ │ │ │ -      Is it the case that "/tmp is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that only the "root" account has a UID "0" assignment with the
│ │ │ │ +following command:
│ │ │ │ +$ awk -F: '$3 == 0 {print $1}' /etc/passwd
│ │ │ │ +root
│ │ │ │ +      Is it the case that any accounts other than "root" have a UID of "0"?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │            <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -chronyd service:
│ │ │ │ -$ sudo systemctl is-active chronyd
│ │ │ │ +ufw service:
│ │ │ │ +$ sudo systemctl is-active ufw
│ │ │ │  If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the chronyd process is not running?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if use_pty has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults.*\buse_pty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that use_pty is not enabled in sudo?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the syslog-ng-core package is installed: $ dpkg -l  syslog-ng-core
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │ -
│ │ │ │ -$ grep nullok /etc/pam.d/system-auth /etc/pam.d/password-auth
│ │ │ │ -
│ │ │ │ -If this produces any output, it may be possible to log into accounts
│ │ │ │ -with empty passwords. Remove any instances of the nullok option to
│ │ │ │ -prevent logins with empty passwords.
│ │ │ │ -      Is it the case that NULL passwords can be used?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that the system backups user data.
│ │ │ │ -      Is it the case that it is not?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the creat system call.
│ │ │ │ -
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -r creat /etc/audit/rules.d
│ │ │ │ -
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep creat /etc/audit/audit.rules
│ │ │ │ -
│ │ │ │ -The output should be the following:
│ │ │ │ -
│ │ │ │ --a always,exit -F arch=b32 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify all squashing has been disabled, run the following command:
│ │ │ │ -$ grep all_squash /etc/exports
│ │ │ │ -      Is it the case that there is output?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the file /etc/sysconfig/iptables to determine
│ │ │ │ -the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ -$ sudo grep ":INPUT" /etc/sysconfig/iptables
│ │ │ │ -      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │ +      Is it the case that the service is not enabled?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure root may not directly login to the system over physical consoles,
│ │ │ │ -run the following command:
│ │ │ │ -cat /etc/securetty
│ │ │ │ -If any output is returned, this is a finding.
│ │ │ │ -      Is it the case that the /etc/securetty file is not empty?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ +/bin
│ │ │ │ +/sbin
│ │ │ │ +/usr/bin
│ │ │ │ +/usr/sbin
│ │ │ │ +/usr/local/bin
│ │ │ │ +/usr/local/sbin
│ │ │ │ +To find system executables directories that are group-writable or
│ │ │ │ +world-writable, run the following command for each directory DIR
│ │ │ │ +which contains system executables:
│ │ │ │ +$ sudo find -L DIR -perm /022 -type d
│ │ │ │ +      Is it the case that any of these files are group-writable or world-writable?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's KerberosAuthentication option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PermitEmptyPasswords option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i KerberosAuthentication /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i PermitEmptyPasswords /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │  If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 takes the appropriate action when the audit files have reached maximum size.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure ClientAliveInterval is set correctly, run the following command:
│ │ │ │  
│ │ │ │ -Check that Debian 11 takes the appropriate action when the audit files have reached maximum size with the following command:
│ │ │ │ +$ sudo grep ClientAliveCountMax /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +ClientAliveCountMax 0
│ │ │ │  
│ │ │ │ -max_log_file_action = 
│ │ │ │ -      Is it the case that the value of the "max_log_file_action" option is not "ROTATE", "SINGLE", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full. If there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ +In this case, the SSH timeout occurs precisely when
│ │ │ │ +the ClientAliveInterval is set.
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_full_action_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 takes the appropriate action when the audit storage volume is full.
│ │ │ │ -
│ │ │ │ -Check that Debian 11 takes the appropriate action when the audit storage volume is full with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep disk_full_action /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -disk_full_action = 
│ │ │ │ -
│ │ │ │ -If the value of the "disk_full_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full.
│ │ │ │ -      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │ +          <ocil:question_text>If the system is not configured to audit time changes, this is a finding.
│ │ │ │ +If the system is 64-bit only, this is not applicable
│ │ │ │ +ocil: |
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +stime system call, run the following command:
│ │ │ │ +$ sudo grep "stime" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_FORCE /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lsetxattr_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -lchown system call, run the following command:
│ │ │ │ -$ sudo grep "lchown" /etc/audit/audit.*
│ │ │ │ +lsetxattr system call, run the following command:
│ │ │ │ +$ sudo grep "lsetxattr" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/gshadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/gshadow
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /etc/gshadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the rsyslog package is installed: $ dpkg -l  rsyslog
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchmod system call, run the following command:
│ │ │ │ -$ sudo grep "fchmod" /etc/audit/audit.*
│ │ │ │ +umount2 system call, run the following command:
│ │ │ │ +$ sudo grep "umount2" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/passwd,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/passwd
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/passwd does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_unauthorized_world_writable_question:question:1">
│ │ │ │ +          <ocil:question_text>To find world-writable files, run the following command:
│ │ │ │ +$ sudo find / -xdev -type f -perm -002
│ │ │ │ +      Is it the case that there is output?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_var_log_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /var/log with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "poweroff" command with the following command:
│ │ │ │  
│ │ │ │ -$ mountpoint /var/log
│ │ │ │ +$ sudo auditctl -l | grep poweroff
│ │ │ │  
│ │ │ │ -      Is it the case that "/var/log is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +-a always,exit -F path=/poweroff -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-poweroff
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>To check that the sshd service is disabled in system boot configuration,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo systemctl is-enabled sshd
│ │ │ │ -Output should indicate the sshd service has either not been installed,
│ │ │ │ -or has been disabled at all runlevels, as shown in the example below:
│ │ │ │ -$ sudo systemctl is-enabled sshd disabled
│ │ │ │ -
│ │ │ │ -Run the following command to verify sshd is not active (i.e. not running) through current runtime configuration:
│ │ │ │ -$ sudo systemctl is-active sshd
│ │ │ │ -
│ │ │ │ -If the service is not running the command will return the following output:
│ │ │ │ -inactive
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_PAGE_POISONING_NO_SANITY /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +fremovexattr system call, run the following command:
│ │ │ │ +$ sudo grep "fremovexattr" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -The service will also be masked, to check that the sshd is masked, run the following command:
│ │ │ │ -$ sudo systemctl show sshd | grep "LoadState\|UnitFileState"
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the system commands contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │  
│ │ │ │ -If the service is masked the command will return the following outputs:
│ │ │ │ +$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin -perm /022 -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system commands are found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 takes the appropriate action when an audit processing failure occurs.
│ │ │ │  
│ │ │ │ -LoadState=masked
│ │ │ │ +Check that Debian 11 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │  
│ │ │ │ -UnitFileState=masked
│ │ │ │ -      Is it the case that the "sshd" is loaded and not masked?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /var/log/audit with the following command:
│ │ │ │ +$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -$ mountpoint /var/log/audit
│ │ │ │ +disk_error_action = 
│ │ │ │  
│ │ │ │ -      Is it the case that "/var/log/audit is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ +      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_login_grace_time_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure LoginGraceTime is set correctly, run the following command:
│ │ │ │ -$ sudo grep LoginGraceTime /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -LoginGraceTime 
│ │ │ │ -If the option is set to a number greater than 0, then the unauthenticated session will be disconnected
│ │ │ │ -after the configured number seconds.
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/gshadow-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/gshadow-
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /etc/gshadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SLUB_DEBUG /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to ensure the default FORWARD policy is DROP:
│ │ │ │ +grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ +The output should be similar to the following:
│ │ │ │ +$ sudo grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ +:FORWARD DROP [0:0
│ │ │ │ +      Is it the case that the default policy for the FORWARD chain is not set to DROP?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │ -          <ocil:question_text>The file permissions for all log files written by rsyslog should
│ │ │ │ -be set to 640, or more restrictive. These log files are determined by the
│ │ │ │ -second part of each Rule line in /etc/rsyslog.conf and typically
│ │ │ │ -all appear in /var/log. To see the permissions of a given log
│ │ │ │ -file, run the following command:
│ │ │ │ -$ ls -l LOGFILE
│ │ │ │ -The permissions should be 640, or more restrictive.
│ │ │ │ -      Is it the case that the permissions are not correct?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.route_localnet kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.route_localnet
│ │ │ │ +0.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_ALL /boot/config.*
│ │ │ │ +    $ grep CONFIG_SYN_COOKIES /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the minimum password length, run the command:
│ │ │ │ -$ grep PASS_MIN_LEN /etc/login.defs
│ │ │ │ -The DoD requirement is 15.
│ │ │ │ -      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_BINFMT_MISC /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │ -$ sudo awk -F: '!$2 {print $1}' /etc/shadow
│ │ │ │ -If this produces any output, it may be possible to log into accounts
│ │ │ │ -with empty passwords.
│ │ │ │ -      Is it the case that Blank or NULL passwords can be used?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that GRUB_DISABLE_RECOVERY is set to true in /etc/default/grub to disable recovery boot.
│ │ │ │ -Run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PermitUserEnvironment option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep GRUB_DISABLE_RECOVERY /etc/default/grub
│ │ │ │ -      Is it the case that GRUB_DISABLE_RECOVERY is not set to true or is missing?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "shutdown" command with the following command:
│ │ │ │ +$ sudo grep -i PermitUserEnvironment /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep shutdown
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │ --a always,exit -F path=/shutdown -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-shutdown
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -mount system call, run the following command:
│ │ │ │ -$ sudo grep "mount" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /var/log/messages,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /var/log/messages
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /var/log/messages does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/tallylog" with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +systemd-journald service:
│ │ │ │ +$ sudo systemctl is-active systemd-journald
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the systemd-journald service is not running?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep /var/log/tallylog
│ │ │ │ +$ sudo grep audit /etc/security/faillock.conf
│ │ │ │  
│ │ │ │ --w /var/log/tallylog -p wa -k logins
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +audit
│ │ │ │ +      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's StrictModes option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i StrictModes /etc/ssh/sshd_config
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 defines default permissions for all authenticated users in such a way that the user can only read and modify their own files with the following command:
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +# grep -i umask /etc/login.defs
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +UMASK 
│ │ │ │ +      Is it the case that the value for the "UMASK" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;", or the "UMASK" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 11 generates an audit record for all uses of the "umount" and system call.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -"umount" system call, run the following command:
│ │ │ │ -$ sudo grep "umount" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line like the following.
│ │ │ │ --a always,exit -F arch=b32 -S umount -F auid&gt;=1000 -F auid!=unset -k privileged-umount
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the cron package is installed:
│ │ │ │ +$ dpkg -l  cron
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include iommu=force, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*iommu=force.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that I/OMMU is not activated?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.panic_on_oops kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.panic_on_oops
│ │ │ │ +1.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECCOMP_FILTER /boot/config.*
│ │ │ │ +    $ grep CONFIG_RANDOMIZE_BASE /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /var/log,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /var/log
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +drwxr-xr-x
│ │ │ │ +      Is it the case that /var/log does not have unix mode drwxr-xr-x?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that Audit Daemon is configured to include local events, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep local_events /etc/audit/auditd.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +local_events = yes
│ │ │ │ +      Is it the case that local_events isn't set to yes?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SYN_COOKIES /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEBUG_NOTIFIERS /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's AllowTcpForwarding option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i AllowTcpForwarding /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ -      Is it the case that The AllowTcpForwarding option exists and is disabled?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the chrony package is installed: $ dpkg -l  chrony
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-accounts_password_all_shadowed_question:question:1">
│ │ │ │            <ocil:question_text>To check that no password hashes are stored in
│ │ │ │  /etc/passwd, run the following command:
│ │ │ │  awk '!/\S:x|\*/ {print}' /etc/passwd
│ │ │ │  If it produces any output, then a password hash is
│ │ │ │  stored in /etc/passwd.
│ │ │ │        Is it the case that any stored hashes are found in /etc/passwd?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -cron service:
│ │ │ │ -$ sudo systemctl is-active cron
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupownership_audit_configuration_question:question:1">
│ │ │ │ +          <ocil:question_text>To properly set the group owner of /etc/audit/, run the command:
│ │ │ │ +$ sudo chgrp root /etc/audit/
│ │ │ │ +
│ │ │ │ +To properly set the group owner of /etc/audit/rules.d/, run the command:
│ │ │ │ +$ sudo chgrp root /etc/audit/rules.d/
│ │ │ │        Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ +determine how much data the system will retain in each audit log file:
│ │ │ │ +$ sudo grep max_log_file /etc/audit/auditd.conf
│ │ │ │ +max_log_file = 6
│ │ │ │ +      Is it the case that the system audit data threshold has not been properly configured?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>If the system is configured to prevent the loading of the tipc kernel module,
│ │ │ │ +it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ +These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │ +
│ │ │ │ +Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ +$ grep -r tipc /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_HASH /boot/config.*
│ │ │ │ +    $ grep CONFIG_MODULE_SIG /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "" should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_BUG /boot/config.*
│ │ │ │ +    $ grep CONFIG_SECURITY_WRITABLE_HOOKS /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify all accounts have unique names, run the following command:
│ │ │ │ -$ sudo getent passwd | awk -F: '{ print $1}' | uniq -d
│ │ │ │ -No output should be returned.
│ │ │ │ -      Is it the case that a line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure the user home directory is not group-writable or world-readable, run the following:
│ │ │ │ -# ls -ld /home/USER
│ │ │ │ -      Is it the case that the user home directory is group-writable or world-readable?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include spec_store_bypass_disable=, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*spec_store_bypass_disable=.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that SSB is not configured appropriately?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_maximum_age_login_defs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 11 enforces a -day maximum password lifetime for new user accounts by running the following command:
│ │ │ │ -
│ │ │ │ -$ grep -i pass_max_days /etc/login.defs
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /srv with the following command:
│ │ │ │  
│ │ │ │ -PASS_MAX_DAYS 
│ │ │ │ -      Is it the case that the "PASS_MAX_DAYS" parameter value is greater than "&lt;sub idref="var_accounts_maximum_age_login_defs" /&gt;", or commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>Shared libraries are stored in the following directories:
│ │ │ │ -/lib
│ │ │ │ -/lib64
│ │ │ │ -/usr/lib
│ │ │ │ -/usr/lib64
│ │ │ │ +$ mountpoint /srv
│ │ │ │  
│ │ │ │ -To find shared libraries that are group-writable or world-writable,
│ │ │ │ -run the following command for each directory DIR which contains shared libraries:
│ │ │ │ -$ sudo find -L DIR -perm /022 -type d
│ │ │ │ -      Is it the case that any of these files are group-writable or world-writable?</ocil:question_text>
│ │ │ │ +      Is it the case that "/srv is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/group,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/group
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/group does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure sshd limits the users who can log in, run the following:
│ │ │ │ +pre&gt;$ sudo grep -rPi '^\h*(allow|deny)(users|groups)\h+\H+(\h+.*)?$' /etc/ssh/sshd_config*
│ │ │ │ +If properly configured, the output should be a list of usernames and/or
│ │ │ │ +groups allowed to log in to this system.
│ │ │ │ +      Is it the case that sshd does not limit the users who can log in?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /var/log/syslog,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /var/log/syslog
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -syslog
│ │ │ │ -      Is it the case that /var/log/syslog does not have an owner of syslog?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +rmdir system call, run the following command:
│ │ │ │ +$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +unlink system call, run the following command:
│ │ │ │ +$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +unlinkat system call, run the following command:
│ │ │ │ +$ sudo grep "unlinkat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +rename system call, run the following command:
│ │ │ │ +$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +renameat system call, run the following command:
│ │ │ │ +$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.accept_local kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.accept_local
│ │ │ │ -0.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │ +          <ocil:question_text>To properly set the owner of /var/log/audit, run the command:
│ │ │ │ +$ sudo chown root /var/log/audit 
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/ssh/*_key,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/ssh/*_key
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /etc/ssh/*_key does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ +To properly set the owner of /var/log/audit/*, run the command:
│ │ │ │ +$ sudo chown root /var/log/audit/* 
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_security_dmesg_restrict_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_UNMAP_KERNEL_AT_EL0 /boot/config.*
│ │ │ │ +    $ grep CONFIG_SECURITY_DMESG_RESTRICT /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_loglevel_verbose_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's LogLevel option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i LogLevel /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating VERBOSE is returned, then the required value is set.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +removexattr system call, run the following command:
│ │ │ │ +$ sudo grep "removexattr" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-sysctl_kernel_kptr_restrict_question:question:1">
│ │ │ │            <ocil:question_text>The runtime status of the kernel.kptr_restrict kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │  $ sysctl kernel.kptr_restrict
│ │ │ │  The output of the command should indicate either:
│ │ │ │  kernel.kptr_restrict = 1
│ │ │ │ @@ -100145,611 +99954,802 @@
│ │ │ │  kernel.kptr_restrict = 1
│ │ │ │  or:
│ │ │ │  kernel.kptr_restrict = 2
│ │ │ │  
│ │ │ │  Conflicting assignments are not allowed.
│ │ │ │        Is it the case that the kernel.kptr_restrict is not set to 1 or 2 or is configured to be 0?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_maxstartups_question:question:1">
│ │ │ │ -          <ocil:question_text>To check if MaxStartups is configured, run the following command:
│ │ │ │ -$ sudo grep -r ^[\s]*MaxStartups /etc/ssh/sshd_config*
│ │ │ │ -If configured, this command should output the configuration.
│ │ │ │ -      Is it the case that maxstartups is not configured?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if NOPASSWD has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri nopasswd /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that nopasswd is specified in the sudo config files?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the chrony package is installed: $ dpkg -l  chrony
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the aide package is installed: $ dpkg -l  aide
│ │ │ │        Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fremovexattr system call, run the following command:
│ │ │ │ -$ sudo grep "fremovexattr" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/tallylog" with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +$ sudo auditctl -l | grep /var/log/tallylog
│ │ │ │ +
│ │ │ │ +-w /var/log/tallylog -p wa -k logins
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-kernel_config_debug_sg_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │      $ grep CONFIG_DEBUG_SG /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/passwd-,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/passwd,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/passwd-
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/passwd- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>If the system is configured to prevent the loading of the rds kernel module,
│ │ │ │ -it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ -These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │ -
│ │ │ │ -Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ -$ grep -r rds /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +$ ls -lL /etc/passwd
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/passwd does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lsetxattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -lsetxattr system call, run the following command:
│ │ │ │ -$ sudo grep "lsetxattr" /etc/audit/audit.*
│ │ │ │ +fchmodat system call, run the following command:
│ │ │ │ +$ sudo grep "fchmodat" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if arguments that commands can be executed with are restricted, run the following command:
│ │ │ │ -$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+(?:[ \t]+[^,\s]+)+[ \t]*,)*(\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+[ \t]*(?:,|$))' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │ +          <ocil:question_text>To properly set the owner of /etc/audit/, run the command:
│ │ │ │ +$ sudo chown root /etc/audit/ 
│ │ │ │ +
│ │ │ │ +To properly set the owner of /etc/audit/rules.d/, run the command:
│ │ │ │ +$ sudo chown root /etc/audit/rules.d/ 
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include slab_nomerge=yes, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*slab_nomerge=yes.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that merging of slabs with similar size is enabled?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_SECURITY /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if NOPASSWD or !authenticate have been configured for
│ │ │ │ +sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "nopasswd\|\!authenticate" /etc/sudoers /etc/sudoers.d/
│ │ │ │  The command should return no output.
│ │ │ │ -      Is it the case that /etc/sudoers file contains user specifications that allow execution of commands with any arguments?</ocil:question_text>
│ │ │ │ +      Is it the case that nopasswd and/or !authenticate is enabled in sudo?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │ -          <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_SLUB_DEBUG /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │ +          <ocil:question_text>To check for serial port entries which permit root login,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo grep ^ttyS/[0-9] /etc/securetty
│ │ │ │ +If any output is returned, then root login over serial ports is permitted.
│ │ │ │ +      Is it the case that root login over serial ports is permitted?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if NOEXEC has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults.*\bnoexec\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that noexec is not enabled in sudo?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the ftruncate system call.
│ │ │ │  
│ │ │ │ -If the system is configured to prevent the usage of the ipv6 on
│ │ │ │ -network interfaces, it will contain a line of the form:
│ │ │ │ -net.ipv6.conf.default.disable_ipv6 = 1
│ │ │ │ -Such lines may be inside any file in the /etc/sysctl.d directory.
│ │ │ │ -This permits insertion of the IPv6 kernel module (which other parts of the
│ │ │ │ -system expect to be present), but otherwise keeps network interfaces
│ │ │ │ -from using IPv6. Run the following command to search for such lines in all
│ │ │ │ -files in /etc/sysctl.d:
│ │ │ │ -$ grep -r ipv6 /etc/sysctl.d
│ │ │ │ -      Is it the case that the ipv6 support is disabled by default on network interfaces?</ocil:question_text>
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -r ftruncate /etc/audit/rules.d
│ │ │ │ +
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep ftruncate /etc/audit/audit.rules
│ │ │ │ +
│ │ │ │ +The output should be the following:
│ │ │ │ +
│ │ │ │ +-a always,exit -F arch=b32 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /dev/shm with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudoers_no_root_target_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the users are allowed to run commands as root, run the following commands:
│ │ │ │ +$ sudo grep -PR '^\s*((?!root\b)[\w]+)\s*(\w+)\s*=\s*(.*,)?\s*[^\(\s]' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +and
│ │ │ │ +$ sudo grep -PR '^\s*((?!root\b)[\w]+)\s*(\w+)\s*=\s*(.*,)?\s*\([\w\s]*\b(root|ALL)\b[\w\s]*\)' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +Both commands should return no output.
│ │ │ │ +      Is it the case that /etc/sudoers file contains rules that allow non-root users to run commands as root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Ensure that Debian 11 does not disable SELinux.
│ │ │ │  
│ │ │ │ -$ mountpoint /dev/shm
│ │ │ │ +Check if "SELinux" is active and in "enforcing" or "permissive" mode with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that "/dev/shm is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +$ sudo getenforce
│ │ │ │ +Enforcing
│ │ │ │ +-OR-
│ │ │ │ +Permissive
│ │ │ │ +      Is it the case that SELinux is disabled?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/group-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/group-
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/group- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the openat system call.
│ │ │ │  
│ │ │ │ -$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +$ sudo grep -r openat /etc/audit/rules.d
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep openat /etc/audit/audit.rules
│ │ │ │ +
│ │ │ │ +The output should be the following:
│ │ │ │ +
│ │ │ │ +-a always,exit -F arch=b32 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/group,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +clock_settime system call, run the following command:
│ │ │ │ +$ sudo grep "clock_settime" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command and verify remote server is configured properly:
│ │ │ │ +# grep -E "^(server|pool)" /etc/chrony.conf
│ │ │ │ +      Is it the case that a remote time server is not configured?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/passwd-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/group
│ │ │ │ +$ ls -lL /etc/passwd-
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/group does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/passwd- does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -ufw service:
│ │ │ │ -$ sudo systemctl is-active ufw
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the service is not enabled?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the postfix package is installed: $ dpkg -l  postfix
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the system-wide shared library directories are owned by "root" with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /dev/shm with the following command:
│ │ │ │  
│ │ │ │ -$ sudo find /lib /lib64 /usr/lib /usr/lib64 ! -user root -type d -exec stat -c "%n %U" '{}' \;
│ │ │ │ -      Is it the case that any system-wide shared library directory is not owned by root?</ocil:question_text>
│ │ │ │ +$ mountpoint /dev/shm
│ │ │ │ +
│ │ │ │ +      Is it the case that "/dev/shm is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -rmdir system call, run the following command:
│ │ │ │ -$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -unlink system call, run the following command:
│ │ │ │ -$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -unlinkat system call, run the following command:
│ │ │ │ -$ sudo grep "unlinkat" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -rename system call, run the following command:
│ │ │ │ -$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -renameat system call, run the following command:
│ │ │ │ -$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-securetty_root_login_console_only_question:question:1">
│ │ │ │ +          <ocil:question_text>To check for virtual console entries which permit root login, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep ^vc/[0-9] /etc/securetty
│ │ │ │ +If any output is returned, then root logins over virtual console devices is permitted.
│ │ │ │ +      Is it the case that root login over virtual console devices is permitted?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>If the system is configured to prevent the loading of the rds kernel module,
│ │ │ │ +it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ +These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │ +
│ │ │ │ +Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ +$ grep -r rds /etc/modprobe.conf /etc/modprobe.d
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │ -          <ocil:question_text>To properly set the owner of /var/log/audit, run the command:
│ │ │ │ -$ sudo chown root /var/log/audit 
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_loglevel_verbose_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's LogLevel option is set, run the following command:
│ │ │ │  
│ │ │ │ -To properly set the owner of /var/log/audit/*, run the command:
│ │ │ │ -$ sudo chown root /var/log/audit/* 
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +$ sudo grep -i LogLevel /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating VERBOSE is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │ +          <ocil:question_text>The existence of the file /etc/hosts.equiv or a file named
│ │ │ │ +.rhosts inside a user home directory indicates the presence
│ │ │ │ +of an Rsh trust relationship.
│ │ │ │ +      Is it the case that these files exist?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-audit_rules_sysadmin_actions_question:question:1">
│ │ │ │            <ocil:question_text>To verify that auditing is configured for system administrator actions, run the following command:
│ │ │ │  $ sudo auditctl -l | grep "watch=/etc/sudoers\|watch=/etc/sudoers.d\|-w /etc/sudoers\|-w /etc/sudoers.d"
│ │ │ │        Is it the case that there is not output?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the audit system prevents unauthorized changes with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /var/log/syslog,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /var/log/syslog
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /var/log/syslog does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 takes the appropriate action when the audit storage volume is full.
│ │ │ │  
│ │ │ │ -$ sudo grep "^\s*[^#]" /etc/audit/audit.rules | tail -1
│ │ │ │ --e 2
│ │ │ │ +Check that Debian 11 takes the appropriate action when the audit storage volume is full with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the audit system is not set to be immutable by adding the "-e 2" option to the end of "/etc/audit/audit.rules"?</ocil:question_text>
│ │ │ │ +$ sudo grep disk_full_action /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +disk_full_action = 
│ │ │ │ +
│ │ │ │ +If the value of the "disk_full_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full.
│ │ │ │ +      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's KerberosAuthentication option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i KerberosAuthentication /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_SHA512 /boot/config.*
│ │ │ │ +    $ grep CONFIG_KEXEC /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/gshadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/gshadow
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -shadow
│ │ │ │ -      Is it the case that /etc/gshadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 notifies the SA and ISSO (at a minimum) when allocated audit record storage volume reaches 75 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -w space_left_action /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +space_left_action = 
│ │ │ │ +
│ │ │ │ +If the value of the "space_left_action" is not set to "", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ +      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/shadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/shadow
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /etc/shadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │ +          <ocil:question_text>To check if compression is enabled or set correctly, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep Compression /etc/ssh/sshd_config
│ │ │ │ +If configured properly, output should be no or delayed.
│ │ │ │ +      Is it the case that it is commented out, or is not set to no or delayed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that McAfee HIPS is installed, run the following command(s):
│ │ │ │ -$ rpm -q MFEhiplsm
│ │ │ │ -      Is it the case that the HBSS HIPS module is not installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_maximum_age_login_defs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 11 enforces a -day maximum password lifetime for new user accounts by running the following command:
│ │ │ │ +
│ │ │ │ +$ grep -i pass_max_days /etc/login.defs
│ │ │ │ +
│ │ │ │ +PASS_MAX_DAYS 
│ │ │ │ +      Is it the case that the "PASS_MAX_DAYS" parameter value is greater than "&lt;sub idref="var_accounts_maximum_age_login_defs" /&gt;", or commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │ -          <ocil:question_text>Ensure that debug-shell service is not enabled with the following command:
│ │ │ │ -grep systemd\.debug-shell=1 /boot/grub2/grubenv /etc/default/grub
│ │ │ │ -If the command returns a line, it means that debug-shell service is being enabled.
│ │ │ │ -      Is it the case that the comand returns a line?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-disallow_bypass_password_sudo_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the operating system is not configured to bypass password requirements for privilege
│ │ │ │ +escalation. Check the configuration of the "/etc/pam.d/sudo" file with the following command:
│ │ │ │ +$ sudo grep pam_succeed_if /etc/pam.d/sudo
│ │ │ │ +      Is it the case that system is configured to bypass password requirements for privilege escalation?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │ -          <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ -$ sudo postconf alias_maps
│ │ │ │ -Query the Postfix alias maps for an alias for the postmaster user:
│ │ │ │ -$ sudo postmap -q postmaster hash:/etc/aliases
│ │ │ │ -The output should return root.
│ │ │ │ -      Is it the case that the alias is not set or is not root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │ +          <ocil:question_text>The file permissions for all log files written by rsyslog should
│ │ │ │ +be set to 640, or more restrictive. These log files are determined by the
│ │ │ │ +second part of each Rule line in /etc/rsyslog.conf and typically
│ │ │ │ +all appear in /var/log. To see the permissions of a given log
│ │ │ │ +file, run the following command:
│ │ │ │ +$ ls -l LOGFILE
│ │ │ │ +The permissions should be 640, or more restrictive.
│ │ │ │ +      Is it the case that the permissions are not correct?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured use a non-default faillock directory to ensure contents persist after reboot:
│ │ │ │ +
│ │ │ │ +$ sudo grep 'dir =' /etc/security/faillock.conf
│ │ │ │ +
│ │ │ │ +dir = /var/log/faillock
│ │ │ │ +      Is it the case that the "dir" option is not set to a non-default documented tally log directory, is missing or commented out?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +auditd service:
│ │ │ │ +$ sudo systemctl is-active auditd
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the auditd service is not running?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /tmp with the following command:
│ │ │ │ +
│ │ │ │ +$ mountpoint /tmp
│ │ │ │ +
│ │ │ │ +      Is it the case that "/tmp is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_chown_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -clock_settime system call, run the following command:
│ │ │ │ -$ sudo grep "clock_settime" /etc/audit/audit.*
│ │ │ │ +chown system call, run the following command:
│ │ │ │ +$ sudo grep "chown" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_polyinstantiated_tmp_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to ensure that /tmp is configured as a
│ │ │ │ +polyinstantiated directory:
│ │ │ │ +$ sudo grep /tmp /etc/security/namespace.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +/tmp     /tmp/tmp-inst/            level      root,adm
│ │ │ │ +      Is it the case that is not configured?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the open_by_handle_at system call.
│ │ │ │ +
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -r open_by_handle_at /etc/audit/rules.d
│ │ │ │ +
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep open_by_handle_at /etc/audit/audit.rules
│ │ │ │ +
│ │ │ │ +The output should be the following:
│ │ │ │ +
│ │ │ │ +-a always,exit -F arch=b32 -S open_by_handle_at -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S open_by_handle_at -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S open_by_handle_at -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S open_by_handle_at -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_DEVKMEM /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the openssh-server package is installed: $ dpkg -l  openssh-server
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fsetxattr system call, run the following command:
│ │ │ │ -$ sudo grep "fsetxattr" /etc/audit/audit.*
│ │ │ │ +unlinkat system call, run the following command:
│ │ │ │ +$ sudo grep "unlinkat" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /boot/System.map*,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /boot/System.map*
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /boot/System.map* does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.arp_filter kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.arp_filter
│ │ │ │ -.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit changes to its SELinux
│ │ │ │ +configuration files, run the following command:
│ │ │ │ +$ sudo auditctl -l | grep "dir=/usr/share/selinux"
│ │ │ │ +If the system is configured to watch for changes to its SELinux
│ │ │ │ +configuration, a line should be returned (including
│ │ │ │ +perm=wa indicating permissions that are watched).
│ │ │ │ +      Is it the case that the system is not configured to audit attempts to change the MAC policy?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to see what the max sessions number is:
│ │ │ │ -$ sudo grep MaxSessions /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -MaxSessions 
│ │ │ │ -      Is it the case that MaxSessions is not configured or not configured correctly?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │ +          <ocil:question_text>To find the location of the AIDE database file, run the following command:
│ │ │ │ +$ sudo ls -l DBDIR/database_file_name
│ │ │ │ +      Is it the case that there is no database file?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that the system is integrated with a centralized authentication mechanism
│ │ │ │ -such as as Active Directory, Kerberos, Directory Server, etc. that has
│ │ │ │ -automated account mechanisms in place.
│ │ │ │ -      Is it the case that the system is not using a centralized authentication mechanism, or it is not automated?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +finit_module system call, run the following command:
│ │ │ │ +$ sudo grep "finit_module" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_KEXEC /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEBUG_LIST /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-rsyslog_files_groupownership_question:question:1">
│ │ │ │ +          <ocil:question_text>The group-owner of all log files written by rsyslog should be
│ │ │ │ +adm.
│ │ │ │ +These log files are determined by the second part of each Rule line in
│ │ │ │ +/etc/rsyslog.conf and typically all appear in /var/log.
│ │ │ │ +To see the group-owner of a given log file, run the following command:
│ │ │ │ +$ ls -l LOGFILE
│ │ │ │ +      Is it the case that the group-owner is not correct?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/ssh/*.pub,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/ssh/*.pub
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/ssh/*.pub does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the openssh-server package is installed: $ dpkg -l  openssh-server
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that auditing of privileged command use is configured, run the following command
│ │ │ │ +to search privileged commands in relevant partitions and check if they are covered by auditd
│ │ │ │ +rules:
│ │ │ │ +
│ │ │ │ +FILTER_NODEV=$(awk '/nodev/ { print $2 }' /proc/filesystems | paste -sd,)
│ │ │ │ +PARTITIONS=$(findmnt -n -l -k -it $FILTER_NODEV | grep -Pv "noexec|nosuid" | awk '{ print $1 }')
│ │ │ │ +for PARTITION in $PARTITIONS; do
│ │ │ │ +  for PRIV_CMD in $(find "${PARTITION}" -xdev -perm /6000 -type f 2&gt;/dev/null); do
│ │ │ │ +    grep -qr "${PRIV_CMD}" /etc/audit/rules.d /etc/audit/audit.rules &amp;&amp;
│ │ │ │ +      printf "OK: ${PRIV_CMD}\n" || printf "WARNING - rule not found for: ${PRIV_CMD}\n"
│ │ │ │ +  done
│ │ │ │ +done
│ │ │ │ +
│ │ │ │ +The output should not contain any WARNING.
│ │ │ │ +      Is it the case that any setuid or setgid programs doesn't have a line in the audit rules?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /var/log/audit with the following command:
│ │ │ │ +
│ │ │ │ +$ mountpoint /var/log/audit
│ │ │ │ +
│ │ │ │ +      Is it the case that "/var/log/audit is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-kernel_config_ia32_emulation_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │      $ grep CONFIG_IA32_EMULATION /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if negation is used to define commands users are allowed to execute using sudo, run the following command:
│ │ │ │ +$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,!\n][^,\n]+,)*\s*(?:\([^\)]+\))?\s*(?!\s*\()(!\S+).*' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that /etc/sudoers file contains rules that define the set of allowed commands using negation?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the audit log directories have a correct mode or less permissive mode.
│ │ │ │ +
│ │ │ │ +Find the location of the audit logs:
│ │ │ │ +
│ │ │ │ +$ sudo grep "^log_file" /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +
│ │ │ │ +Find the group that owns audit logs:
│ │ │ │ +
│ │ │ │ +$ sudo grep "^log_group" /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +
│ │ │ │ +Run the following command to check the mode of the system audit logs:
│ │ │ │ +
│ │ │ │ +$ sudo stat -c "%a %n" [audit_log_directory]
│ │ │ │ +
│ │ │ │ +Replace "[audit_log_directory]" to the correct audit log directory path, by default this location is "/var/log/audit".
│ │ │ │ +
│ │ │ │ +
│ │ │ │ +If the log_group is "root" or is not set, the correct permissions are 0700, otherwise they are 0750.
│ │ │ │ +      Is it the case that audit logs have a more permissive mode?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-kernel_config_seccomp_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │      $ grep CONFIG_SECCOMP /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if logfile has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults\s*\blogfile\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that logfile is not enabled in sudo?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command and verify that time sources are only configured with server directive:
│ │ │ │ +# grep -E "^(server|pool)" /etc/chrony.conf
│ │ │ │ +A line with the appropriate server should be returned, any line returned starting with pool is a finding.
│ │ │ │ +      Is it the case that an authoritative remote time server is not configured or configured with pool directive?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_syslog_question:question:1">
│ │ │ │            <ocil:question_text>To check the group ownership of /var/log/syslog,
│ │ │ │  run the command:
│ │ │ │  $ ls -lL /var/log/syslog
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  adm
│ │ │ │        Is it the case that /var/log/syslog does not have a group owner of adm?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_KEY /boot/config.*
│ │ │ │ +    $ grep CONFIG_PANIC_ON_OOPS /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "" should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudoers_no_root_target_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the users are allowed to run commands as root, run the following commands:
│ │ │ │ -$ sudo grep -PR '^\s*((?!root\b)[\w]+)\s*(\w+)\s*=\s*(.*,)?\s*[^\(\s]' /etc/sudoers /etc/sudoers.d/
│ │ │ │ -and
│ │ │ │ -$ sudo grep -PR '^\s*((?!root\b)[\w]+)\s*(\w+)\s*=\s*(.*,)?\s*\([\w\s]*\b(root|ALL)\b[\w\s]*\)' /etc/sudoers /etc/sudoers.d/
│ │ │ │ -Both commands should return no output.
│ │ │ │ -      Is it the case that /etc/sudoers file contains rules that allow non-root users to run commands as root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /var with the following command:
│ │ │ │ +
│ │ │ │ +$ mountpoint /var
│ │ │ │ +
│ │ │ │ +      Is it the case that "/var is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PrintLastLog option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/group,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/group
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/group does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │  
│ │ │ │ -$ sudo grep -i PrintLastLog /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep audit /etc/security/faillock.conf
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +audit
│ │ │ │ +      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the operating system authenticates the remote logging server for off-loading audit logs with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +$ sudo grep -i '$ActionSendStreamDriverAuthMode' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ +The output should be
│ │ │ │ +$/etc/rsyslog.conf:$ActionSendStreamDriverAuthMode x509/name
│ │ │ │ +      Is it the case that $ActionSendStreamDriverAuthMode in /etc/rsyslog.conf is not set to x509/name?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECURITY_WRITABLE_HOOKS /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the audit system prevents unauthorized changes with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep "^\s*[^#]" /etc/audit/audit.rules | tail -1
│ │ │ │ +-e 2
│ │ │ │ +
│ │ │ │ +      Is it the case that the audit system is not set to be immutable by adding the "-e 2" option to the end of "/etc/audit/audit.rules"?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that Audit Daemon is configured to flush to disk after
│ │ │ │ -every  records, run the following command:
│ │ │ │ -$ sudo grep freq /etc/audit/auditd.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -freq = 
│ │ │ │ -      Is it the case that freq isn't set to &lt;sub idref="var_auditd_freq" /&gt;?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/shadow-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/shadow-
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /etc/shadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECURITY_YAMA /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /var/log/messages,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /var/log/messages
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /var/log/messages does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_question:question:1">
│ │ │ │            <ocil:question_text>The runtime status of the net.ipv4.conf.all.arp_ignore kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │  $ sysctl net.ipv4.conf.all.arp_ignore
│ │ │ │  .
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/group-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/group-
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/group- does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 takes the appropriate action when an audit processing failure occurs.
│ │ │ │ -
│ │ │ │ -Check that Debian 11 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PrintLastLog option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │ +$ sudo grep -i PrintLastLog /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -disk_error_action = 
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ -      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │ -
│ │ │ │ -$ sudo grep audit /etc/security/faillock.conf
│ │ │ │ -
│ │ │ │ -audit
│ │ │ │ -      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 limits the number of concurrent sessions to
│ │ │ │ +"" for all
│ │ │ │ +accounts and/or account types with the following command:
│ │ │ │ +$ grep -r -s maxlogins /etc/security/limits.conf /etc/security/limits.d/*.conf
│ │ │ │ +/etc/security/limits.conf:* hard maxlogins 10
│ │ │ │ +This can be set as a global domain (with the * wildcard) but may be set differently for multiple domains.
│ │ │ │ +      Is it the case that the "maxlogins" item is missing, commented out, or the value is set greater
│ │ │ │ +than "&lt;sub idref="var_accounts_max_concurrent_login_sessions" /&gt;" and
│ │ │ │ +is not documented with the Information System Security Officer (ISSO) as an
│ │ │ │ +operational requirement for all domains that have the "maxlogins" item
│ │ │ │ +assigned'?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/ssh/*_key,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/passwd-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/ssh/*_key
│ │ │ │ +$ ls -lL /etc/passwd-
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/ssh/*_key does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/passwd- does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's HostbasedAuthentication option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i HostbasedAuthentication /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +lchown system call, run the following command:
│ │ │ │ +$ sudo grep "lchown" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if NOPASSWD or !authenticate have been configured for
│ │ │ │ -sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "nopasswd\|\!authenticate" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that nopasswd and/or !authenticate is enabled in sudo?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_security_dmesg_restrict_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECURITY_DMESG_RESTRICT /boot/config.*
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_ALL /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/security/opasswd" with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep 
│ │ │ │ -
│ │ │ │ --w  -p wa -k logins
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-accounts_minimum_age_login_defs_question:question:1">
│ │ │ │            <ocil:question_text>Verify Debian 11 enforces 24 hours/one day as the minimum password lifetime for new user accounts.
│ │ │ │  
│ │ │ │  Check for the value of "PASS_MIN_DAYS" in "/etc/login.defs" with the following command:
│ │ │ │  
│ │ │ │  $ grep -i pass_min_days /etc/login.defs
│ │ │ │  
│ │ │ │  PASS_MIN_DAYS 
│ │ │ │        Is it the case that the "PASS_MIN_DAYS" parameter value is not "&lt;sub idref="var_accounts_minimum_age_login_defs" /&gt;" or greater, or is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the system for the existence of any .netrc files,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo find /home -xdev -name .netrc
│ │ │ │ -      Is it the case that any .netrc files exist?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -chmod system call, run the following command:
│ │ │ │ -$ sudo grep "chmod" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the system-wide shared library files are owned by "root" with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if NOEXEC has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults.*\bnoexec\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that noexec is not enabled in sudo?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PAGE_TABLE_ISOLATION /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 ! -user root -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system wide shared library file is not owned by root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_FORCE /boot/config.*
│ │ │ │ +    $ grep CONFIG_BINFMT_MISC /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure the default password is not set, run the following command:
│ │ │ │ -$ sudo grep -v "^#" /etc/snmp/snmpd.conf| grep -E 'public|private'
│ │ │ │ -There should be no output.
│ │ │ │ -      Is it the case that the default SNMP passwords public and private have not been changed or removed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the logrotate package is installed: $ dpkg -l  logrotate
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify users are provided with feedback on when account accesses last occurred with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep pam_lastlog /etc/pam.d/postlogin
│ │ │ │ -
│ │ │ │ -session [default=1] pam_lastlog.so showfailed
│ │ │ │ -      Is it the case that "pam_lastlog.so" is not properly configured in "/etc/pam.d/postlogin" file?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/gshadow,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/gshadow
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /etc/gshadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the cron package is installed:
│ │ │ │ -$ dpkg -l  cron
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/group-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/group-
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/group- does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the truncate system call.
│ │ │ │ -
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -r truncate /etc/audit/rules.d
│ │ │ │ -
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep truncate /etc/audit/audit.rules
│ │ │ │ -
│ │ │ │ -The output should be the following:
│ │ │ │ -
│ │ │ │ --a always,exit -F arch=b32 -S truncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S truncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S truncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S truncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │ +          <ocil:question_text>To check if the installed Operating System is 64-bit, run the following command:
│ │ │ │ +$ uname -m
│ │ │ │ +The output should be one of the following: x86_64, aarch64, ppc64le or s390x.
│ │ │ │ +If the output is i686 or i386 the operating system is 32-bit.
│ │ │ │ +Check if the installed CPU supports 64-bit operating systems by running the following command:
│ │ │ │ +$ lscpu | grep "CPU op-mode"
│ │ │ │ +If the output contains 64bit, the CPU supports 64-bit operating systems.
│ │ │ │ +      Is it the case that the installed operating sytem is 32-bit but the CPU supports operation in 64-bit?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │ -          <ocil:question_text>If IPv6 is disabled, this is not applicable.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.default.shared_media kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.default.shared_media
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -Inspect the file /etc/sysconfig/ip6tables to determine
│ │ │ │ -the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ -$ sudo grep ":INPUT" /etc/sysconfig/ip6tables
│ │ │ │ -      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -removexattr system call, run the following command:
│ │ │ │ -$ sudo grep "removexattr" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "reboot" command with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that the interactive user account passwords last change time is not in the future
│ │ │ │ -The following command should return no output
│ │ │ │ -$ sudo expiration=$(cat /etc/shadow|awk -F ':' '{print $3}');
│ │ │ │ -for edate in ${expiration[@]}; do if [[ $edate &gt; $(( $(date +%s)/86400 )) ]];
│ │ │ │ -then echo "Expiry date in future";
│ │ │ │ -fi; done 
│ │ │ │ -      Is it the case that any interactive user password that has last change time in the future?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the operating system authenticates the remote logging server for off-loading audit logs with the following command:
│ │ │ │ +$ sudo auditctl -l | grep reboot
│ │ │ │  
│ │ │ │ -$ sudo grep -i '$ActionSendStreamDriverAuthMode' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ -The output should be
│ │ │ │ -$/etc/rsyslog.conf:$ActionSendStreamDriverAuthMode x509/name
│ │ │ │ -      Is it the case that $ActionSendStreamDriverAuthMode in /etc/rsyslog.conf is not set to x509/name?</ocil:question_text>
│ │ │ │ +-a always,exit -F path=/reboot -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-reboot
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_PANIC_TIMEOUT /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to ensure that /var/tmp is configured as a
│ │ │ │ -polyinstantiated directory:
│ │ │ │ -$ sudo grep /var/tmp /etc/security/namespace.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -/var/tmp /var/tmp/tmp-inst/    level      root,adm
│ │ │ │ -      Is it the case that is not configured?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to ensure postfix routes mail to this system:
│ │ │ │ +$ grep relayhost /etc/postfix/main.cf
│ │ │ │ +If properly configured, the output should show only .
│ │ │ │ +      Is it the case that it is not?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -delete_module system call, run the following command:
│ │ │ │ -$ sudo grep "delete_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the system-wide shared library files contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 -perm /022 -type f -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system-wide shared library file is found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_polyinstantiated_tmp_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to ensure that /tmp is configured as a
│ │ │ │ -polyinstantiated directory:
│ │ │ │ -$ sudo grep /tmp /etc/security/namespace.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -/tmp     /tmp/tmp-inst/            level      root,adm
│ │ │ │ -      Is it the case that is not configured?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure ClientAliveInterval is set correctly, run the following command:
│ │ │ │ +$ sudo grep ClientAliveCountMax /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +ClientAliveCountMax 
│ │ │ │ +For SSH earlier than v8.2, a ClientAliveCountMax value of 0 causes a timeout precisely when
│ │ │ │ +the ClientAliveInterval is set.  Starting with v8.2, a value of 0 disables the timeout
│ │ │ │ +functionality completely.
│ │ │ │ +If the option is set to a number greater than 0, then the session will be disconnected after
│ │ │ │ +ClientAliveInterval * ClientAliveCountMax seconds without receiving a keep alive message.
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that Audit Daemon is configured to resolve all uid, gid, syscall,
│ │ │ │ -architecture, and socket address information before writing the event to disk,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo grep log_format /etc/audit/auditd.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -log_format = ENRICHED
│ │ │ │ -      Is it the case that log_format isn't set to ENRICHED?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_messages_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /var/log/messages,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /var/log/messages
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /var/log/messages does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_CREDENTIALS /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/passwd,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/passwd
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/passwd does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_var_log_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /var/log with the following command:
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +$ mountpoint /var/log
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +      Is it the case that "/var/log is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 11 disables core dump backtraces by issuing the following command:
│ │ │ │ -
│ │ │ │ -$ grep -i process /etc/systemd/coredump.conf
│ │ │ │ -
│ │ │ │ -ProcessSizeMax=0
│ │ │ │ -      Is it the case that the "ProcessSizeMax" item is missing, commented out, or the value is anything other than "0" and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit changes to its SELinux
│ │ │ │ +configuration files, run the following command:
│ │ │ │ +$ sudo auditctl -l | grep "dir=/etc/selinux"
│ │ │ │ +If the system is configured to watch for changes to its SELinux
│ │ │ │ +configuration, a line should be returned (including
│ │ │ │ +perm=wa indicating permissions that are watched).
│ │ │ │ +      Is it the case that the system is not configured to audit attempts to change the MAC policy?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.randomize_va_space kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.randomize_va_space
│ │ │ │ -2.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 11 disables storing core dumps for all users by issuing the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +$ grep -i storage /etc/systemd/coredump.conf
│ │ │ │ +
│ │ │ │ +Storage=none
│ │ │ │ +      Is it the case that Storage is not set to none or is commented out and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │        </ocil:questions>
│ │ │ │      </ocil:ocil>
│ │ │ │    </ds:component>
│ │ │ │    <ds:component id="scap_org.open-scap_comp_ssg-debian11-cpe-oval.xml" timestamp="2025-03-01T08:08:00">
│ │ │ │      <oval-def:oval_definitions xsi:schemaLocation="http://oval.mitre.org/XMLSchema/oval-common-5 oval-common-schema.xsd  http://oval.mitre.org/XMLSchema/oval-definitions-5 oval-definitions-schema.xsd  http://oval.mitre.org/XMLSchema/oval-definitions-5#independent independent-definitions-schema.xsd  http://oval.mitre.org/XMLSchema/oval-definitions-5#unix unix-definitions-schema.xsd  http://oval.mitre.org/XMLSchema/oval-definitions-5#linux linux-definitions-schema.xsd">
│ │ │ │        <oval-def:generator>
│ │ ├── ./usr/share/xml/scap/ssg/content/ssg-debian11-ocil.xml
│ │ │ ├── ./usr/share/xml/scap/ssg/content/ssg-debian11-ocil.xml
│ │ │ │┄ Ordering differences only
│ │ │ │ @@ -3,5857 +3,5660 @@
│ │ │ │    <ocil:generator>
│ │ │ │      <ocil:product_name>build_shorthand.py from SCAP Security Guide</ocil:product_name>
│ │ │ │      <ocil:product_version>ssg: 0.1.76</ocil:product_version>
│ │ │ │      <ocil:schema_version>2.0</ocil:schema_version>
│ │ │ │      <ocil:timestamp>2025-03-01T08:08:00</ocil:timestamp>
│ │ │ │    </ocil:generator>
│ │ │ │    <ocil:questionnaires>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_proc_kcore_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable support for /proc/kkcore</ocil:title>
│ │ │ │ -      <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_proc_kcore_action:testaction:1</ocil:test_action_ref>
│ │ │ │ -      </ocil:actions>
│ │ │ │ -    </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_panic_timeout_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Kernel panic timeout</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_strictmodes_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Use of Strict Mode Checking</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_panic_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_strictmodes_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_max_concurrent_login_sessions_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Limit the Number of Concurrent Login Sessions Allowed Per User</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_action_mail_acct_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd mail_acct Action on Low Disk Space</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_srv_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /srv Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_srv_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_devkmem_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable /dev/kmem virtual device support</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /var/log/syslog File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_devkmem_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_sha512_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Sign kernel modules with SHA-512</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_dir_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Account Lockouts Must Persist</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_chronyd_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>The Chronyd service is enabled</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_chronyd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-dir_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that System Executable Directories Have Restrictive Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_init_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - init</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-dir_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH Support for .rhosts Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns Backup gshadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_pam_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable PAM</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_logon_fail_delay_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure the Logon Failure Delay is Set Correctly in login.defs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_pam_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_logon_fail_delay_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_ownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Audit Configuration Files Must Be Owned By Root</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_ownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that System Executables Have Root Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Kernel panic on oops</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_use_priv_separation_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Use of Privilege Separation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_use_priv_separation_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlink_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects File Deletion Events by User - unlink</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_hardlinks_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Kernel Parameter to Enforce DAC on Hardlinks</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_write_logs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Write Audit Logs to the Disk</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_delete_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on Kernel Module Unloading - delete_module</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_write_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on passwd File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_module_ipv6_option_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable IPv6 Networking Support Automatic Loading</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lremovexattr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lremovexattr</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_overflow_action_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Appropriate Action Must be Setup When the Internal Audit Event Queue is Full</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_overflow_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_slab_nomerge_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable merging of slabs with similar size</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_net_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_0_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set SSH Client Alive Count Max to zero</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns shadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_0_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_home_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /home Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-gid_passwd_group_same_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>All GIDs referenced in /etc/passwd must be defined in /etc/group</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_home_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-gid_passwd_group_same_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd Max Log File Size</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_login_grace_time_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure SSH LoginGraceTime is configured</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_login_grace_time_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_idle_timeout_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set SSH Client Alive Interval</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_proc_kcore_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable support for /proc/kkcore</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_idle_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_proc_kcore_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Sending and Accepting Shared Media Redirects for All IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_warn_age_login_defs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Password Warning Age</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_num_logs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd Number of Logs Retained</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_shutdown_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - shutdown</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_num_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Encrypted X11 Forwarding</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-harden_ssh_client_crypto_policy_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Harden SSH client Crypto Policy</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_init_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on Kernel Module Loading - init_module</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-no_empty_passwords_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Prevent Login to Accounts With Empty Password</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-no_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Unauthorized Access Attempts to Files (unsuccessful)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_ntp_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Install the ntp service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_ntp_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-ensure_logrotate_activated_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Logrotate Runs Periodically</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-dir_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that System Executable Have Root Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-ensure_logrotate_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-dir_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_empty_passwords_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH Access via Empty Passwords</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Specify module signing key to use</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Prevent Routing External Traffic to Local Loopback on All IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_var_tmp_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Polyinstantiation of /var/tmp Directories</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_nss-tools_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure nss-tools is installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_nss-tools_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount2_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount2</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-set_ip6tables_default_rule_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Default ip6tables Policy for Incoming Packets</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-set_ip6tables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_unauthorized_world_writable_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure No World-Writable Files Exist</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_no_uid_except_zero_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Only Root Has UID 0</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_ptys_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable legacy (BSD) PTY support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_no_uid_except_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_ptys_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_ntp_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Install the ntp service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-ensure_logrotate_activated_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Logrotate Runs Periodically</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_ntp_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-ensure_logrotate_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-selinux_state_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure SELinux State is Enforcing</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-selinux_state_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns Backup passwd File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_security_yama_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Yama support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_security_yama_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_symlinks_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Kernel Parameter to Enforce DAC on Symlinks</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_ip6tables_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify ip6tables Enabled if Using IPv6</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nodev_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add nodev Option to /dev/shm</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_ip6tables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_time_watch_localtime_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Attempts to Alter the localtime File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns group File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchown_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchown</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-coredump_disable_backtraces_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable core dump backtraces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-coredump_disable_backtraces_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set SSH Client Alive Count Max</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchownat_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchownat</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_init_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - init</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_log_format_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Resolve information before writing to audit logs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_log_format_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns passwd File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_x86_vsyscall_emulation_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable x86 vsyscall emulation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_compat_vdso_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable the 32-bit vDSO</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_bug_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable support for BUG()</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_compat_vdso_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_bug_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_add_requiretty_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo requiretty</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns Backup gshadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_add_requiretty_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_nosmap_argument_absent_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure SMAP is not disabled during boot</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_fs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable kernel debugfs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_fs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_notifiers_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable checks on notifier call chains</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_ipv6_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable the IPv6 protocol</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_notifiers_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable GSSAPI Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Default iptables Policy for Incoming Packets</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_gnutls-utils_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure gnutls-utils is installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chmod_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chmod</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_gnutls-utils_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that System Executables Have Restrictive Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_lastlog_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Attempts to Alter Logon and Logout Events - lastlog</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_maxstartups_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure SSH MaxStartups is configured</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_maxstartups_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_action_mail_acct_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd mail_acct Action on Low Disk Space</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_profile_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure the Default Umask is Set Correctly in /etc/profile</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_profile_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_info_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set LogLevel to INFO</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_var_log_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /var/log Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_info_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that Shared Library Files Have Restrictive Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-gnome_gdm_disable_xdmcp_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable XDMCP in GDM</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_fs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable kernel debugfs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_nosmep_argument_absent_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure SMEP is not disabled during boot</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_fs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_aide_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Install AIDE</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns passwd File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_aide_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_rekey_limit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Force frequent session key renegotiation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Unsuccessful Access Attempts to Files - truncate</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_rekey_limit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_memory_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Randomize the kernel memory sections</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_compat_vdso_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable the 32-bit vDSO</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_memory_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_compat_vdso_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │      <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nosuid_ocil:questionnaire:1">
│ │ │ │        <ocil:title>Add nosuid Option to /dev/shm</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │          <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_zero_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Use zero for poisoning instead of debugging value</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on Backup group File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_gnutls-utils_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure gnutls-utils is installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_gnutls-utils_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_files_groupownership_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Log Files Are Owned By Appropriate Group</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_net-snmp_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall net-snmp Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_files_groupownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_net-snmp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_root_password_login_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH root Login with a Password (Insecure)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lremovexattr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lremovexattr</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_root_password_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_remove_nopasswd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo NOPASSWD</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure System to Forward All Mail For The Root Account</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_remove_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-no_rsh_trust_files_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Remove Rsh Trust Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_module_uvcvideo_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable the uvcvideo module</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-no_rsh_trust_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │      <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_renameat_ocil:questionnaire:1">
│ │ │ │        <ocil:title>Ensure auditd Collects File Deletion Events by User - renameat</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │          <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_ptys_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable legacy (BSD) PTY support</ocil:title>
│ │ │ │ -      <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_ptys_action:testaction:1</ocil:test_action_ref>
│ │ │ │ -      </ocil:actions>
│ │ │ │ -    </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_logon_fail_delay_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure the Logon Failure Delay is Set Correctly in login.defs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Accepting Packets Routed Between Local Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_logon_fail_delay_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_stig_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_files_ownership_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Log Files Are Owned By Appropriate User</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_files_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_stig_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns gshadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_module_ipv6_option_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable IPv6 Networking Support Automatic Loading</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable GSSAPI Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_zero_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Use zero for poisoning instead of debugging value</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable IPv6 Addressing on IPv6 Interfaces by Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Public Key Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rename_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects File Deletion Events by User - rename</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-aide_build_database_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Build and Test AIDE Database</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_freq_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set number of records to cause an explicit flush to audit logs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-aide_build_database_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_freq_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_usr_share_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Mandatory Access Controls in usr/share</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that System Executables Have Root Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_syslogng_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable syslog-ng Service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchown_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchown</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_syslogng_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_no_sanity_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable poison without sanity check</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-no_netrc_files_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify No netrc Files Exist</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-no_netrc_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nodev_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add nodev Option to /dev/shm</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_l1tf_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure L1 Terminal Fault mitigations</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_l1tf_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │      <ocil:questionnaire id="ocil:ssg-audit_rules_time_adjtimex_ocil:questionnaire:1">
│ │ │ │        <ocil:title>Record attempts to alter time through adjtimex</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │          <ocil:test_action_ref>ocil:ssg-audit_rules_time_adjtimex_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │ -      <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ -      </ocil:actions>
│ │ │ │ -    </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_audit_configuration_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Audit Configuration Files Permissions are 640 or More Restrictive</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_rsa_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH Support for Rhosts RSA Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_max_auth_tries_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set SSH authentication attempt limit</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_home_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure that User Home Directories are not Group-Writable or World-Readable</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_max_auth_tries_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_home_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_iptables_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify iptables Enabled</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_root_path_dirs_no_write_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure that Root's Path Does Not Include World or Group-Writable Directories</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_iptables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_rsyslog_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable rsyslog Service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_sshd_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH Server If Possible</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_rsyslog_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_sshd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │      <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_ocil:questionnaire:1">
│ │ │ │        <ocil:title>Disable IPv6 Addressing on All IPv6 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │          <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on Backup shadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-configure_user_data_backups_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Backups of User Data</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-configure_user_data_backups_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-chronyd_server_directive_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Chrony is only configured with the server directive</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns Backup shadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-chronyd_server_directive_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns shadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_remove_no_authenticate_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo !authenticate</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_remove_no_authenticate_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_poweroff_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - poweroff</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_compat_brk_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable compatibility with brk()</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_compat_brk_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_user_known_hosts_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH Support for User Known Hosts</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_audit_configuration_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Audit Configuration Files Permissions are 640 or More Restrictive</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-coredump_disable_storage_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable storing core dump</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_rng_core_default_quality_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure the confidence in TPM for entropy</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-coredump_disable_storage_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_auditd_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable auditd Service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_allow_only_protocol2_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Allow Only SSH Protocol 2</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_auditd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_allow_only_protocol2_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchownat_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchownat</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_lastlog_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Attempts to Alter Logon and Logout Events - lastlog</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_audit_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure the audit Subsystem is Installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_page_table_isolation_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Remove the kernel mapping in user mode</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_audit_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_page_table_isolation_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_ipv6_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable the IPv6 protocol</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_hibernation_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable hibernation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_hibernation_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_rng_core_default_quality_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure the confidence in TPM for entropy</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_root_gid_zero_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Root Has A Primary GID 0</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_root_gid_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_x86_vsyscall_emulation_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable x86 vsyscall emulation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable GSSAPI Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_networkconfig_modification_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Network Environment</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_setxattr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - setxattr</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns Backup gshadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_remote_loghost_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Logs Sent To Remote Host</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_remote_loghost_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_forward_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Default iptables Policy for Forwarded Packets</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_max_sessions_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set SSH MaxSessions limit</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_forward_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_max_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_files_ownership_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Log Files Are Owned By Appropriate User</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_pam_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable PAM</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_files_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_pam_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns group File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_filter_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable use of Berkeley Packet Filter with seccomp</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_local_events_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Include Local Events in Audit Logs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_add_requiretty_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo requiretty</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_local_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_add_requiretty_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_net_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_write_logs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Write Audit Logs to the Disk</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_write_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-dir_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that Shared Library Directories Have Root Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-dir_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_var_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /var Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-dir_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that Shared Library Directories Have Restrictive Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_var_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-dir_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_l1tf_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure L1 Terminal Fault mitigations</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudoers_explicit_command_args_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Explicit arguments in sudo specifications</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_l1tf_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudoers_explicit_command_args_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /var/log/messages File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_symlinks_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Kernel Parameter to Enforce DAC on Symlinks</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on Backup gshadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_cron_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable cron Service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_cron_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_openssh-server_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Install the OpenSSH Server Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_info_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set LogLevel to INFO</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_openssh-server_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_info_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_hardlinks_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Kernel Parameter to Enforce DAC on Hardlinks</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_systemmap_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on System.map Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-postfix_client_configure_relayhost_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure System to Forward All Mail through a specific host</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_snmpd_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable snmpd Service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-postfix_client_configure_relayhost_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_snmpd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_hash_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Specify the hash to use when signing modules</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_hash_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns Backup shadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_default_mmap_min_addr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Low Address Space To Protect From User Allocation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_compat_brk_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable compatibility with brk()</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fsetxattr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fsetxattr</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_compat_brk_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Unsuccessful Access Attempts to Files - open</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure debug-shell service is not enabled during boot</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Mandatory Access Controls</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_mce_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Force kernel panic on uncorrected MCEs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_mce_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_limit_user_access_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Limit Users' SSH Access</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable X11 Forwarding</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_limit_user_access_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_permissions_var_log_audit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>System Audit Logs Must Have Mode 0750 or Less Permissive</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_permissions_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_reboot_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - reboot</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns Backup group File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_reboot_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_spectre_v2_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enforce Spectre v2 mitigation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_spectre_v2_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_postfix_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>The Postfix package is installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on shadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_postfix_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-disallow_bypass_password_sudo_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disallow Configuration to Bypass Password Requirements for Privilege Escalation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns gshadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-disallow_bypass_password_sudo_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rmdir_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects File Deletion Events by User - rmdir</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure ARP filtering for All IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_mce_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Force kernel panic on uncorrected MCEs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_fs_suid_dumpable_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Core Dumps for SUID programs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_mce_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure System to Forward All Mail For The Root Account</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_root_password_login_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH root Login with a Password (Insecure)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_root_password_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns gshadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_module_uvcvideo_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable the uvcvideo module</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_user_known_hosts_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH Support for User Known Hosts</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_finit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading - finit_module</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_ip6tables_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify ip6tables Enabled if Using IPv6</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_ip6tables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_list_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable checks on linked list manipulation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_memory_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Randomize the kernel memory sections</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_list_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_memory_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Kernel panic oops</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-account_use_centralized_automated_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Use Centralized and Automated Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-account_use_centralized_automated_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_compression_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Compression Or Set Compression to delayed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_idle_timeout_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set SSH Client Alive Interval</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_compression_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_idle_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_rsa_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH Support for Rhosts RSA Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_nosmap_argument_absent_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure SMAP is not disabled during boot</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Sending and Accepting Shared Media Redirects by Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Unsuccessful Access Attempts to Files - creat</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Audit Configuration Files Must Be Owned By Group root</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_tcp_forwarding_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH TCP Forwarding</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns shadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_audit_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure the audit Subsystem is Installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_audit_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_snmpd_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable snmpd Service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_networkconfig_modification_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Network Environment</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_snmpd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_time_settimeofday_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record attempts to alter time through settimeofday</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_last_change_is_in_past_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure all users last password change date is in the past</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_time_settimeofday_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_net-snmp_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall net-snmp Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns group File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_net-snmp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-gnome_gdm_disable_xdmcp_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable XDMCP in GDM</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_randomize_va_space_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Randomized Layout of Virtual Address Space</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_time_stime_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Attempts to Alter Time Through stime</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_admin_space_left_action_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd admin_space_left Action on Low Disk Space</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_time_stime_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns Backup gshadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Unauthorized Access Attempts to Files (unsuccessful)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_login_defs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure the Default Umask is Set Correctly in login.defs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_time_settimeofday_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record attempts to alter time through settimeofday</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_time_settimeofday_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_allow_only_protocol2_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Allow Only SSH Protocol 2</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_num_logs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd Number of Logs Retained</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_allow_only_protocol2_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_num_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_admin_space_left_action_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd admin_space_left Action on Low Disk Space</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_credentials_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable checks on credential management</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_credentials_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-dir_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that System Executable Have Root Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlink_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects File Deletion Events by User - unlink</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-dir_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify User/Group Information</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_retpoline_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Avoid speculative indirect branches in kernel</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_iptables_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify iptables Enabled</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_retpoline_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_iptables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Unsuccessful Access Attempts to Files - openat</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-no_all_squash_exports_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure All-Squashing Disabled On All Exports</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-no_all_squash_exports_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-harden_ssh_client_crypto_policy_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Harden SSH client Crypto Policy</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Sending and Accepting Shared Media Redirects for All IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudoers_no_command_negation_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Don't define allowed commands in sudoers by means of exclusion</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_max_auth_tries_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set SSH authentication attempt limit</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudoers_no_command_negation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_max_auth_tries_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_module_tipc_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable TIPC Support</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_time_watch_localtime_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Attempts to Alter the localtime File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_module_tipc_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-dir_perms_world_writable_sticky_bits_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that All World-Writable Directories Have Sticky Bits Set</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_syslogng_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure syslog-ng is Installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_syslogng_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_home_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /home Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_home_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_nosmep_argument_absent_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure SMEP is not disabled during boot</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_init_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on Kernel Module Loading - init_module</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_base_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Randomize the address of the kernel image (KASLR)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_nss-tools_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure nss-tools is installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_base_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_nss-tools_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_remote_loghost_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Logs Sent To Remote Host</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_minlen_login_defs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Password Minimum Length in login.defs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_remote_loghost_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable module signature verification</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_retpoline_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Avoid speculative indirect branches in kernel</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_retpoline_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-securetty_root_login_console_only_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Restrict Virtual Console Root Logins</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_root_login_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH Root Login</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-securetty_root_login_console_only_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_root_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-selinux_not_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure SELinux is Not Disabled</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_media_export_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on Exporting to Media (successful)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-selinux_not_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_media_export_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_warn_age_login_defs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Password Warning Age</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-dir_perms_world_writable_sticky_bits_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that All World-Writable Directories Have Sticky Bits Set</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_logrotate_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure logrotate is Installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure System to Forward All Mail From Postmaster to The Root Account</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_logrotate_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_acpi_custom_method_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Do not allow ACPI methods to be inserted/replaced at run time</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable PubkeyAuthentication Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects File Deletion Events by User - unlinkat</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_ntp_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable the NTP Daemon</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_ntp_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-account_unique_name_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure All Accounts on the System Have Unique Names</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-account_unique_name_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_root_gid_zero_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Root Has A Primary GID 0</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_syslogng_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable syslog-ng Service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_root_gid_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_syslogng_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-chronyd_specify_remote_server_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>A remote time server for Chrony is configured</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_unmap_kernel_at_el0_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Unmap kernel when running in userspace (aka KAISER)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-chronyd_specify_remote_server_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Unsuccessful Access Attempts to Files - ftruncate</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on Backup passwd File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_spec_store_bypass_disable_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Speculative Store Bypass Mitigation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-no_direct_root_logins_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Direct root Logins Not Allowed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-no_direct_root_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_audispd_syslog_plugin_activated_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd to use audispd's syslog plugin</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_acpi_custom_method_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Do not allow ACPI methods to be inserted/replaced at run time</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_ntp_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable the NTP Daemon</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-disable_host_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Host-Based Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_ntp_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-disable_host_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns Backup group File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-selinux_state_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure SELinux State is Enforcing</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-selinux_state_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_vdsm_nopasswd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Only the VDSM User Can Use sudo NOPASSWD</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_custom_logfile_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Sudo Logfile Exists - sudo logfile</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_custom_logfile_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on /var/log/syslog File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_rsyslog_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure rsyslog is Installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_rsyslog_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on /var/log Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_spectre_v2_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enforce Spectre v2 mitigation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_spectre_v2_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_security_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable different security models</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_faillock_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Attempts to Alter Logon and Logout Events - faillock</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_security_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_faillock_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_var_log_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /var/log Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH Support for .rhosts Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /var/log Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_stig_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_default_mmap_min_addr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Low Address Space To Protect From User Allocation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_rsyslog_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable rsyslog Service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_rsyslog_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Unsuccessful Access Attempts to Files - open_by_handle_at</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-no_empty_passwords_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure There Are No Accounts With Blank or Null Passwords</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_vdsm_nopasswd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Only the VDSM User Can Use sudo NOPASSWD</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable GSSAPI Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Unsuccessful Access Attempts to Files - open</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_openssh-server_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Remove the OpenSSH Server Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns Backup shadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_openssh-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /var/log/messages File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_disable_recovery_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Recovery Booting</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_disable_recovery_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chown_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chown</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_add_use_pty_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo use_pty</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_add_use_pty_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns Backup passwd File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_audispd_syslog_plugin_activated_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd to use audispd's syslog plugin</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that Shared Library Files Have Root Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-snmpd_not_default_password_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Default SNMP Password Is Not Used</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-snmpd_not_default_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_fs_suid_dumpable_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Core Dumps for SUID programs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns shadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_enable_iommu_force_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>IOMMU configuration directive</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /var/log Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_enable_iommu_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_hibernation_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable hibernation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify User/Group Information</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_hibernation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns Backup shadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rmdir_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects File Deletion Events by User - rmdir</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_profile_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure the Default Umask is Set Correctly in /etc/profile</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-display_login_attempts_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure PAM Displays Last Logon/Access Notification</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_profile_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-display_login_attempts_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_remove_no_authenticate_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo !authenticate</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmod_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmod</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_remove_no_authenticate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_rekey_limit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Force frequent session key renegotiation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_rekey_limit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_setxattr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - setxattr</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_MFEhiplsm_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Install the Host Intrusion Prevention System (HIPS) Module</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_MFEhiplsm_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-restrict_serial_port_logins_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Restrict Serial Port Root Logins</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_no_uid_except_zero_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Only Root Has UID 0</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-restrict_serial_port_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_no_uid_except_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_root_path_dirs_no_write_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure that Root's Path Does Not Include World or Group-Writable Directories</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_ufw_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify ufw Enabled</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_ufw_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-gid_passwd_group_same_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>All GIDs referenced in /etc/passwd must be defined in /etc/group</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-dir_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that System Executable Directories Have Restrictive Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-gid_passwd_group_same_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-dir_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_do_not_permit_user_env_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Do Not Allow SSH Environment Options</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_empty_passwords_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH Access via Empty Passwords</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_messages_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on /var/log/messages File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_0_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set SSH Client Alive Count Max to zero</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_0_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_overflow_action_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Appropriate Action Must be Setup When the Internal Audit Event Queue is Full</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_time_stime_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Attempts to Alter Time Through stime</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_overflow_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_time_stime_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-prefer_64bit_os_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Prefer to use a 64-bit Operating System when supported</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_force_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Require modules to be validly signed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-prefer_64bit_os_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_systemd-journald_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable systemd-journald Service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lsetxattr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lsetxattr</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_systemd-journald_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmodat_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmodat</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount2_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount2</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_unauthorized_world_writable_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure No World-Writable Files Exist</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rename_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects File Deletion Events by User - rename</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_poweroff_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - poweroff</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_space_left_action_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd space_left Action on Low Disk Space</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_no_sanity_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable poison without sanity check</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_use_priv_separation_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Use of Privilege Separation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fremovexattr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fremovexattr</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_use_priv_separation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_tmp_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /tmp Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that System Executables Have Restrictive Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_chronyd_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>The Chronyd service is enabled</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_chronyd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_add_use_pty_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo use_pty</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on Backup gshadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_add_use_pty_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_syslogng_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure syslog-ng is Installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_forward_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Default iptables Policy for Forwarded Packets</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_syslogng_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_forward_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-no_empty_passwords_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Prevent Login to Accounts With Empty Password</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Prevent Routing External Traffic to Local Loopback on All IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-no_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-configure_user_data_backups_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Backups of User Data</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_syn_cookies_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable TCP/IP syncookie support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-configure_user_data_backups_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_syn_cookies_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Unsuccessful Access Attempts to Files - creat</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_do_not_permit_user_env_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Do Not Allow SSH Environment Options</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-no_all_squash_exports_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure All-Squashing Disabled On All Exports</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_messages_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on /var/log/messages File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-no_all_squash_exports_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Default iptables Policy for Incoming Packets</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_systemd-journald_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable systemd-journald Service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_systemd-journald_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-no_direct_root_logins_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Direct root Logins Not Allowed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-no_direct_root_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_kerb_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Kerberos Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_login_defs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure the Default Umask is Set Correctly in login.defs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_kerb_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_cron_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Install the cron service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_cron_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_enable_iommu_force_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>IOMMU configuration directive</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_enable_iommu_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lchown_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lchown</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Kernel panic on oops</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on gshadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_base_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Randomize the address of the kernel image (KASLR)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_base_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_rsyslog_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure rsyslog is Installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on /var/log Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_rsyslog_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmod_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmod</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_local_events_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Include Local Events in Audit Logs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_local_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns passwd File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_notifiers_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable checks on notifier call chains</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_notifiers_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_var_log_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /var/log Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_chrony_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>The Chrony package is installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_chrony_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_sshd_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH Server If Possible</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_all_shadowed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify All Account Password Hashes are Shadowed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_sshd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_all_shadowed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_var_log_audit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /var/log/audit Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Audit Configuration Files Must Be Owned By Group root</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_login_grace_time_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure SSH LoginGraceTime is configured</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Public Key Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_login_grace_time_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_slub_debug_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable SLUB debugging support</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd Max Log File Size</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_slub_debug_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_files_permissions_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure System Log Files Have Correct Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_module_tipc_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable TIPC Support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_files_permissions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_module_tipc_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_all_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable automatic signing of all modules</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable module signature verification</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_all_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_minlen_login_defs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Password Minimum Length in login.defs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_security_writable_hooks_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable mutable hooks</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_binfmt_misc_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable kernel support for MISC binaries</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_spec_store_bypass_disable_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Speculative Store Bypass Mitigation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_binfmt_misc_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-no_empty_passwords_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure There Are No Accounts With Blank or Null Passwords</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_srv_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /srv Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_srv_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_disable_recovery_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Recovery Booting</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_limit_user_access_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Limit Users' SSH Access</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_disable_recovery_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_limit_user_access_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_shutdown_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - shutdown</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects File Deletion Events by User</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_media_export_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on Exporting to Media (successful)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_ownership_var_log_audit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>System Audit Logs Must Be Owned By Root</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_media_export_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_ownership_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_tallylog_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Attempts to Alter Logon and Logout Events - tallylog</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_security_dmesg_restrict_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Restrict unprivileged access to the kernel syslog</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_strictmodes_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Use of Strict Mode Checking</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_removexattr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - removexattr</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_strictmodes_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_kptr_restrict_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Restrict Exposed Kernel Pointer Addresses Access</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_filter_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable use of Berkeley Packet Filter with seccomp</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_remove_nopasswd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo NOPASSWD</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_remove_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_syn_cookies_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable TCP/IP syncookie support</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_aide_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Install AIDE</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_syn_cookies_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_aide_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_tcp_forwarding_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH TCP Forwarding</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_tallylog_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Attempts to Alter Logon and Logout Events - tallylog</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_all_shadowed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify All Account Password Hashes are Shadowed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_sg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable checks on scatter-gather (SG) table operations</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_all_shadowed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_sg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_cron_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable cron Service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns passwd File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_cron_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_hash_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Specify the hash to use when signing modules</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmodat_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmodat</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_hash_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_bug_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable support for BUG()</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_ownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Audit Configuration Files Must Be Owned By Root</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_bug_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_ownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-account_unique_name_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure All Accounts on the System Have Unique Names</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Encrypted X11 Forwarding</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-account_unique_name_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_home_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure that User Home Directories are not Group-Writable or World-Readable</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_slab_nomerge_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable merging of slabs with similar size</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_home_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_maximum_age_login_defs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Password Maximum Age</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_security_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable different security models</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_maximum_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_security_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-dir_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that Shared Library Directories Have Restrictive Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_require_authentication_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-dir_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_require_authentication_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on group File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_slub_debug_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable SLUB debugging support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_slub_debug_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /var/log/syslog File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-restrict_serial_port_logins_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Restrict Serial Port Root Logins</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-restrict_serial_port_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Accepting Packets Routed Between Local Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_add_noexec_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Privileged Escalated Commands Cannot Execute Other Commands - sudo NOEXEC</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_add_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Unsuccessful Access Attempts to Files - ftruncate</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_unmap_kernel_at_el0_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Unmap kernel when running in userspace (aka KAISER)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudoers_no_root_target_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Don't target root user in the sudoers file</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudoers_no_root_target_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_verbose_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set SSH Daemon LogLevel to VERBOSE</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-selinux_not_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure SELinux is Not Disabled</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-selinux_not_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_kptr_restrict_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Restrict Exposed Kernel Pointer Addresses Access</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on Backup group File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_maxstartups_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure SSH MaxStartups is configured</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Unsuccessful Access Attempts to Files - openat</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_maxstartups_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_chrony_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>The Chrony package is installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_time_clock_settime_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Attempts to Alter Time Through clock_settime</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_chrony_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_time_clock_settime_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fremovexattr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fremovexattr</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-chronyd_specify_remote_server_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>A remote time server for Chrony is configured</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-chronyd_specify_remote_server_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_sg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable checks on scatter-gather (SG) table operations</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns Backup passwd File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_sg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on Backup passwd File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_postfix_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>The Postfix package is installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_postfix_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +      </ocil:actions>
│ │ │ │ +    </ocil:questionnaire>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_dev_shm_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /dev/shm is configured</ocil:title>
│ │ │ │ +      <ocil:actions>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_dev_shm_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +      </ocil:actions>
│ │ │ │ +    </ocil:questionnaire>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-securetty_root_login_console_only_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Restrict Virtual Console Root Logins</ocil:title>
│ │ │ │ +      <ocil:actions>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-securetty_root_login_console_only_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │      <ocil:questionnaire id="ocil:ssg-kernel_module_rds_disabled_ocil:questionnaire:1">
│ │ │ │        <ocil:title>Disable RDS Support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │          <ocil:test_action_ref>ocil:ssg-kernel_module_rds_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lsetxattr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lsetxattr</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_verbose_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set SSH Daemon LogLevel to VERBOSE</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudoers_explicit_command_args_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Explicit arguments in sudo specifications</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-no_rsh_trust_files_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Remove Rsh Trust Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudoers_explicit_command_args_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-no_rsh_trust_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable IPv6 Addressing on IPv6 Interfaces by Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_sysadmin_actions_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects System Administrator Actions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_dev_shm_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /dev/shm is configured</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on /var/log/syslog File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_dev_shm_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable X11 Forwarding</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_stig_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns group File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_kerb_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Kerberos Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_kerb_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_ufw_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify ufw Enabled</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_kexec_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable kexec system call</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_ufw_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_kexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-dir_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that Shared Library Directories Have Root Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_space_left_action_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd space_left Action on Low Disk Space</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-dir_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects File Deletion Events by User</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_compression_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Compression Or Set Compression to delayed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_compression_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_ownership_var_log_audit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>System Audit Logs Must Be Owned By Root</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_maximum_age_login_defs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Password Maximum Age</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_ownership_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_maximum_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_sysadmin_actions_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects System Administrator Actions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-disallow_bypass_password_sudo_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disallow Configuration to Bypass Password Requirements for Privilege Escalation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-disallow_bypass_password_sudo_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_immutable_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Make the auditd Configuration Immutable</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_files_permissions_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure System Log Files Have Correct Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_immutable_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_files_permissions_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_sha512_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Sign kernel modules with SHA-512</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_dir_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Account Lockouts Must Persist</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns gshadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_auditd_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable auditd Service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_auditd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on shadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_tmp_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /tmp Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_MFEhiplsm_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Install the Host Intrusion Prevention System (HIPS) Module</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chown_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chown</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_MFEhiplsm_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure debug-shell service is not enabled during boot</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_tmp_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Polyinstantiation of /tmp Directories</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure System to Forward All Mail From Postmaster to The Root Account</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Unsuccessful Access Attempts to Files - open_by_handle_at</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_time_clock_settime_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Attempts to Alter Time Through clock_settime</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_devkmem_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable /dev/kmem virtual device support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_time_clock_settime_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_devkmem_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fsetxattr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fsetxattr</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_openssh-server_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Install the OpenSSH Server Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_openssh-server_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_systemmap_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on System.map Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects File Deletion Events by User - unlinkat</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure ARP filtering for All IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_usr_share_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Mandatory Access Controls in usr/share</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_max_sessions_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set SSH MaxSessions limit</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-aide_build_database_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Build and Test AIDE Database</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_max_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-aide_build_database_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-account_use_centralized_automated_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Use Centralized and Automated Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_finit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading - finit_module</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-account_use_centralized_automated_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_kexec_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable kexec system call</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_list_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable checks on linked list manipulation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_kexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_list_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_ia32_emulation_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable IA32 emulation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_files_groupownership_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Log Files Are Owned By Appropriate Group</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_ia32_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_files_groupownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable seccomp to safely compute untrusted bytecode</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_custom_logfile_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Sudo Logfile Exists - sudo logfile</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_openssh-server_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Remove the OpenSSH Server Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_custom_logfile_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_openssh-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /var/log/syslog File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Specify module signing key to use</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_var_log_audit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /var/log/audit Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudoers_no_root_target_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Don't target root user in the sudoers file</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_ia32_emulation_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable IA32 emulation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudoers_no_root_target_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_ia32_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_print_last_log_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable SSH Print Last Log</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudoers_no_command_negation_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Don't define allowed commands in sudoers by means of exclusion</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_print_last_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudoers_no_command_negation_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_security_writable_hooks_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable mutable hooks</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_permissions_var_log_audit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>System Audit Logs Must Have Mode 0750 or Less Permissive</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_permissions_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_freq_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set number of records to cause an explicit flush to audit logs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable seccomp to safely compute untrusted bytecode</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_freq_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_security_yama_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Yama support</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-chronyd_server_directive_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Chrony is only configured with the server directive</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_security_yama_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-chronyd_server_directive_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Response Mode of ARP Requests for All IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /var/log/syslog File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns Backup group File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Kernel panic oops</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_var_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /var Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_var_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on group File</ocil:title>
│ │ │ │ +      <ocil:actions>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +      </ocil:actions>
│ │ │ │ +    </ocil:questionnaire>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │        <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Rsyslog Authenticates Off-Loaded Audit Records</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-disable_host_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Host-Based Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_immutable_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Make the auditd Configuration Immutable</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-disable_host_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_immutable_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_require_authentication_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on Backup shadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_require_authentication_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_security_dmesg_restrict_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Restrict unprivileged access to the kernel syslog</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /var/log/messages File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_faillock_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Attempts to Alter Logon and Logout Events - faillock</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Response Mode of ARP Requests for All IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_faillock_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_minimum_age_login_defs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Password Minimum Age</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_print_last_log_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable SSH Print Last Log</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_print_last_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-no_netrc_files_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify No netrc Files Exist</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_max_concurrent_login_sessions_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Limit the Number of Concurrent Login Sessions Allowed Per User</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-no_netrc_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chmod_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chmod</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns Backup passwd File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_add_noexec_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Privileged Escalated Commands Cannot Execute Other Commands - sudo NOEXEC</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lchown_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lchown</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_add_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_page_table_isolation_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Remove the kernel mapping in user mode</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_all_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable automatic signing of all modules</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_page_table_isolation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_all_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_force_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Require modules to be validly signed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_minimum_age_login_defs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Password Minimum Age</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-snmpd_not_default_password_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Default SNMP Password Is Not Used</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that Shared Library Files Have Root Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-snmpd_not_default_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-display_login_attempts_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure PAM Displays Last Logon/Access Notification</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_binfmt_misc_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable kernel support for MISC binaries</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-display_login_attempts_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_binfmt_misc_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_cron_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Install the cron service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_logrotate_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure logrotate is Installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_cron_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_logrotate_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Unsuccessful Access Attempts to Files - truncate</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on gshadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-set_ip6tables_default_rule_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Default ip6tables Policy for Incoming Packets</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns Backup group File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-set_ip6tables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_removexattr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - removexattr</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-prefer_64bit_os_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Prefer to use a 64-bit Operating System when supported</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-prefer_64bit_os_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_last_change_is_in_past_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure all users last password change date is in the past</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Sending and Accepting Shared Media Redirects by Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Rsyslog Authenticates Off-Loaded Audit Records</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_reboot_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - reboot</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_reboot_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_root_login_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH Root Login</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_panic_timeout_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Kernel panic timeout</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_root_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_panic_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_var_tmp_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Polyinstantiation of /var/tmp Directories</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-postfix_client_configure_relayhost_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure System to Forward All Mail through a specific host</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-postfix_client_configure_relayhost_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_delete_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on Kernel Module Unloading - delete_module</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that Shared Library Files Have Restrictive Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_tmp_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Polyinstantiation of /tmp Directories</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set SSH Client Alive Count Max</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_log_format_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Resolve information before writing to audit logs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /var/log/messages File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_log_format_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_credentials_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable checks on credential management</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on passwd File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_credentials_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable PubkeyAuthentication Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_var_log_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /var/log Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-coredump_disable_backtraces_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable core dump backtraces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Mandatory Access Controls</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-coredump_disable_backtraces_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_randomize_va_space_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Randomized Layout of Virtual Address Space</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-coredump_disable_storage_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable storing core dump</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-coredump_disable_storage_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │    </ocil:questionnaires>
│ │ │ │    <ocil:test_actions>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_proc_kcore_action:testaction:1" question_ref="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_strictmodes_action:testaction:1" question_ref="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_timeout_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1" question_ref="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_srv_action:testaction:1" question_ref="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_devkmem_action:testaction:1" question_ref="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_chronyd_enabled_action:testaction:1" question_ref="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_init_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_logon_fail_delay_action:testaction:1" question_ref="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pam_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_private_key_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_use_priv_separation_action:testaction:1" question_ref="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_hardlinks_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_write_logs_action:testaction:1" question_ref="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_ipv6_option_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_overflow_action_action:testaction:1" question_ref="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1" question_ref="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_0_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-gid_passwd_group_same_action:testaction:1" question_ref="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_home_action:testaction:1" question_ref="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_login_grace_time_action:testaction:1" question_ref="ocil:ssg-sshd_set_login_grace_time_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_proc_kcore_action:testaction:1" question_ref="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_idle_timeout_action:testaction:1" question_ref="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_num_logs_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1" question_ref="ocil:ssg-harden_ssh_client_crypto_policy_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_ntp_installed_action:testaction:1" question_ref="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-ensure_logrotate_activated_action:testaction:1" question_ref="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_key_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_empty_passwords_action:testaction:1" question_ref="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_nss-tools_installed_action:testaction:1" question_ref="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-set_ip6tables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1" question_ref="ocil:ssg-file_permissions_unauthorized_world_writable_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_ptys_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_ptys_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_no_uid_except_zero_action:testaction:1" question_ref="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-ensure_logrotate_activated_action:testaction:1" question_ref="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_ntp_installed_action:testaction:1" question_ref="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-selinux_state_action:testaction:1" question_ref="ocil:ssg-selinux_state_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_yama_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_symlinks_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nodev_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_ip6tables_enabled_action:testaction:1" question_ref="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_backtraces_action:testaction:1" question_ref="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_log_format_action:testaction:1" question_ref="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_init_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_bug_action:testaction:1" question_ref="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_vdso_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_requiretty_action:testaction:1" question_ref="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_fs_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ipv6_action:testaction:1" question_ref="ocil:ssg-kernel_config_ipv6_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_notifiers_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_gnutls-utils_installed_action:testaction:1" question_ref="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_maxstartups_action:testaction:1" question_ref="ocil:ssg-sshd_set_maxstartups_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_profile_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_info_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_info_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1" question_ref="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_fs_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_aide_installed_action:testaction:1" question_ref="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_rekey_limit_action:testaction:1" question_ref="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_vdso_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_memory_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_memory_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nosuid_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nosuid_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_zero_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_gnutls-utils_installed_action:testaction:1" question_ref="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_net-snmp_removed_action:testaction:1" question_ref="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_groupownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_groupownership_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_password_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-no_rsh_trust_files_action:testaction:1" question_ref="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_ptys_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_ptys_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_ownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_ownership_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_logon_fail_delay_action:testaction:1" question_ref="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_ipv6_option_disabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_zero_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_freq_action:testaction:1" question_ref="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-aide_build_database_action:testaction:1" question_ref="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-no_netrc_files_action:testaction:1" question_ref="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_syslogng_enabled_action:testaction:1" question_ref="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_l1tf_argument_action:testaction:1" question_ref="ocil:ssg-grub2_l1tf_argument_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_adjtimex_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nodev_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_adjtimex_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_home_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1" question_ref="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_sshd_disabled_action:testaction:1" question_ref="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_auth_tries_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_iptables_enabled_action:testaction:1" question_ref="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-configure_user_data_backups_action:testaction:1" question_ref="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_rsyslog_enabled_action:testaction:1" question_ref="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_shadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_no_authenticate_action:testaction:1" question_ref="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_brk_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_brk_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-chronyd_server_directive_action:testaction:1" question_ref="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1" question_ref="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_allow_only_protocol2_action:testaction:1" question_ref="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_storage_action:testaction:1" question_ref="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_table_isolation_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_auditd_enabled_action:testaction:1" question_ref="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hibernation_action:testaction:1" question_ref="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_gid_zero_action:testaction:1" question_ref="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_audit_installed_action:testaction:1" question_ref="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ipv6_action:testaction:1" question_ref="ocil:ssg-kernel_config_ipv6_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1" question_ref="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_remote_loghost_action:testaction:1" question_ref="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_sessions_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pam_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_filter_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_forward_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_requiretty_action:testaction:1" question_ref="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_ownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_ownership_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_write_logs_action:testaction:1" question_ref="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_local_events_action:testaction:1" question_ref="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudoers_explicit_command_args_action:testaction:1" question_ref="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_symlinks_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_action:testaction:1" question_ref="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_cron_enabled_action:testaction:1" question_ref="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_l1tf_argument_action:testaction:1" question_ref="ocil:ssg-grub2_l1tf_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_info_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_info_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_systemmap_action:testaction:1" question_ref="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_snmpd_disabled_action:testaction:1" question_ref="ocil:ssg-service_snmpd_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_installed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_hash_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_hardlinks_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1" question_ref="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_relayhost_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_shadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_mce_argument_action:testaction:1" question_ref="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_brk_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_brk_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_limit_user_access_action:testaction:1" question_ref="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_var_log_audit_action:testaction:1" question_ref="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_reboot_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_spectre_v2_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_postfix_installed_action:testaction:1" question_ref="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-disallow_bypass_password_sudo_action:testaction:1" question_ref="ocil:ssg-disallow_bypass_password_sudo_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_password_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_mce_argument_action:testaction:1" question_ref="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_ip6tables_enabled_action:testaction:1" question_ref="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_memory_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_memory_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-account_use_centralized_automated_auth_action:testaction:1" question_ref="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_idle_timeout_action:testaction:1" question_ref="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_list_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_compression_action:testaction:1" question_ref="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_audit_installed_action:testaction:1" question_ref="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_groupownership_audit_configuration_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1" question_ref="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_snmpd_disabled_action:testaction:1" question_ref="ocil:ssg-service_snmpd_disabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_settimeofday_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_net-snmp_removed_action:testaction:1" question_ref="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1" question_ref="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_settimeofday_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_stime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_num_logs_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_credentials_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_allow_only_protocol2_action:testaction:1" question_ref="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_iptables_enabled_action:testaction:1" question_ref="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-no_all_squash_exports_action:testaction:1" question_ref="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_retpoline_action:testaction:1" question_ref="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_auth_tries_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1" question_ref="ocil:ssg-harden_ssh_client_crypto_policy_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_command_negation_action:testaction:1" question_ref="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_syslogng_installed_action:testaction:1" question_ref="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_tipc_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_home_action:testaction:1" question_ref="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1" question_ref="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_nss-tools_installed_action:testaction:1" question_ref="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_retpoline_action:testaction:1" question_ref="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_base_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_remote_loghost_action:testaction:1" question_ref="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_media_export_action:testaction:1" question_ref="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1" question_ref="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-securetty_root_login_console_only_action:testaction:1" question_ref="ocil:ssg-securetty_root_login_console_only_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-selinux_not_disabled_action:testaction:1" question_ref="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_ntp_enabled_action:testaction:1" question_ref="ocil:ssg-service_ntp_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_logrotate_installed_action:testaction:1" question_ref="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-account_unique_name_action:testaction:1" question_ref="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1" question_ref="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_syslogng_enabled_action:testaction:1" question_ref="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlinkat_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1" question_ref="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_gid_zero_action:testaction:1" question_ref="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-no_direct_root_logins_action:testaction:1" question_ref="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-chronyd_specify_remote_server_action:testaction:1" question_ref="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1" question_ref="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-disable_host_auth_action:testaction:1" question_ref="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-selinux_state_action:testaction:1" question_ref="ocil:ssg-selinux_state_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1" question_ref="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_custom_logfile_action:testaction:1" question_ref="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_ntp_enabled_action:testaction:1" question_ref="ocil:ssg-service_ntp_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_rsyslog_installed_action:testaction:1" question_ref="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_spectre_v2_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_vdsm_nopasswd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_faillock_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_rsyslog_enabled_action:testaction:1" question_ref="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_vdsm_nopasswd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1" question_ref="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_shadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_disable_recovery_action:testaction:1" question_ref="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_use_pty_action:testaction:1" question_ref="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_removed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1" question_ref="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_messages_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-snmpd_not_default_password_action:testaction:1" question_ref="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chown_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_enable_iommu_force_action:testaction:1" question_ref="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-display_login_attempts_action:testaction:1" question_ref="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hibernation_action:testaction:1" question_ref="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_shadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_rekey_limit_action:testaction:1" question_ref="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_profile_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_MFEhiplsm_installed_action:testaction:1" question_ref="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_no_authenticate_action:testaction:1" question_ref="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_no_uid_except_zero_action:testaction:1" question_ref="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_private_key_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_ufw_enabled_action:testaction:1" question_ref="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-restrict_serial_port_logins_action:testaction:1" question_ref="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_empty_passwords_action:testaction:1" question_ref="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1" question_ref="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_0_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-gid_passwd_group_same_action:testaction:1" question_ref="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_stime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1" question_ref="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_force_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lsetxattr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_overflow_action_action:testaction:1" question_ref="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-prefer_64bit_os_action:testaction:1" question_ref="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1" question_ref="ocil:ssg-file_permissions_unauthorized_world_writable_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_systemd-journald_enabled_action:testaction:1" question_ref="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_use_priv_separation_action:testaction:1" question_ref="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_tmp_action:testaction:1" question_ref="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_forward_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_chronyd_enabled_action:testaction:1" question_ref="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_use_pty_action:testaction:1" question_ref="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_syn_cookies_action:testaction:1" question_ref="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_syslogng_installed_action:testaction:1" question_ref="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1" question_ref="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-configure_user_data_backups_action:testaction:1" question_ref="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_systemd-journald_enabled_action:testaction:1" question_ref="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-no_all_squash_exports_action:testaction:1" question_ref="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_cron_installed_action:testaction:1" question_ref="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-no_direct_root_logins_action:testaction:1" question_ref="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_enable_iommu_force_action:testaction:1" question_ref="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_kerb_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_base_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_local_events_action:testaction:1" question_ref="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_notifiers_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_rsyslog_installed_action:testaction:1" question_ref="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_chrony_installed_action:testaction:1" question_ref="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_all_shadowed_action:testaction:1" question_ref="ocil:ssg-accounts_password_all_shadowed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_groupownership_audit_configuration_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_sshd_disabled_action:testaction:1" question_ref="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_audit_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_tipc_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_login_grace_time_action:testaction:1" question_ref="ocil:ssg-sshd_set_login_grace_time_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slub_debug_action:testaction:1" question_ref="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_permissions_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_all_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_srv_action:testaction:1" question_ref="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_limit_user_access_action:testaction:1" question_ref="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_binfmt_misc_action:testaction:1" question_ref="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_var_log_audit_action:testaction:1" question_ref="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_disable_recovery_action:testaction:1" question_ref="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_dmesg_restrict_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_media_export_action:testaction:1" question_ref="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_kptr_restrict_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_strictmodes_action:testaction:1" question_ref="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_aide_installed_action:testaction:1" question_ref="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_filter_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_sg_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_sg_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_syn_cookies_action:testaction:1" question_ref="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_all_shadowed_action:testaction:1" question_ref="ocil:ssg-accounts_password_all_shadowed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_cron_enabled_action:testaction:1" question_ref="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_hash_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1" question_ref="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_bug_action:testaction:1" question_ref="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-account_unique_name_action:testaction:1" question_ref="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_require_authentication_action:testaction:1" question_ref="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_home_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slub_debug_action:testaction:1" question_ref="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_maximum_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_maximum_age_login_defs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-restrict_serial_port_logins_action:testaction:1" question_ref="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_noexec_action:testaction:1" question_ref="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_root_target_action:testaction:1" question_ref="ocil:ssg-sudoers_no_root_target_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-selinux_not_disabled_action:testaction:1" question_ref="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1" question_ref="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_verbose_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_clock_settime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_kptr_restrict_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-chronyd_specify_remote_server_action:testaction:1" question_ref="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_maxstartups_action:testaction:1" question_ref="ocil:ssg-sshd_set_maxstartups_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_chrony_installed_action:testaction:1" question_ref="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_postfix_installed_action:testaction:1" question_ref="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_dev_shm_action:testaction:1" question_ref="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_sg_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_sg_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-securetty_root_login_console_only_action:testaction:1" question_ref="ocil:ssg-securetty_root_login_console_only_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_rds_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_rds_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_verbose_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lsetxattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-no_rsh_trust_files_action:testaction:1" question_ref="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudoers_explicit_command_args_action:testaction:1" question_ref="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1" question_ref="ocil:ssg-audit_rules_sysadmin_actions_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_dev_shm_action:testaction:1" question_ref="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_kerb_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_kexec_action:testaction:1" question_ref="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_ufw_enabled_action:testaction:1" question_ref="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_compression_action:testaction:1" question_ref="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_maximum_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_maximum_age_login_defs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_var_log_audit_action:testaction:1" question_ref="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-disallow_bypass_password_sudo_action:testaction:1" question_ref="ocil:ssg-disallow_bypass_password_sudo_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1" question_ref="ocil:ssg-audit_rules_sysadmin_actions_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_permissions_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_immutable_action:testaction:1" question_ref="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_auditd_enabled_action:testaction:1" question_ref="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_tmp_action:testaction:1" question_ref="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chown_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_MFEhiplsm_installed_action:testaction:1" question_ref="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_tmp_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_devkmem_action:testaction:1" question_ref="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_clock_settime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_installed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlinkat_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_systemmap_action:testaction:1" question_ref="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-aide_build_database_action:testaction:1" question_ref="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_sessions_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-account_use_centralized_automated_auth_action:testaction:1" question_ref="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_list_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_kexec_action:testaction:1" question_ref="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_groupownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_groupownership_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ia32_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_ia32_emulation_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_removed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_custom_logfile_action:testaction:1" question_ref="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_syslog_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_audit_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_key_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ia32_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_ia32_emulation_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_root_target_action:testaction:1" question_ref="ocil:ssg-sudoers_no_root_target_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_command_negation_action:testaction:1" question_ref="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_print_last_log_action:testaction:1" question_ref="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_var_log_audit_action:testaction:1" question_ref="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_freq_action:testaction:1" question_ref="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-chronyd_server_directive_action:testaction:1" question_ref="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_yama_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_syslog_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_action:testaction:1" question_ref="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-disable_host_auth_action:testaction:1" question_ref="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_immutable_action:testaction:1" question_ref="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_require_authentication_action:testaction:1" question_ref="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_dmesg_restrict_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_faillock_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_minimum_age_login_defs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_print_last_log_action:testaction:1" question_ref="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-no_netrc_files_action:testaction:1" question_ref="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1" question_ref="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_noexec_action:testaction:1" question_ref="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_table_isolation_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_all_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_force_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_minimum_age_login_defs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-snmpd_not_default_password_action:testaction:1" question_ref="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-display_login_attempts_action:testaction:1" question_ref="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_binfmt_misc_action:testaction:1" question_ref="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_cron_installed_action:testaction:1" question_ref="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_logrotate_installed_action:testaction:1" question_ref="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-set_ip6tables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-prefer_64bit_os_action:testaction:1" question_ref="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1" question_ref="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_reboot_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_timeout_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_relayhost_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_tmp_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_log_format_action:testaction:1" question_ref="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_messages_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_credentials_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_backtraces_action:testaction:1" question_ref="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_storage_action:testaction:1" question_ref="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │    </ocil:test_actions>
│ │ │ │    <ocil:questions>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PROC_KCORE /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PANIC_TIMEOUT /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 limits the number of concurrent sessions to
│ │ │ │ -"" for all
│ │ │ │ -accounts and/or account types with the following command:
│ │ │ │ -$ grep -r -s maxlogins /etc/security/limits.conf /etc/security/limits.d/*.conf
│ │ │ │ -/etc/security/limits.conf:* hard maxlogins 10
│ │ │ │ -This can be set as a global domain (with the * wildcard) but may be set differently for multiple domains.
│ │ │ │ -      Is it the case that the "maxlogins" item is missing, commented out, or the value is set greater
│ │ │ │ -than "&lt;sub idref="var_accounts_max_concurrent_login_sessions" /&gt;" and
│ │ │ │ -is not documented with the Information System Security Officer (ISSO) as an
│ │ │ │ -operational requirement for all domains that have the "maxlogins" item
│ │ │ │ -assigned'?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that a separate file system/partition has been created for /srv with the following command:
│ │ │ │ -
│ │ │ │ -$ mountpoint /srv
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's StrictModes option is set, run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that "/srv is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEVKMEM /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that the SA and ISSO (at a minimum) are notified when the audit storage volume is full.
│ │ │ │ +$ sudo grep -i StrictModes /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -Check which action Debian 11 takes when the audit storage volume is full with the following command:
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │ -max_log_file_action = 
│ │ │ │ -      Is it the case that the value of the "max_log_file_action" option is set to "ignore", "rotate", or "suspend", or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured use a non-default faillock directory to ensure contents persist after reboot:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 11 is configured to notify the SA and/or ISSO (at a minimum) in the event of an audit processing failure with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep 'dir =' /etc/security/faillock.conf
│ │ │ │ +$ sudo grep action_mail_acct /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -dir = /var/log/faillock
│ │ │ │ -      Is it the case that the "dir" option is not set to a non-default documented tally log directory, is missing or commented out?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ -/bin
│ │ │ │ -/sbin
│ │ │ │ -/usr/bin
│ │ │ │ -/usr/sbin
│ │ │ │ -/usr/local/bin
│ │ │ │ -/usr/local/sbin
│ │ │ │ -To find system executables directories that are group-writable or
│ │ │ │ -world-writable, run the following command for each directory DIR
│ │ │ │ -which contains system executables:
│ │ │ │ -$ sudo find -L DIR -perm /022 -type d
│ │ │ │ -      Is it the case that any of these files are group-writable or world-writable?</ocil:question_text>
│ │ │ │ +action_mail_acct = 
│ │ │ │ +      Is it the case that the value of the "action_mail_acct" keyword is not set to "&lt;sub idref="var_auditd_action_mail_acct" /&gt;" and/or other accounts for security personnel, the "action_mail_acct" keyword is missing, or the retuned line is commented out, ask the system administrator to indicate how they and the ISSO are notified of an audit process failure. If there is no evidence of the proper personnel being notified of an audit processing failure?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's IgnoreRhosts option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 takes the appropriate action when the audit files have reached maximum size.
│ │ │ │  
│ │ │ │ -$ sudo grep -i IgnoreRhosts /etc/ssh/sshd_config
│ │ │ │ +Check that Debian 11 takes the appropriate action when the audit files have reached maximum size with the following command:
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +max_log_file_action = 
│ │ │ │ +      Is it the case that the value of the "max_log_file_action" option is not "ROTATE", "SINGLE", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full. If there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's UsePAM option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i UsePAM /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /var/log/syslog,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /var/log/syslog
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +syslog
│ │ │ │ +      Is it the case that /var/log/syslog does not have an owner of syslog?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │ -      <ocil:question_text>To properly set the owner of /etc/audit/, run the command:
│ │ │ │ -$ sudo chown root /etc/audit/ 
│ │ │ │ -
│ │ │ │ -To properly set the owner of /etc/audit/rules.d/, run the command:
│ │ │ │ -$ sudo chown root /etc/audit/rules.d/ 
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_SHA512 /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the system commands contained in the following directories are owned by "root" with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin ! -user root -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system commands are found to not be owned by root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +chronyd service:
│ │ │ │ +$ sudo systemctl is-active chronyd
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the chronyd process is not running?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the kernel.panic_on_oops kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.panic_on_oops
│ │ │ │ -1.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "init" command with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -unlink system call, run the following command:
│ │ │ │ -$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +$ sudo auditctl -l | grep init
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that Audit Daemon is configured to write logs to the disk, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep write_logs /etc/audit/auditd.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -write_logs = yes
│ │ │ │ -      Is it the case that write_logs isn't set to yes?</ocil:question_text>
│ │ │ │ +-a always,exit -F path=/init -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-init
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/passwd,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/gshadow-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/passwd
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/passwd does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +$ ls -lL /etc/gshadow-
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/gshadow- does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -lremovexattr system call, run the following command:
│ │ │ │ -$ sudo grep "lremovexattr" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 enforces a delay of at least  seconds between console logon prompts following a failed logon attempt with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +$ sudo grep -i "FAIL_DELAY" /etc/login.defs
│ │ │ │ +FAIL_DELAY 
│ │ │ │ +      Is it the case that the value of "FAIL_DELAY" is not set to "&lt;sub idref="var_accounts_fail_delay" /&gt;" or greater, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include slab_nomerge=yes, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*slab_nomerge=yes.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that merging of slabs with similar size is enabled?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupownership_sshd_private_key_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/ssh/*_key,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ssh/*_key
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ssh/*_key does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure ClientAliveInterval is set correctly, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep ClientAliveCountMax /etc/ssh/sshd_config
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_disk_full_action_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 takes the appropriate action when the audit storage volume is full.
│ │ │ │  
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -ClientAliveCountMax 0
│ │ │ │ +Check that Debian 11 takes the appropriate action when the audit storage volume is full with the following command:
│ │ │ │  
│ │ │ │ -In this case, the SSH timeout occurs precisely when
│ │ │ │ -the ClientAliveInterval is set.
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that a separate file system/partition has been created for /home with the following command:
│ │ │ │ +$ sudo grep disk_full_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -$ mountpoint /home
│ │ │ │ +disk_full_action = 
│ │ │ │  
│ │ │ │ -      Is it the case that "/home is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ -determine how much data the system will retain in each audit log file:
│ │ │ │ -$ sudo grep max_log_file /etc/audit/auditd.conf
│ │ │ │ -max_log_file = 6
│ │ │ │ -      Is it the case that the system audit data threshold has not been properly configured?</ocil:question_text>
│ │ │ │ +If the value of the "disk_full_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full.
│ │ │ │ +      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to see what the timeout interval is:
│ │ │ │ -$ sudo grep ClientAliveInterval /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -ClientAliveInterval 
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │ +      <ocil:question_text>To check if UsePrivilegeSeparation is enabled or set correctly, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep UsePrivilegeSeparation /etc/ssh/sshd_config
│ │ │ │ +If configured properly, output should be .
│ │ │ │ +      Is it the case that it is commented out or is not enabled?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.conf.all.shared_media kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_hardlinks_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the fs.protected_hardlinks kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.shared_media
│ │ │ │ -0.
│ │ │ │ +$ sysctl fs.protected_hardlinks
│ │ │ │ +1.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ -determine how many logs the system is configured to retain after rotation:
│ │ │ │ -$ sudo grep num_logs /etc/audit/auditd.conf
│ │ │ │ -num_logs = 5
│ │ │ │ -      Is it the case that the system log file retention has not been properly configured?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -init_module system call, run the following command:
│ │ │ │ -$ sudo grep "init_module" /etc/audit/audit.*
│ │ │ │ +delete_module system call, run the following command:
│ │ │ │ +$ sudo grep "delete_module" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that the audit system collects unauthorized file accesses, run the following commands:
│ │ │ │ -$ sudo grep EACCES /etc/audit/audit.rules
│ │ │ │ -$ sudo grep EPERM /etc/audit/audit.rules
│ │ │ │ -      Is it the case that 32-bit and 64-bit system calls to creat, open, openat, open_by_handle_at, truncate, and ftruncate are not audited during EACCES and EPERM?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the status and frequency of logrotate, run the following command:
│ │ │ │ -$ sudo grep logrotate /var/log/cron*
│ │ │ │ -If logrotate is configured properly, output should include references to
│ │ │ │ -/etc/cron.daily.
│ │ │ │ -      Is it the case that logrotate is not configured to run daily?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's PermitEmptyPasswords option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i PermitEmptyPasswords /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_module_ipv6_option_disabled_question:question:1">
│ │ │ │ +      <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +If the system is configured to disable the
│ │ │ │ +ipv6 kernel module, it will contain a line
│ │ │ │ +of the form:
│ │ │ │ +options ipv6 disable=1
│ │ │ │ +Such lines may be inside any file in /etc/modprobe.d or the
│ │ │ │ +deprecated/etc/modprobe.conf.  This permits insertion of the IPv6
│ │ │ │ +kernel module (which other parts of the system expect to be present), but
│ │ │ │ +otherwise keeps it inactive.  Run the following command to search for such
│ │ │ │ +lines in all files in /etc/modprobe.d and the deprecated
│ │ │ │ +/etc/modprobe.conf:
│ │ │ │ +$ grep -r ipv6 /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ +      Is it the case that the ipv6 kernel module is not disabled?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.conf.all.route_localnet kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.route_localnet
│ │ │ │ -0.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the audit system is configured to take an appropriate action when the internal event queue is full:
│ │ │ │ +$ sudo grep -i overflow_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the nss-tools package is installed: $ dpkg -l  nss-tools
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -umount2 system call, run the following command:
│ │ │ │ -$ sudo grep "umount2" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +The output should contain overflow_action = syslog
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_unauthorized_world_writable_question:question:1">
│ │ │ │ -      <ocil:question_text>To find world-writable files, run the following command:
│ │ │ │ -$ sudo find / -xdev -type f -perm -002
│ │ │ │ -      Is it the case that there is output?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that only the "root" account has a UID "0" assignment with the
│ │ │ │ -following command:
│ │ │ │ -$ awk -F: '$3 == 0 {print $1}' /etc/passwd
│ │ │ │ -root
│ │ │ │ -      Is it the case that any accounts other than "root" have a UID of "0"?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the ntp package is installed: $ dpkg -l  ntp
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +If the value of the "overflow_action" option is not set to syslog,
│ │ │ │ +single, halt or the line is commented out, ask the System Administrator
│ │ │ │ +to indicate how the audit logs are off-loaded to a different system or media.
│ │ │ │ +      Is it the case that auditd overflow action is not set correctly?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-selinux_state_question:question:1">
│ │ │ │ -      <ocil:question_text>Ensure that Debian 11 verifies correct operation of security functions.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │  
│ │ │ │ -Check if "SELinux" is active and in "" mode with the following command:
│ │ │ │ +$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -$ sudo getenforce
│ │ │ │ +If a line indicating /etc/issue.net is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -      Is it the case that SELINUX is not set to enforcing?</ocil:question_text>
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/passwd-,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/shadow,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/passwd-
│ │ │ │ +$ ls -lL /etc/shadow
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/passwd- does not have an owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_symlinks_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the fs.protected_symlinks kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl fs.protected_symlinks
│ │ │ │ -1.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │ -      <ocil:question_text>If IPv6 is disabled, this is not applicable.
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -Run the following command to determine the current status of the
│ │ │ │ -ip6tables service:
│ │ │ │ -$ sudo systemctl is-active ip6tables
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit attempts to
│ │ │ │ -alter time via the /etc/localtime file, run the following
│ │ │ │ -command:
│ │ │ │ -$ sudo auditctl -l | grep "watch=/etc/localtime"
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -      Is it the case that the system is not configured to audit time changes?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/shadow does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchown system call, run the following command:
│ │ │ │ -$ sudo grep "fchown" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure all GIDs referenced in /etc/passwd are defined in /etc/group,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo pwck -qr
│ │ │ │ +There should be no output.
│ │ │ │ +      Is it the case that GIDs referenced in /etc/passwd are returned as not defined in /etc/group?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure ClientAliveInterval is set correctly, run the following command:
│ │ │ │ -$ sudo grep ClientAliveCountMax /etc/ssh/sshd_config
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_set_login_grace_time_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure LoginGraceTime is set correctly, run the following command:
│ │ │ │ +$ sudo grep LoginGraceTime /etc/ssh/sshd_config
│ │ │ │  If properly configured, the output should be:
│ │ │ │ -ClientAliveCountMax 
│ │ │ │ -For SSH earlier than v8.2, a ClientAliveCountMax value of 0 causes a timeout precisely when
│ │ │ │ -the ClientAliveInterval is set.  Starting with v8.2, a value of 0 disables the timeout
│ │ │ │ -functionality completely.
│ │ │ │ -If the option is set to a number greater than 0, then the session will be disconnected after
│ │ │ │ -ClientAliveInterval * ClientAliveCountMax seconds without receiving a keep alive message.
│ │ │ │ +LoginGraceTime 
│ │ │ │ +If the option is set to a number greater than 0, then the unauthenticated session will be disconnected
│ │ │ │ +after the configured number seconds.
│ │ │ │        Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "init" command with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep init
│ │ │ │ -
│ │ │ │ --a always,exit -F path=/init -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-init
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/passwd,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/passwd
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/passwd does not have an owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_COMPAT_VDSO /boot/config.*
│ │ │ │ +    $ grep CONFIG_PROC_KCORE /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if requiretty has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults.*\brequiretty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that requiretty is not enabled in sudo?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the password warning age, run the command:
│ │ │ │ +$ grep PASS_WARN_AGE /etc/login.defs
│ │ │ │ +The DoD requirement is 7.
│ │ │ │ +      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │ -      <ocil:question_text>Make sure that the kernel is not disabling SMAP with the following
│ │ │ │ -commands.
│ │ │ │ -grep -q nosmap /boot/config-`uname -r`
│ │ │ │ -If the command returns a line, it means that SMAP is being disabled.
│ │ │ │ -      Is it the case that the kernel is configured to disable SMAP?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "shutdown" command with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo auditctl -l | grep shutdown
│ │ │ │ +
│ │ │ │ +-a always,exit -F path=/shutdown -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-shutdown
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_NOTIFIERS /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-harden_ssh_client_crypto_policy_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify if the OpenSSH Client uses defined Crypto Policy, run:
│ │ │ │ +$ cat /etc/ssh/ssh_config.d/02-ospp.conf
│ │ │ │ +and verify that the line matches
│ │ │ │ +Match final all
│ │ │ │ +RekeyLimit 512M 1h
│ │ │ │ +GSSAPIAuthentication no
│ │ │ │ +Ciphers aes256-ctr,aes256-cbc,aes128-ctr,aes128-cbc
│ │ │ │ +PubkeyAcceptedKeyTypes ssh-rsa,ecdsa-sha2-nistp384,ecdsa-sha2-nistp256
│ │ │ │ +MACs hmac-sha2-512,hmac-sha2-256
│ │ │ │ +KexAlgorithms ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group14-sha1
│ │ │ │ +      Is it the case that Crypto Policy for OpenSSH Client is not configured according to CC requirements?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's GSSAPIAuthentication option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i GSSAPIAuthentication /etc/ssh/sshd_config
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +$ grep nullok /etc/pam.d/system-auth /etc/pam.d/password-auth
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +If this produces any output, it may be possible to log into accounts
│ │ │ │ +with empty passwords. Remove any instances of the nullok option to
│ │ │ │ +prevent logins with empty passwords.
│ │ │ │ +      Is it the case that NULL passwords can be used?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the gnutls-utils package is installed: $ dpkg -l  gnutls-utils
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the ntp package is installed: $ dpkg -l  ntp
│ │ │ │        Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the system commands contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin -perm /022 -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system commands are found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ +/bin
│ │ │ │ +/sbin
│ │ │ │ +/usr/bin
│ │ │ │ +/usr/local/bin
│ │ │ │ +/usr/local/sbin
│ │ │ │ +/usr/sbin
│ │ │ │ +For each of these directories, run the following command to find files
│ │ │ │ +not owned by root:
│ │ │ │ +$ sudo find -L DIR/ ! -user root -type d -exec chown root {} \;
│ │ │ │ +      Is it the case that any system executables directories are found to not be owned by root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/lastlog" with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_KEY /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to ensure that /var/tmp is configured as a
│ │ │ │ +polyinstantiated directory:
│ │ │ │ +$ sudo grep /var/tmp /etc/security/namespace.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +/var/tmp /var/tmp/tmp-inst/    level      root,adm
│ │ │ │ +      Is it the case that is not configured?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that the SA and ISSO (at a minimum) are notified when the audit storage volume is full.
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep /var/log/lastlog
│ │ │ │ +Check which action Debian 11 takes when the audit storage volume is full with the following command:
│ │ │ │  
│ │ │ │ --w /var/log/lastlog -p wa -k logins
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │ +max_log_file_action = 
│ │ │ │ +      Is it the case that the value of the "max_log_file_action" option is set to "ignore", "rotate", or "suspend", or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 11 is configured to notify the SA and/or ISSO (at a minimum) in the event of an audit processing failure with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep action_mail_acct /etc/audit/auditd.conf
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │ +      <ocil:question_text>If IPv6 is disabled, this is not applicable.
│ │ │ │  
│ │ │ │ -action_mail_acct = 
│ │ │ │ -      Is it the case that the value of the "action_mail_acct" keyword is not set to "&lt;sub idref="var_auditd_action_mail_acct" /&gt;" and/or other accounts for security personnel, the "action_mail_acct" keyword is missing, or the retuned line is commented out, ask the system administrator to indicate how they and the ISSO are notified of an audit process failure. If there is no evidence of the proper personnel being notified of an audit processing failure?</ocil:question_text>
│ │ │ │ +Inspect the file /etc/sysconfig/ip6tables to determine
│ │ │ │ +the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ +$ sudo grep ":INPUT" /etc/sysconfig/ip6tables
│ │ │ │ +      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_set_loglevel_info_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's LogLevel option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i LogLevel /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If a line indicating INFO is returned, then the required value is set.
│ │ │ │ +If a line indicating /etc/issue is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the system-wide shared library files contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 -perm /022 -type f -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system-wide shared library file is found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_ptys_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_FS /boot/config.*
│ │ │ │ +    $ grep CONFIG_LEGACY_PTYS /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the aide package is installed: $ dpkg -l  aide
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the status and frequency of logrotate, run the following command:
│ │ │ │ +$ sudo grep logrotate /var/log/cron*
│ │ │ │ +If logrotate is configured properly, output should include references to
│ │ │ │ +/etc/cron.daily.
│ │ │ │ +      Is it the case that logrotate is not configured to run daily?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │ -      <ocil:question_text>To check if RekeyLimit is set correctly, run the
│ │ │ │ -following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep RekeyLimit /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If configured properly, output should be
│ │ │ │ -RekeyLimit  
│ │ │ │ -      Is it the case that it is commented out or is not set?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/ssh/*.pub,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ssh/*.pub
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ssh/*.pub does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_randomize_memory_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_RANDOMIZE_MEMORY /boot/config.*
│ │ │ │ +    $ grep CONFIG_SECURITY_YAMA /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-mount_option_dev_shm_nosuid_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the nosuid option is configured for the /dev/shm mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/dev/shm\s'
│ │ │ │ -    . . . /dev/shm . . . nosuid . . .
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the operating system encrypts audit records off-loaded onto a different system
│ │ │ │ +or media from the system being audited with the following commands:
│ │ │ │  
│ │ │ │ -      Is it the case that the "/dev/shm" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │ +$ sudo grep -i '$ActionSendStreamDriverMode' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │  
│ │ │ │ -$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │ +The output should be:
│ │ │ │  
│ │ │ │ -If a line indicating /etc/issue is returned, then the required value is set.
│ │ │ │ +/etc/rsyslog.conf:$ActionSendStreamDriverMode 1
│ │ │ │ +      Is it the case that rsyslogd ActionSendStreamDriverMode is not set to 1?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-mount_option_dev_shm_nodev_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the nodev option is configured for the /dev/shm mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/dev/shm\s'
│ │ │ │ +    . . . /dev/shm . . . nodev . . .
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/dev/shm" file system does not have the "nodev" option set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/group-,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/group,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/group-
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/group- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-rsyslog_files_groupownership_question:question:1">
│ │ │ │ -      <ocil:question_text>The group-owner of all log files written by rsyslog should be
│ │ │ │ -adm.
│ │ │ │ -These log files are determined by the second part of each Rule line in
│ │ │ │ -/etc/rsyslog.conf and typically all appear in /var/log.
│ │ │ │ -To see the group-owner of a given log file, run the following command:
│ │ │ │ -$ ls -l LOGFILE
│ │ │ │ -      Is it the case that the group-owner is not correct?</ocil:question_text>
│ │ │ │ +$ ls -lL /etc/group
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/group does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 disables core dump backtraces by issuing the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │ +$ grep -i process /etc/systemd/coredump.conf
│ │ │ │  
│ │ │ │ -If a line indicating prohibit-password is returned, then the required value is set.
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if NOPASSWD has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri nopasswd /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that nopasswd is specified in the sudo config files?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │ -      <ocil:question_text>The existence of the file /etc/hosts.equiv or a file named
│ │ │ │ -.rhosts inside a user home directory indicates the presence
│ │ │ │ -of an Rsh trust relationship.
│ │ │ │ -      Is it the case that these files exist?</ocil:question_text>
│ │ │ │ +ProcessSizeMax=0
│ │ │ │ +      Is it the case that the "ProcessSizeMax" item is missing, commented out, or the value is anything other than "0" and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -renameat system call, run the following command:
│ │ │ │ -$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │ +fchownat system call, run the following command:
│ │ │ │ +$ sudo grep "fchownat" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_ptys_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that Audit Daemon is configured to resolve all uid, gid, syscall,
│ │ │ │ +architecture, and socket address information before writing the event to disk,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo grep log_format /etc/audit/auditd.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +log_format = ENRICHED
│ │ │ │ +      Is it the case that log_format isn't set to ENRICHED?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_LEGACY_PTYS /boot/config.*
│ │ │ │ +    $ grep CONFIG_X86_VSYSCALL_EMULATION /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 enforces a delay of at least  seconds between console logon prompts following a failed logon attempt with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i "FAIL_DELAY" /etc/login.defs
│ │ │ │ -FAIL_DELAY 
│ │ │ │ -      Is it the case that the value of "FAIL_DELAY" is not set to "&lt;sub idref="var_accounts_fail_delay" /&gt;" or greater, or the line is commented out?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 takes the appropriate action when an audit processing failure occurs.
│ │ │ │ -
│ │ │ │ -Check that Debian 11 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -disk_error_action = HALT
│ │ │ │ -
│ │ │ │ -If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ -      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 takes the appropriate action when the audit storage volume is full.
│ │ │ │ -
│ │ │ │ -Check that Debian 11 takes the appropriate action when the audit storage volume is full with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep disk_full_action /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -disk_full_action = 
│ │ │ │ -
│ │ │ │ -If the value of the "disk_full_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full.
│ │ │ │ -      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_module_ipv6_option_disabled_question:question:1">
│ │ │ │ -      <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │ -
│ │ │ │ -If the system is configured to disable the
│ │ │ │ -ipv6 kernel module, it will contain a line
│ │ │ │ -of the form:
│ │ │ │ -options ipv6 disable=1
│ │ │ │ -Such lines may be inside any file in /etc/modprobe.d or the
│ │ │ │ -deprecated/etc/modprobe.conf.  This permits insertion of the IPv6
│ │ │ │ -kernel module (which other parts of the system expect to be present), but
│ │ │ │ -otherwise keeps it inactive.  Run the following command to search for such
│ │ │ │ -lines in all files in /etc/modprobe.d and the deprecated
│ │ │ │ -/etc/modprobe.conf:
│ │ │ │ -$ grep -r ipv6 /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ -      Is it the case that the ipv6 kernel module is not disabled?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_zero_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PAGE_POISONING_ZERO /boot/config.*
│ │ │ │ +    $ grep CONFIG_BUG /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │ -      <ocil:question_text>To find the location of the AIDE database file, run the following command:
│ │ │ │ -$ sudo ls -l DBDIR/database_file_name
│ │ │ │ -      Is it the case that there is no database file?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit changes to its SELinux
│ │ │ │ -configuration files, run the following command:
│ │ │ │ -$ sudo auditctl -l | grep "dir=/usr/share/selinux"
│ │ │ │ -If the system is configured to watch for changes to its SELinux
│ │ │ │ -configuration, a line should be returned (including
│ │ │ │ -perm=wa indicating permissions that are watched).
│ │ │ │ -      Is it the case that the system is not configured to audit attempts to change the MAC policy?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/gshadow-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/gshadow-
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +shadow
│ │ │ │ +      Is it the case that /etc/gshadow- does not have a group owner of shadow?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -syslog-ng service:
│ │ │ │ -$ sudo systemctl is-active syslog-ng
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the "syslog-ng" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_DEBUG_FS /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_ipv6_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PAGE_POISONING_NO_SANITY /boot/config.*
│ │ │ │ +    $ grep CONFIG_IPV6 /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-mount_option_dev_shm_nodev_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the nodev option is configured for the /dev/shm mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/dev/shm\s'
│ │ │ │ -    . . . /dev/shm . . . nodev . . .
│ │ │ │ -
│ │ │ │ -      Is it the case that the "/dev/shm" file system does not have the "nodev" option set?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect the file /etc/sysconfig/iptables to determine
│ │ │ │ +the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ +$ sudo grep ":INPUT" /etc/sysconfig/iptables
│ │ │ │ +      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -adjtimex system call, run the following command:
│ │ │ │ -$ sudo grep "adjtimex" /etc/audit/audit.*
│ │ │ │ +chmod system call, run the following command:
│ │ │ │ +$ sudo grep "chmod" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/ssh/*.pub,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/ssh/*.pub,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/ssh/*.pub
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/ssh/*.pub does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │ -      <ocil:question_text>To properly set the permissions of /etc/audit/, run the command:
│ │ │ │ -$ sudo chmod 0640 /etc/audit/
│ │ │ │ -
│ │ │ │ -To properly set the permissions of /etc/audit/rules.d/, run the command:
│ │ │ │ -$ sudo chmod 0640 /etc/audit/rules.d/
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure the MaxAuthTries parameter is set, run the following command:
│ │ │ │ -$ sudo grep MaxAuthTries /etc/ssh/sshd_config
│ │ │ │ -If properly configured, output should be:
│ │ │ │ -MaxAuthTries 
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -iptables service:
│ │ │ │ -$ sudo systemctl is-active iptables
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -rsyslog service:
│ │ │ │ -$ sudo systemctl is-active rsyslog
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the "rsyslog" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │ -      <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │ -
│ │ │ │ -If the system is configured to prevent the usage of the ipv6 on
│ │ │ │ -network interfaces, it will contain a line of the form:
│ │ │ │ -net.ipv6.conf.all.disable_ipv6 = 1
│ │ │ │ -Such lines may be inside any file in the /etc/sysctl.d directory.
│ │ │ │ -This permits insertion of the IPv6 kernel module (which other parts of the
│ │ │ │ -system expect to be present), but otherwise keeps all network interfaces
│ │ │ │ -from using IPv6. Run the following command to search for such lines in all
│ │ │ │ -files in /etc/sysctl.d:
│ │ │ │ -$ grep -r ipv6 /etc/sysctl.d
│ │ │ │ -      Is it the case that the ipv6 support is disabled on all network interfaces?</ocil:question_text>
│ │ │ │ +$ ls -lL /etc/ssh/*.pub
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ssh/*.pub does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/shadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/shadow-
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /etc/shadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_set_maxstartups_question:question:1">
│ │ │ │ +      <ocil:question_text>To check if MaxStartups is configured, run the following command:
│ │ │ │ +$ sudo grep -r ^[\s]*MaxStartups /etc/ssh/sshd_config*
│ │ │ │ +If configured, this command should output the configuration.
│ │ │ │ +      Is it the case that maxstartups is not configured?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command and verify that time sources are only configured with server directive:
│ │ │ │ -# grep -E "^(server|pool)" /etc/chrony.conf
│ │ │ │ -A line with the appropriate server should be returned, any line returned starting with pool is a finding.
│ │ │ │ -      Is it the case that an authoritative remote time server is not configured or configured with pool directive?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the umask setting is configured correctly in the /etc/profile file
│ │ │ │ +or scripts within /etc/profile.d directory with the following command:
│ │ │ │ +$ grep "umask" /etc/profile*
│ │ │ │ +umask 
│ │ │ │ +      Is it the case that the value for the "umask" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;",
│ │ │ │ +or the "umask" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/shadow,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /var/log,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/shadow
│ │ │ │ +$ ls -lL /var/log
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/shadow does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /var/log does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "poweroff" command with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure that XDMCP is disabled in /etc/gdm/custom.conf, run the following command:
│ │ │ │ +grep -Pzo "\[xdmcp\]\nEnable=false" /etc/gdm/custom.conf
│ │ │ │ +The output should return the following:
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep poweroff
│ │ │ │ +[xdmcp]
│ │ │ │ +Enable=false
│ │ │ │  
│ │ │ │ --a always,exit -F path=/poweroff -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-poweroff
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the Enable is not set to false or is missing in the xdmcp section of the /etc/gdm/custom.conf gdm configuration file?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's IgnoreUserKnownHosts option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │ +      <ocil:question_text>Make sure that the kernel is not disabling SMEP with the following
│ │ │ │ +commands.
│ │ │ │ +grep -q nosmep /boot/config-`uname -r`
│ │ │ │ +If the command returns a line, it means that SMEP is being disabled.
│ │ │ │ +      Is it the case that the kernel is configured to disable SMEP?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/passwd,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/passwd
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/passwd does not have a group owner of root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the truncate system call.
│ │ │ │  
│ │ │ │ -$ sudo grep -i IgnoreUserKnownHosts /etc/ssh/sshd_config
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +$ sudo grep -r truncate /etc/audit/rules.d
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 disables storing core dumps for all users by issuing the following command:
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │  
│ │ │ │ -$ grep -i storage /etc/systemd/coredump.conf
│ │ │ │ +$ sudo grep truncate /etc/audit/audit.rules
│ │ │ │  
│ │ │ │ -Storage=none
│ │ │ │ -      Is it the case that Storage is not set to none or is commented out and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -auditd service:
│ │ │ │ -$ sudo systemctl is-active auditd
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the auditd service is not running?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchownat system call, run the following command:
│ │ │ │ -$ sudo grep "fchownat" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +The output should be the following:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the audit package is installed: $ dpkg -l  audit
│ │ │ │ -      Is it the case that the audit package is not installed?</ocil:question_text>
│ │ │ │ +-a always,exit -F arch=b32 -S truncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S truncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S truncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S truncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_ipv6_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_IPV6 /boot/config.*
│ │ │ │ +    $ grep CONFIG_COMPAT_VDSO /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include rng_core.default_quality=, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*rng_core.default_quality=.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that trust on hardware random number generator is not configured appropriately?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-mount_option_dev_shm_nosuid_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the nosuid option is configured for the /dev/shm mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/dev/shm\s'
│ │ │ │ +    . . . /dev/shm . . . nosuid . . .
│ │ │ │ +
│ │ │ │ +      Is it the case that the "/dev/shm" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_zero_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_X86_VSYSCALL_EMULATION /boot/config.*
│ │ │ │ +    $ grep CONFIG_PAGE_POISONING_ZERO /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit changes to its network configuration,
│ │ │ │ -run the following command:
│ │ │ │ -auditctl -l | grep -E '(/etc/issue|/etc/issue.net|/etc/hosts|/etc/sysconfig/network)'
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the gnutls-utils package is installed: $ dpkg -l  gnutls-utils
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the snmp package is installed:
│ │ │ │ +$ dpkg -l  snmp
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +lremovexattr system call, run the following command:
│ │ │ │ +$ sudo grep "lremovexattr" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -If the system is configured to watch for network configuration changes, a line should be returned for
│ │ │ │ -each file specified (and perm=wa should be indicated for each).
│ │ │ │ -      Is it the case that the system is not configured to audit changes of the network configuration?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/gshadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/gshadow-
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/gshadow- does not have an owner of root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │ +      <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ +$ sudo postconf alias_maps
│ │ │ │ +Query the Postfix alias maps for an alias for the root user:
│ │ │ │ +$ sudo postmap -q root hash:/etc/aliases
│ │ │ │ +The output should return an alias.
│ │ │ │ +      Is it the case that the alias is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to ensure the default FORWARD policy is DROP:
│ │ │ │ -grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ -The output should be similar to the following:
│ │ │ │ -$ sudo grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ -:FORWARD DROP [0:0
│ │ │ │ -      Is it the case that the default policy for the FORWARD chain is not set to DROP?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │ +      <ocil:question_text>If the device or Debian 11 does not have a camera installed, this requirement is not applicable.
│ │ │ │ +
│ │ │ │ +This requirement is not applicable to mobile devices (smartphones and tablets), where the use of the camera is a local AO decision.
│ │ │ │ +
│ │ │ │ +This requirement is not applicable to dedicated VTC suites located in approved VTC locations that are centrally managed.
│ │ │ │ +
│ │ │ │ +For an external camera, if there is not a method for the operator to manually disconnect the camera at the end of collaborative computing sessions, this is a finding.
│ │ │ │ +
│ │ │ │ +For a built-in camera, the camera must be protected by a camera cover (e.g., laptop camera cover slide) when not in use. If the built-in camera is not protected with a camera cover, or is not physically disabled, this is a finding.
│ │ │ │ +
│ │ │ │ +If the camera is not disconnected, covered, or physically disabled, determine if it is being disabled via software with the following commands:
│ │ │ │ +
│ │ │ │ +Verify the operating system disables the ability to load the uvcvideo kernel module.
│ │ │ │ +
│ │ │ │ +$ sudo grep -r uvcvideo /etc/modprobe.d/* | grep "/bin/true"
│ │ │ │ +
│ │ │ │ +install uvcvideo /bin/true
│ │ │ │ +      Is it the case that the command does not return any output, or the line is commented out, and the collaborative computing device has not been authorized for use?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +renameat system call, run the following command:
│ │ │ │ +$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.conf.all.accept_local kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.accept_local
│ │ │ │ +0.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-rsyslog_files_ownership_question:question:1">
│ │ │ │        <ocil:question_text>The owner of all log files written by rsyslog should be
│ │ │ │  
│ │ │ │  adm.
│ │ │ │  
│ │ │ │  These log files are determined by the second part of each Rule line in
│ │ │ │  /etc/rsyslog.conf and typically all appear in /var/log.
│ │ │ │  To see the owner of a given log file, run the following command:
│ │ │ │  $ ls -l LOGFILE
│ │ │ │        Is it the case that the owner is not correct?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/group,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/gshadow,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/group
│ │ │ │ +$ ls -lL /etc/gshadow
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/group does not have an owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that Audit Daemon is configured to include local events, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep local_events /etc/audit/auditd.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -local_events = yes
│ │ │ │ -      Is it the case that local_events isn't set to yes?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/gshadow does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's GSSAPIAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i GSSAPIAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If a line indicating /etc/issue.net is returned, then the required value is set.
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the operating system encrypts audit records off-loaded onto a different system
│ │ │ │ -or media from the system being audited with the following commands:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i '$ActionSendStreamDriverMode' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │ +      <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │  
│ │ │ │ -The output should be:
│ │ │ │ +If the system is configured to prevent the usage of the ipv6 on
│ │ │ │ +network interfaces, it will contain a line of the form:
│ │ │ │ +net.ipv6.conf.default.disable_ipv6 = 1
│ │ │ │ +Such lines may be inside any file in the /etc/sysctl.d directory.
│ │ │ │ +This permits insertion of the IPv6 kernel module (which other parts of the
│ │ │ │ +system expect to be present), but otherwise keeps network interfaces
│ │ │ │ +from using IPv6. Run the following command to search for such lines in all
│ │ │ │ +files in /etc/sysctl.d:
│ │ │ │ +$ grep -r ipv6 /etc/sysctl.d
│ │ │ │ +      Is it the case that the ipv6 support is disabled by default on network interfaces?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +rename system call, run the following command:
│ │ │ │ +$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -/etc/rsyslog.conf:$ActionSendStreamDriverMode 1
│ │ │ │ -      Is it the case that rsyslogd ActionSendStreamDriverMode is not set to 1?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that a separate file system/partition has been created for /var with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that Audit Daemon is configured to flush to disk after
│ │ │ │ +every  records, run the following command:
│ │ │ │ +$ sudo grep freq /etc/audit/auditd.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +freq = 
│ │ │ │ +      Is it the case that freq isn't set to &lt;sub idref="var_auditd_freq" /&gt;?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the system commands contained in the following directories are owned by "root" with the following command:
│ │ │ │  
│ │ │ │ -$ mountpoint /var
│ │ │ │ +$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin ! -user root -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system commands are found to not be owned by root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +fchown system call, run the following command:
│ │ │ │ +$ sudo grep "fchown" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -      Is it the case that "/var is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the system for the existence of any .netrc files,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo find /home -xdev -name .netrc
│ │ │ │ +      Is it the case that any .netrc files exist?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-grub2_l1tf_argument_question:question:1">
│ │ │ │        <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │  in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │  If they include l1tf=, then the parameter
│ │ │ │  is configured at boot time.
│ │ │ │  $ sudo grep 'kernelopts.*l1tf=.*' GRUBENV_FILE_LOCATION
│ │ │ │  Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │        Is it the case that l1tf mitigations are not configured appropriately?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /var/log/messages,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /var/log/messages
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /var/log/messages does not have an owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/gshadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/gshadow-
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /etc/gshadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the openssh-server package is installed: $ dpkg -l  openssh-server
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +adjtimex system call, run the following command:
│ │ │ │ +$ sudo grep "adjtimex" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_hardlinks_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the fs.protected_hardlinks kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl fs.protected_hardlinks
│ │ │ │ -1.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │ +      <ocil:question_text>To check which SSH protocol version is allowed, check version of
│ │ │ │ +openssh-server with following command:
│ │ │ │ +$ rpm -qi openssh-server | grep Version
│ │ │ │ +Versions equal to or higher than 7.4 have deprecated the RhostsRSAAuthentication option.
│ │ │ │ +If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ +To determine how the SSH daemon's RhostsRSAAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +$ sudo grep -i RhostsRSAAuthentication /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to ensure postfix routes mail to this system:
│ │ │ │ -$ grep relayhost /etc/postfix/main.cf
│ │ │ │ -If properly configured, the output should show only .
│ │ │ │ -      Is it the case that it is not?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure the user home directory is not group-writable or world-readable, run the following:
│ │ │ │ +# ls -ld /home/USER
│ │ │ │ +      Is it the case that the user home directory is group-writable or world-readable?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure write permissions are disabled for group and other
│ │ │ │ + for each element in root's path, run the following command:
│ │ │ │ +# ls -ld DIR
│ │ │ │ +      Is it the case that group or other write permissions exist?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │ +      <ocil:question_text>To check that the sshd service is disabled in system boot configuration,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo systemctl is-enabled sshd
│ │ │ │ +Output should indicate the sshd service has either not been installed,
│ │ │ │ +or has been disabled at all runlevels, as shown in the example below:
│ │ │ │ +$ sudo systemctl is-enabled sshd disabled
│ │ │ │  
│ │ │ │ -$ sudo grep audit /etc/security/faillock.conf
│ │ │ │ +Run the following command to verify sshd is not active (i.e. not running) through current runtime configuration:
│ │ │ │ +$ sudo systemctl is-active sshd
│ │ │ │  
│ │ │ │ -audit
│ │ │ │ -      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │ +If the service is not running the command will return the following output:
│ │ │ │ +inactive
│ │ │ │ +
│ │ │ │ +The service will also be masked, to check that the sshd is masked, run the following command:
│ │ │ │ +$ sudo systemctl show sshd | grep "LoadState\|UnitFileState"
│ │ │ │ +
│ │ │ │ +If the service is masked the command will return the following outputs:
│ │ │ │ +
│ │ │ │ +LoadState=masked
│ │ │ │ +
│ │ │ │ +UnitFileState=masked
│ │ │ │ +      Is it the case that the "sshd" is loaded and not masked?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │ +      <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │ +
│ │ │ │ +If the system is configured to prevent the usage of the ipv6 on
│ │ │ │ +network interfaces, it will contain a line of the form:
│ │ │ │ +net.ipv6.conf.all.disable_ipv6 = 1
│ │ │ │ +Such lines may be inside any file in the /etc/sysctl.d directory.
│ │ │ │ +This permits insertion of the IPv6 kernel module (which other parts of the
│ │ │ │ +system expect to be present), but otherwise keeps all network interfaces
│ │ │ │ +from using IPv6. Run the following command to search for such lines in all
│ │ │ │ +files in /etc/sysctl.d:
│ │ │ │ +$ grep -r ipv6 /etc/sysctl.d
│ │ │ │ +      Is it the case that the ipv6 support is disabled on all network interfaces?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that the system backups user data.
│ │ │ │ +      Is it the case that it is not?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_shadow_question:question:1">
│ │ │ │        <ocil:question_text>To check the ownership of /etc/shadow-,
│ │ │ │  run the command:
│ │ │ │  $ ls -lL /etc/shadow-
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │        Is it the case that /etc/shadow- does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if !authenticate has not been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -r \!authenticate /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that !authenticate is specified in the sudo config files?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-kernel_config_compat_brk_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │      $ grep CONFIG_COMPAT_BRK /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the open system call.
│ │ │ │ -
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │ +      <ocil:question_text>To properly set the permissions of /etc/audit/, run the command:
│ │ │ │ +$ sudo chmod 0640 /etc/audit/
│ │ │ │  
│ │ │ │ -$ sudo grep -r open /etc/audit/rules.d
│ │ │ │ +To properly set the permissions of /etc/audit/rules.d/, run the command:
│ │ │ │ +$ sudo chmod 0640 /etc/audit/rules.d/
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include rng_core.default_quality=, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*rng_core.default_quality=.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that trust on hardware random number generator is not configured appropriately?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │ +      <ocil:question_text>To check which SSH protocol version is allowed, check version of openssh-server with following command:
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +$ dpkg -s openssh-server | grep Version
│ │ │ │  
│ │ │ │ -$ sudo grep open /etc/audit/audit.rules
│ │ │ │ +Versions equal to or higher than 7.4 only allow Protocol 2.
│ │ │ │ +If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ +$ sudo grep Protocol /etc/ssh/sshd_config
│ │ │ │ +If configured properly, output should be Protocol 2
│ │ │ │ +      Is it the case that it is commented out or is not set correctly to Protocol 2?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/lastlog" with the following command:
│ │ │ │  
│ │ │ │ -The output should be the following:
│ │ │ │ +$ sudo auditctl -l | grep /var/log/lastlog
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-w /var/log/lastlog -p wa -k logins
│ │ │ │        Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit changes to its SELinux
│ │ │ │ -configuration files, run the following command:
│ │ │ │ -$ sudo auditctl -l | grep "dir=/etc/selinux"
│ │ │ │ -If the system is configured to watch for changes to its SELinux
│ │ │ │ -configuration, a line should be returned (including
│ │ │ │ -perm=wa indicating permissions that are watched).
│ │ │ │ -      Is it the case that the system is not configured to audit attempts to change the MAC policy?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_PAGE_TABLE_ISOLATION /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure sshd limits the users who can log in, run the following:
│ │ │ │ -pre&gt;$ sudo grep -rPi '^\h*(allow|deny)(users|groups)\h+\H+(\h+.*)?$' /etc/ssh/sshd_config*
│ │ │ │ -If properly configured, the output should be a list of usernames and/or
│ │ │ │ -groups allowed to log in to this system.
│ │ │ │ -      Is it the case that sshd does not limit the users who can log in?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_HIBERNATION /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the audit log directories have a correct mode or less permissive mode.
│ │ │ │ -
│ │ │ │ -Find the location of the audit logs:
│ │ │ │ -
│ │ │ │ -$ sudo grep "^log_file" /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -Find the group that owns audit logs:
│ │ │ │ -
│ │ │ │ -$ sudo grep "^log_group" /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -Run the following command to check the mode of the system audit logs:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that root's primary group is zero run the following command:
│ │ │ │  
│ │ │ │ -$ sudo stat -c "%a %n" [audit_log_directory]
│ │ │ │ +    grep '^root:' /etc/passwd | cut -d : -f 4
│ │ │ │  
│ │ │ │ -Replace "[audit_log_directory]" to the correct audit log directory path, by default this location is "/var/log/audit".
│ │ │ │ +The command should return:
│ │ │ │  
│ │ │ │ +0
│ │ │ │  
│ │ │ │ -If the log_group is "root" or is not set, the correct permissions are 0700, otherwise they are 0750.
│ │ │ │ -      Is it the case that audit logs have a more permissive mode?</ocil:question_text>
│ │ │ │ +      Is it the case that root has a primary gid not equal to zero?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "reboot" command with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's GSSAPIAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep reboot
│ │ │ │ +$ sudo grep -i GSSAPIAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ --a always,exit -F path=/reboot -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-reboot
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include spectre_v2=on, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*spectre_v2=on.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that spectre_v2 mitigation is not enforced?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the postfix package is installed: $ dpkg -l  postfix
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-disallow_bypass_password_sudo_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the operating system is not configured to bypass password requirements for privilege
│ │ │ │ -escalation. Check the configuration of the "/etc/pam.d/sudo" file with the following command:
│ │ │ │ -$ sudo grep pam_succeed_if /etc/pam.d/sudo
│ │ │ │ -      Is it the case that system is configured to bypass password requirements for privilege escalation?</ocil:question_text>
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -rmdir system call, run the following command:
│ │ │ │ -$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │ +setxattr system call, run the following command:
│ │ │ │ +$ sudo grep "setxattr" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include mce=0, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*mce=0.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that MCE tolerance is not set to zero?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │ -      <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ -$ sudo postconf alias_maps
│ │ │ │ -Query the Postfix alias maps for an alias for the root user:
│ │ │ │ -$ sudo postmap -q root hash:/etc/aliases
│ │ │ │ -The output should return an alias.
│ │ │ │ -      Is it the case that the alias is not set?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure logs are sent to a remote host, examine the file
│ │ │ │ +/etc/rsyslog.conf.
│ │ │ │ +If using UDP, a line similar to the following should be present:
│ │ │ │ + *.* @
│ │ │ │ +If using TCP, a line similar to the following should be present:
│ │ │ │ + *.* @@
│ │ │ │ +If using RELP, a line similar to the following should be present:
│ │ │ │ + *.* :omrelp:
│ │ │ │ +      Is it the case that no evidence that the audit logs are being off-loaded to another system or media?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/gshadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/gshadow
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/gshadow does not have an owner of root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to see what the max sessions number is:
│ │ │ │ +$ sudo grep MaxSessions /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +MaxSessions 
│ │ │ │ +      Is it the case that MaxSessions is not configured or not configured correctly?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │ -      <ocil:question_text>If the device or Debian 11 does not have a camera installed, this requirement is not applicable.
│ │ │ │ -
│ │ │ │ -This requirement is not applicable to mobile devices (smartphones and tablets), where the use of the camera is a local AO decision.
│ │ │ │ -
│ │ │ │ -This requirement is not applicable to dedicated VTC suites located in approved VTC locations that are centrally managed.
│ │ │ │ -
│ │ │ │ -For an external camera, if there is not a method for the operator to manually disconnect the camera at the end of collaborative computing sessions, this is a finding.
│ │ │ │ -
│ │ │ │ -For a built-in camera, the camera must be protected by a camera cover (e.g., laptop camera cover slide) when not in use. If the built-in camera is not protected with a camera cover, or is not physically disabled, this is a finding.
│ │ │ │ -
│ │ │ │ -If the camera is not disconnected, covered, or physically disabled, determine if it is being disabled via software with the following commands:
│ │ │ │ -
│ │ │ │ -Verify the operating system disables the ability to load the uvcvideo kernel module.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's UsePAM option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -r uvcvideo /etc/modprobe.d/* | grep "/bin/true"
│ │ │ │ +$ sudo grep -i UsePAM /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -install uvcvideo /bin/true
│ │ │ │ -      Is it the case that the command does not return any output, or the line is commented out, and the collaborative computing device has not been authorized for use?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -finit_module system call, run the following command:
│ │ │ │ -$ sudo grep "finit_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_LIST /boot/config.*
│ │ │ │ +    $ grep CONFIG_SECCOMP_FILTER /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PANIC_ON_OOPS /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if requiretty has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults.*\brequiretty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that requiretty is not enabled in sudo?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │ -      <ocil:question_text>To check if compression is enabled or set correctly, run the
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that Audit Daemon is configured to write logs to the disk, run the
│ │ │ │  following command:
│ │ │ │ -$ sudo grep Compression /etc/ssh/sshd_config
│ │ │ │ -If configured properly, output should be no or delayed.
│ │ │ │ -      Is it the case that it is commented out, or is not set to no or delayed?</ocil:question_text>
│ │ │ │ +$ sudo grep write_logs /etc/audit/auditd.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +write_logs = yes
│ │ │ │ +      Is it the case that write_logs isn't set to yes?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │ -      <ocil:question_text>To check which SSH protocol version is allowed, check version of
│ │ │ │ -openssh-server with following command:
│ │ │ │ -$ rpm -qi openssh-server | grep Version
│ │ │ │ -Versions equal to or higher than 7.4 have deprecated the RhostsRSAAuthentication option.
│ │ │ │ -If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ -To determine how the SSH daemon's RhostsRSAAuthentication option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i RhostsRSAAuthentication /etc/ssh/sshd_config
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the system-wide shared library directories are owned by "root" with the following command:
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +$ sudo find /lib /lib64 /usr/lib /usr/lib64 ! -user root -type d -exec stat -c "%n %U" '{}' \;
│ │ │ │ +      Is it the case that any system-wide shared library directory is not owned by root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>Shared libraries are stored in the following directories:
│ │ │ │ +/lib
│ │ │ │ +/lib64
│ │ │ │ +/usr/lib
│ │ │ │ +/usr/lib64
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +To find shared libraries that are group-writable or world-writable,
│ │ │ │ +run the following command for each directory DIR which contains shared libraries:
│ │ │ │ +$ sudo find -L DIR -perm /022 -type d
│ │ │ │ +      Is it the case that any of these files are group-writable or world-writable?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.conf.default.shared_media kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if arguments that commands can be executed with are restricted, run the following command:
│ │ │ │ +$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+(?:[ \t]+[^,\s]+)+[ \t]*,)*(\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+[ \t]*(?:,|$))' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that /etc/sudoers file contains user specifications that allow execution of commands with any arguments?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_symlinks_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the fs.protected_symlinks kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.default.shared_media
│ │ │ │ -0.
│ │ │ │ +$ sysctl fs.protected_symlinks
│ │ │ │ +1.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupownership_audit_configuration_question:question:1">
│ │ │ │ -      <ocil:question_text>To properly set the group owner of /etc/audit/, run the command:
│ │ │ │ -$ sudo chgrp root /etc/audit/
│ │ │ │ -
│ │ │ │ -To properly set the group owner of /etc/audit/rules.d/, run the command:
│ │ │ │ -$ sudo chgrp root /etc/audit/rules.d/
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +cron service:
│ │ │ │ +$ sudo systemctl is-active cron
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │        Is it the case that ?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/shadow,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_set_loglevel_info_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's LogLevel option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i LogLevel /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating INFO is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /boot/System.map*,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/shadow
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -shadow
│ │ │ │ -      Is it the case that /etc/shadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ +$ ls -l /boot/System.map*
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /boot/System.map* does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-service_snmpd_disabled_question:question:1">
│ │ │ │        <ocil:question_text>To check that the snmpd service is disabled in system boot configuration,
│ │ │ │  run the following command:
│ │ │ │  $ sudo systemctl is-enabled snmpd
│ │ │ │  Output should indicate the snmpd service has either not been installed,
│ │ │ │  or has been disabled at all runlevels, as shown in the example below:
│ │ │ │ @@ -5871,267 +5674,293 @@
│ │ │ │  If the service is masked the command will return the following outputs:
│ │ │ │  
│ │ │ │  LoadState=masked
│ │ │ │  
│ │ │ │  UnitFileState=masked
│ │ │ │        Is it the case that the "snmpd" is loaded and not masked?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_HASH /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +$ grep CONFIG_DEFAULT_MMAP_MIN_ADDR /boot/config.*
│ │ │ │ +For each kernel installed, a line with value should be returned.
│ │ │ │ +If the system architecture is x86_64, the value should be 65536.
│ │ │ │ +If the system architecture is aarch64, the value should be 32768.
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -settimeofday system call, run the following command:
│ │ │ │ -$ sudo grep "settimeofday" /etc/audit/audit.*
│ │ │ │ +fsetxattr system call, run the following command:
│ │ │ │ +$ sudo grep "fsetxattr" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the snmp package is installed:
│ │ │ │ -$ dpkg -l  snmp
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │ +      <ocil:question_text>Ensure that debug-shell service is not enabled with the following command:
│ │ │ │ +grep systemd\.debug-shell=1 /boot/grub2/grubenv /etc/default/grub
│ │ │ │ +If the command returns a line, it means that debug-shell service is being enabled.
│ │ │ │ +      Is it the case that the comand returns a line?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure that XDMCP is disabled in /etc/gdm/custom.conf, run the following command:
│ │ │ │ -grep -Pzo "\[xdmcp\]\nEnable=false" /etc/gdm/custom.conf
│ │ │ │ -The output should return the following:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include mce=0, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*mce=0.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that MCE tolerance is not set to zero?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │  
│ │ │ │ -[xdmcp]
│ │ │ │ -Enable=false
│ │ │ │ +$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -      Is it the case that the Enable is not set to false or is missing in the xdmcp section of the /etc/gdm/custom.conf gdm configuration file?</ocil:question_text>
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │ -      <ocil:question_text>If the system is not configured to audit time changes, this is a finding.
│ │ │ │ -If the system is 64-bit only, this is not applicable
│ │ │ │ -ocil: |
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -stime system call, run the following command:
│ │ │ │ -$ sudo grep "stime" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/ssh/*_key,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ssh/*_key
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ssh/*_key does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/gshadow-,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/group-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/gshadow-
│ │ │ │ +$ ls -lL /etc/group-
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/group- does not have an owner of root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/ssh/*_key,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/ssh/*_key
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /etc/ssh/*_key does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/shadow,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/shadow
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /etc/shadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/gshadow,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/gshadow
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  shadow
│ │ │ │ -      Is it the case that /etc/gshadow- does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/gshadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 defines default permissions for all authenticated users in such a way that the user can only read and modify their own files with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.conf.all.arp_filter kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.arp_filter
│ │ │ │ +.
│ │ │ │  
│ │ │ │ -# grep -i umask /etc/login.defs
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the fs.suid_dumpable kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl fs.suid_dumpable
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -UMASK 
│ │ │ │ -      Is it the case that the value for the "UMASK" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;", or the "UMASK" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │ -      <ocil:question_text>To check which SSH protocol version is allowed, check version of openssh-server with following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ dpkg -s openssh-server | grep Version
│ │ │ │ +$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -Versions equal to or higher than 7.4 only allow Protocol 2.
│ │ │ │ -If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ -$ sudo grep Protocol /etc/ssh/sshd_config
│ │ │ │ -If configured properly, output should be Protocol 2
│ │ │ │ -      Is it the case that it is commented out or is not set correctly to Protocol 2?</ocil:question_text>
│ │ │ │ +If a line indicating prohibit-password is returned, then the required value is set.
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 11 is configured to take action in the event of allocated audit record storage volume reaches 95 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the operating system encrypts audit records off-loaded onto a different system
│ │ │ │ +or media from the system being audited with the following commands:
│ │ │ │  
│ │ │ │ -$ sudo grep admin_space_left_action /etc/audit/auditd.conf
│ │ │ │ +$ sudo grep -i '$DefaultNetstreamDriver' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │  
│ │ │ │ -admin_space_left_action = single
│ │ │ │ +The output should be:
│ │ │ │  
│ │ │ │ -If the value of the "admin_space_left_action" is not set to "single", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ -      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │ +/etc/rsyslog.conf:$DefaultNetstreamDriver gtls
│ │ │ │ +      Is it the case that rsyslogd DefaultNetstreamDriver not set to gtls?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ -/bin
│ │ │ │ -/sbin
│ │ │ │ -/usr/bin
│ │ │ │ -/usr/local/bin
│ │ │ │ -/usr/local/sbin
│ │ │ │ -/usr/sbin
│ │ │ │ -For each of these directories, run the following command to find files
│ │ │ │ -not owned by root:
│ │ │ │ -$ sudo find -L DIR/ ! -user root -type d -exec chown root {} \;
│ │ │ │ -      Is it the case that any system executables directories are found to not be owned by root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's IgnoreUserKnownHosts option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i IgnoreUserKnownHosts /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit account changes,
│ │ │ │ -run the following command:
│ │ │ │ -auditctl -l | grep -E '(/etc/passwd|/etc/shadow|/etc/group|/etc/gshadow|/etc/security/opasswd)'
│ │ │ │ -If the system is configured to watch for account changes, lines should be returned for
│ │ │ │ -each file specified (and with perm=wa for each).
│ │ │ │ -      Is it the case that the system is not configured to audit account changes?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │ +      <ocil:question_text>If IPv6 is disabled, this is not applicable.
│ │ │ │ +
│ │ │ │ +
│ │ │ │ +
│ │ │ │ +Run the following command to determine the current status of the
│ │ │ │ +ip6tables service:
│ │ │ │ +$ sudo systemctl is-active ip6tables
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_randomize_memory_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_RETPOLINE /boot/config.*
│ │ │ │ +    $ grep CONFIG_RANDOMIZE_MEMORY /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the openat system call.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that the system is integrated with a centralized authentication mechanism
│ │ │ │ +such as as Active Directory, Kerberos, Directory Server, etc. that has
│ │ │ │ +automated account mechanisms in place.
│ │ │ │ +      Is it the case that the system is not using a centralized authentication mechanism, or it is not automated?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to see what the timeout interval is:
│ │ │ │ +$ sudo grep ClientAliveInterval /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +ClientAliveInterval 
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │ +      <ocil:question_text>Make sure that the kernel is not disabling SMAP with the following
│ │ │ │ +commands.
│ │ │ │ +grep -q nosmap /boot/config-`uname -r`
│ │ │ │ +If the command returns a line, it means that SMAP is being disabled.
│ │ │ │ +      Is it the case that the kernel is configured to disable SMAP?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the creat system call.
│ │ │ │  
│ │ │ │  If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -r openat /etc/audit/rules.d
│ │ │ │ +$ sudo grep -r creat /etc/audit/rules.d
│ │ │ │  
│ │ │ │  If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep openat /etc/audit/audit.rules
│ │ │ │ +$ sudo grep creat /etc/audit/audit.rules
│ │ │ │  
│ │ │ │  The output should be the following:
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │        Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-harden_ssh_client_crypto_policy_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify if the OpenSSH Client uses defined Crypto Policy, run:
│ │ │ │ -$ cat /etc/ssh/ssh_config.d/02-ospp.conf
│ │ │ │ -and verify that the line matches
│ │ │ │ -Match final all
│ │ │ │ -RekeyLimit 512M 1h
│ │ │ │ -GSSAPIAuthentication no
│ │ │ │ -Ciphers aes256-ctr,aes256-cbc,aes128-ctr,aes128-cbc
│ │ │ │ -PubkeyAcceptedKeyTypes ssh-rsa,ecdsa-sha2-nistp384,ecdsa-sha2-nistp256
│ │ │ │ -MACs hmac-sha2-512,hmac-sha2-256
│ │ │ │ -KexAlgorithms ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group14-sha1
│ │ │ │ -      Is it the case that Crypto Policy for OpenSSH Client is not configured according to CC requirements?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's AllowTcpForwarding option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i AllowTcpForwarding /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +      Is it the case that The AllowTcpForwarding option exists and is disabled?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if negation is used to define commands users are allowed to execute using sudo, run the following command:
│ │ │ │ -$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,!\n][^,\n]+,)*\s*(?:\([^\)]+\))?\s*(?!\s*\()(!\S+).*' /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that /etc/sudoers file contains rules that define the set of allowed commands using negation?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the audit package is installed: $ dpkg -l  audit
│ │ │ │ +      Is it the case that the audit package is not installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │ -      <ocil:question_text>If the system is configured to prevent the loading of the tipc kernel module,
│ │ │ │ -it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ -These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit changes to its network configuration,
│ │ │ │ +run the following command:
│ │ │ │ +auditctl -l | grep -E '(/etc/issue|/etc/issue.net|/etc/hosts|/etc/sysconfig/network)'
│ │ │ │  
│ │ │ │ -Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ -$ grep -r tipc /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +If the system is configured to watch for network configuration changes, a line should be returned for
│ │ │ │ +each file specified (and perm=wa should be indicated for each).
│ │ │ │ +      Is it the case that the system is not configured to audit changes of the network configuration?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │ -      <ocil:question_text>To find world-writable directories that lack the sticky bit, run the following command:
│ │ │ │ -$ sudo find / -type d \( -perm -0002 -a ! -perm -1000 \) -print 2&gt;/dev/null
│ │ │ │ -fixtext: |-
│ │ │ │ -Configure all world-writable directories to have the sticky bit set to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │ -
│ │ │ │ -Set the sticky bit on all world-writable directories using the command, replace "[World-Writable Directory]" with any directory path missing the sticky bit:
│ │ │ │ -
│ │ │ │ -$ chmod a+t [World-Writable Directory]
│ │ │ │ -srg_requirement:
│ │ │ │ -A sticky bit must be set on all Debian 11 public directories to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │ -      Is it the case that any world-writable directories are missing the sticky bit?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that the interactive user account passwords last change time is not in the future
│ │ │ │ +The following command should return no output
│ │ │ │ +$ sudo expiration=$(cat /etc/shadow|awk -F ':' '{print $3}');
│ │ │ │ +for edate in ${expiration[@]}; do if [[ $edate &gt; $(( $(date +%s)/86400 )) ]];
│ │ │ │ +then echo "Expiry date in future";
│ │ │ │ +fi; done 
│ │ │ │ +      Is it the case that any interactive user password that has last change time in the future?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/ssh/*.pub,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/group,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/ssh/*.pub
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ +$ ls -lL /etc/group
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/ssh/*.pub does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/group does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the operating system encrypts audit records off-loaded onto a different system
│ │ │ │ -or media from the system being audited with the following commands:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the kernel.randomize_va_space kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.randomize_va_space
│ │ │ │ +2.
│ │ │ │  
│ │ │ │ -$ sudo grep -i '$DefaultNetstreamDriver' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 11 is configured to take action in the event of allocated audit record storage volume reaches 95 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │  
│ │ │ │ -The output should be:
│ │ │ │ +$ sudo grep admin_space_left_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -/etc/rsyslog.conf:$DefaultNetstreamDriver gtls
│ │ │ │ -      Is it the case that rsyslogd DefaultNetstreamDriver not set to gtls?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │ -      <ocil:question_text>Make sure that the kernel is not disabling SMEP with the following
│ │ │ │ -commands.
│ │ │ │ -grep -q nosmep /boot/config-`uname -r`
│ │ │ │ -If the command returns a line, it means that SMEP is being disabled.
│ │ │ │ -      Is it the case that the kernel is configured to disable SMEP?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_RANDOMIZE_BASE /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure logs are sent to a remote host, examine the file
│ │ │ │ -/etc/rsyslog.conf.
│ │ │ │ -If using UDP, a line similar to the following should be present:
│ │ │ │ - *.* @
│ │ │ │ -If using TCP, a line similar to the following should be present:
│ │ │ │ - *.* @@
│ │ │ │ -If using RELP, a line similar to the following should be present:
│ │ │ │ - *.* :omrelp:
│ │ │ │ -      Is it the case that no evidence that the audit logs are being off-loaded to another system or media?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +admin_space_left_action = single
│ │ │ │ +
│ │ │ │ +If the value of the "admin_space_left_action" is not set to "single", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ +      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-securetty_root_login_console_only_question:question:1">
│ │ │ │ -      <ocil:question_text>To check for virtual console entries which permit root login, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep ^vc/[0-9] /etc/securetty
│ │ │ │ -If any output is returned, then root logins over virtual console devices is permitted.
│ │ │ │ -      Is it the case that root login over virtual console devices is permitted?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that the audit system collects unauthorized file accesses, run the following commands:
│ │ │ │ +$ sudo grep EACCES /etc/audit/audit.rules
│ │ │ │ +$ sudo grep EPERM /etc/audit/audit.rules
│ │ │ │ +      Is it the case that 32-bit and 64-bit system calls to creat, open, openat, open_by_handle_at, truncate, and ftruncate are not audited during EACCES and EPERM?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Ensure that Debian 11 does not disable SELinux.
│ │ │ │ -
│ │ │ │ -Check if "SELinux" is active and in "enforcing" or "permissive" mode with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +settimeofday system call, run the following command:
│ │ │ │ +$ sudo grep "settimeofday" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -$ sudo getenforce
│ │ │ │ -Enforcing
│ │ │ │ --OR-
│ │ │ │ -Permissive
│ │ │ │ -      Is it the case that SELinux is disabled?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the password warning age, run the command:
│ │ │ │ -$ grep PASS_WARN_AGE /etc/login.defs
│ │ │ │ -The DoD requirement is 7.
│ │ │ │ -      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the logrotate package is installed: $ dpkg -l  logrotate
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ +determine how many logs the system is configured to retain after rotation:
│ │ │ │ +$ sudo grep num_logs /etc/audit/auditd.conf
│ │ │ │ +num_logs = 5
│ │ │ │ +      Is it the case that the system log file retention has not been properly configured?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_ACPI_CUSTOM_METHOD /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEBUG_CREDENTIALS /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -unlinkat system call, run the following command:
│ │ │ │ -$ sudo grep "unlinkat" /etc/audit/audit.*
│ │ │ │ +unlink system call, run the following command:
│ │ │ │ +$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │  init_module system call, run the following command:
│ │ │ │ @@ -6143,803 +5972,783 @@
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  To determine if the system is configured to audit calls to the
│ │ │ │  delete_module system call, run the following command:
│ │ │ │  $ sudo grep "delete_module" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that root's primary group is zero run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +iptables service:
│ │ │ │ +$ sudo systemctl is-active iptables
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify all squashing has been disabled, run the following command:
│ │ │ │ +$ grep all_squash /etc/exports
│ │ │ │ +      Is it the case that there is output?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.conf.all.shared_media kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.shared_media
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -    grep '^root:' /etc/passwd | cut -d : -f 4
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure the MaxAuthTries parameter is set, run the following command:
│ │ │ │ +$ sudo grep MaxAuthTries /etc/ssh/sshd_config
│ │ │ │ +If properly configured, output should be:
│ │ │ │ +MaxAuthTries 
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit attempts to
│ │ │ │ +alter time via the /etc/localtime file, run the following
│ │ │ │ +command:
│ │ │ │ +$ sudo auditctl -l | grep "watch=/etc/localtime"
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +      Is it the case that the system is not configured to audit time changes?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 11 generates an audit record for all uses of the "umount" and system call.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +"umount" system call, run the following command:
│ │ │ │ +$ sudo grep "umount" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line like the following.
│ │ │ │ +-a always,exit -F arch=b32 -S umount -F auid&gt;=1000 -F auid!=unset -k privileged-umount
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the syslog-ng-core package is installed: $ dpkg -l  syslog-ng-core
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that a separate file system/partition has been created for /home with the following command:
│ │ │ │  
│ │ │ │ -The command should return:
│ │ │ │ +$ mountpoint /home
│ │ │ │  
│ │ │ │ -0
│ │ │ │ +      Is it the case that "/home is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +init_module system call, run the following command:
│ │ │ │ +$ sudo grep "init_module" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -      Is it the case that root has a primary gid not equal to zero?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command and verify remote server is configured properly:
│ │ │ │ -# grep -E "^(server|pool)" /etc/chrony.conf
│ │ │ │ -      Is it the case that a remote time server is not configured?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the nss-tools package is installed: $ dpkg -l  nss-tools
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the ftruncate system call.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the minimum password length, run the command:
│ │ │ │ +$ grep PASS_MIN_LEN /etc/login.defs
│ │ │ │ +The DoD requirement is 15.
│ │ │ │ +      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_RETPOLINE /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ +$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -$ sudo grep -r ftruncate /etc/audit/rules.d
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +mount system call, run the following command:
│ │ │ │ +$ sudo grep "mount" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -$ sudo grep ftruncate /etc/audit/audit.rules
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │ +      <ocil:question_text>To find world-writable directories that lack the sticky bit, run the following command:
│ │ │ │ +$ sudo find / -type d \( -perm -0002 -a ! -perm -1000 \) -print 2&gt;/dev/null
│ │ │ │ +fixtext: |-
│ │ │ │ +Configure all world-writable directories to have the sticky bit set to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │  
│ │ │ │ -The output should be the following:
│ │ │ │ +Set the sticky bit on all world-writable directories using the command, replace "[World-Writable Directory]" with any directory path missing the sticky bit:
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +$ chmod a+t [World-Writable Directory]
│ │ │ │ +srg_requirement:
│ │ │ │ +A sticky bit must be set on all Debian 11 public directories to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │ +      Is it the case that any world-writable directories are missing the sticky bit?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include spec_store_bypass_disable=, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*spec_store_bypass_disable=.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that SSB is not configured appropriately?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │ +      <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ +$ sudo postconf alias_maps
│ │ │ │ +Query the Postfix alias maps for an alias for the postmaster user:
│ │ │ │ +$ sudo postmap -q postmaster hash:/etc/aliases
│ │ │ │ +The output should return root.
│ │ │ │ +      Is it the case that the alias is not set or is not root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify the audispd's syslog plugin is active, run the following command:
│ │ │ │ -$ sudo grep active /etc/audit/plugins.d/syslog.conf
│ │ │ │ -If the plugin is active, the output will show yes.
│ │ │ │ -      Is it the case that it is not activated?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-service_ntp_enabled_question:question:1">
│ │ │ │        <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │  ntp service:
│ │ │ │  $ sudo systemctl is-active ntp
│ │ │ │  If the service is running, it should return the following: active
│ │ │ │        Is it the case that ?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/group-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/group-
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/group- does not have a group owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_vdsm_nopasswd_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if NOPASSWD has been configured for the vdsm user for sudo,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo grep -ri nopasswd /etc/sudoers.d/
│ │ │ │ -The command should return output only for the vdsm user.
│ │ │ │ -      Is it the case that nopasswd is set for any users beyond vdsm?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /var/log/syslog,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /var/log/syslog
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /var/log/syslog does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify all accounts have unique names, run the following command:
│ │ │ │ +$ sudo getent passwd | awk -F: '{ print $1}' | uniq -d
│ │ │ │ +No output should be returned.
│ │ │ │ +      Is it the case that a line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /var/log,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /var/log
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -drwxr-xr-x
│ │ │ │ -      Is it the case that /var/log does not have unix mode drwxr-xr-x?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +syslog-ng service:
│ │ │ │ +$ sudo systemctl is-active syslog-ng
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the "syslog-ng" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECURITY /boot/config.*
│ │ │ │ +    $ grep CONFIG_UNMAP_KERNEL_AT_EL0 /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /var/log,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/passwd-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /var/log
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /var/log does not have an owner of root?</ocil:question_text>
│ │ │ │ +$ ls -l /etc/passwd-
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/passwd- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /var/log,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /var/log
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /var/log does not have a group owner of root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure root may not directly login to the system over physical consoles,
│ │ │ │ +run the following command:
│ │ │ │ +cat /etc/securetty
│ │ │ │ +If any output is returned, this is a finding.
│ │ │ │ +      Is it the case that the /etc/securetty file is not empty?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -$ grep CONFIG_DEFAULT_MMAP_MIN_ADDR /boot/config.*
│ │ │ │ -For each kernel installed, a line with value should be returned.
│ │ │ │ -If the system architecture is x86_64, the value should be 65536.
│ │ │ │ -If the system architecture is aarch64, the value should be 32768.
│ │ │ │ +    $ grep CONFIG_ACPI_CUSTOM_METHOD /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the open_by_handle_at system call.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's HostbasedAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ +$ sudo grep -i HostbasedAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -$ sudo grep -r open_by_handle_at /etc/audit/rules.d
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-selinux_state_question:question:1">
│ │ │ │ +      <ocil:question_text>Ensure that Debian 11 verifies correct operation of security functions.
│ │ │ │  
│ │ │ │ -$ sudo grep open_by_handle_at /etc/audit/audit.rules
│ │ │ │ +Check if "SELinux" is active and in "" mode with the following command:
│ │ │ │  
│ │ │ │ -The output should be the following:
│ │ │ │ +$ sudo getenforce
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S open_by_handle_at -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S open_by_handle_at -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S open_by_handle_at -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S open_by_handle_at -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that SELINUX is not set to enforcing?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/ssh/*.pub,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/ssh/*.pub
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ssh/*.pub does not have a group owner of root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if logfile has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults\s*\blogfile\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that logfile is not enabled in sudo?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's GSSAPIAuthentication option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the rsyslog package is installed: $ dpkg -l  rsyslog
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include spectre_v2=on, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*spectre_v2=on.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that spectre_v2 mitigation is not enforced?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/security/opasswd" with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i GSSAPIAuthentication /etc/ssh/sshd_config
│ │ │ │ +$ sudo auditctl -l | grep 
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +-w  -p wa -k logins
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's IgnoreRhosts option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i IgnoreRhosts /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the openssh-server package is installed: $ dpkg -l  openssh-server
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 takes the appropriate action when an audit processing failure occurs.
│ │ │ │ +
│ │ │ │ +Check that Debian 11 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +disk_error_action = HALT
│ │ │ │ +
│ │ │ │ +If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ +      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_messages_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /var/log/messages,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /var/log/messages
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /var/log/messages does not have a group owner of root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +rsyslog service:
│ │ │ │ +$ sudo systemctl is-active rsyslog
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the "rsyslog" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_chown_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -chown system call, run the following command:
│ │ │ │ -$ sudo grep "chown" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │ +$ sudo awk -F: '!$2 {print $1}' /etc/shadow
│ │ │ │ +If this produces any output, it may be possible to log into accounts
│ │ │ │ +with empty passwords.
│ │ │ │ +      Is it the case that Blank or NULL passwords can be used?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/passwd-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/passwd-
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/passwd- does not have a group owner of root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_vdsm_nopasswd_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if NOPASSWD has been configured for the vdsm user for sudo,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo grep -ri nopasswd /etc/sudoers.d/
│ │ │ │ +The command should return output only for the vdsm user.
│ │ │ │ +      Is it the case that nopasswd is set for any users beyond vdsm?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the system-wide shared library files are owned by "root" with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the open system call.
│ │ │ │  
│ │ │ │ -$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 ! -user root -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system wide shared library file is not owned by root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the fs.suid_dumpable kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl fs.suid_dumpable
│ │ │ │ -0.
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include iommu=force, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*iommu=force.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that I/OMMU is not activated?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_HIBERNATION /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +$ sudo grep -r open /etc/audit/rules.d
│ │ │ │ +
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep open /etc/audit/audit.rules
│ │ │ │ +
│ │ │ │ +The output should be the following:
│ │ │ │ +
│ │ │ │ +-a always,exit -F arch=b32 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_shadow_question:question:1">
│ │ │ │        <ocil:question_text>To check the group ownership of /etc/shadow-,
│ │ │ │  run the command:
│ │ │ │  $ ls -lL /etc/shadow-
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  shadow
│ │ │ │        Is it the case that /etc/shadow- does not have a group owner of shadow?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the umask setting is configured correctly in the /etc/profile file
│ │ │ │ -or scripts within /etc/profile.d directory with the following command:
│ │ │ │ -$ grep "umask" /etc/profile*
│ │ │ │ -umask 
│ │ │ │ -      Is it the case that the value for the "umask" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;",
│ │ │ │ -or the "umask" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if !authenticate has not been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -r \!authenticate /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that !authenticate is specified in the sudo config files?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupownership_sshd_private_key_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/ssh/*_key,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/ssh/*_key
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ssh/*_key does not have a group owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -setxattr system call, run the following command:
│ │ │ │ -$ sudo grep "setxattr" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that GRUB_DISABLE_RECOVERY is set to true in /etc/default/grub to disable recovery boot.
│ │ │ │ +Run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +$ sudo grep GRUB_DISABLE_RECOVERY /etc/default/grub
│ │ │ │ +      Is it the case that GRUB_DISABLE_RECOVERY is not set to true or is missing?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │ -      <ocil:question_text>To check for serial port entries which permit root login,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo grep ^ttyS/[0-9] /etc/securetty
│ │ │ │ -If any output is returned, then root login over serial ports is permitted.
│ │ │ │ -      Is it the case that root login over serial ports is permitted?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if use_pty has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults.*\buse_pty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that use_pty is not enabled in sudo?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure write permissions are disabled for group and other
│ │ │ │ - for each element in root's path, run the following command:
│ │ │ │ -# ls -ld DIR
│ │ │ │ -      Is it the case that group or other write permissions exist?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify the audispd's syslog plugin is active, run the following command:
│ │ │ │ +$ sudo grep active /etc/audit/plugins.d/syslog.conf
│ │ │ │ +If the plugin is active, the output will show yes.
│ │ │ │ +      Is it the case that it is not activated?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure all GIDs referenced in /etc/passwd are defined in /etc/group,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo pwck -qr
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure the default password is not set, run the following command:
│ │ │ │ +$ sudo grep -v "^#" /etc/snmp/snmpd.conf| grep -E 'public|private'
│ │ │ │  There should be no output.
│ │ │ │ -      Is it the case that GIDs referenced in /etc/passwd are returned as not defined in /etc/group?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's PermitUserEnvironment option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i PermitUserEnvironment /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +      Is it the case that the default SNMP passwords public and private have not been changed or removed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /var/log/messages,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/shadow,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /var/log/messages
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /var/log/messages does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the audit system is configured to take an appropriate action when the internal event queue is full:
│ │ │ │ -$ sudo grep -i overflow_action /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -The output should contain overflow_action = syslog
│ │ │ │ -
│ │ │ │ -If the value of the "overflow_action" option is not set to syslog,
│ │ │ │ -single, halt or the line is commented out, ask the System Administrator
│ │ │ │ -to indicate how the audit logs are off-loaded to a different system or media.
│ │ │ │ -      Is it the case that auditd overflow action is not set correctly?</ocil:question_text>
│ │ │ │ +$ ls -lL /etc/shadow
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +shadow
│ │ │ │ +      Is it the case that /etc/shadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │ -      <ocil:question_text>To check if the installed Operating System is 64-bit, run the following command:
│ │ │ │ -$ uname -m
│ │ │ │ -The output should be one of the following: x86_64, aarch64, ppc64le or s390x.
│ │ │ │ -If the output is i686 or i386 the operating system is 32-bit.
│ │ │ │ -Check if the installed CPU supports 64-bit operating systems by running the following command:
│ │ │ │ -$ lscpu | grep "CPU op-mode"
│ │ │ │ -If the output contains 64bit, the CPU supports 64-bit operating systems.
│ │ │ │ -      Is it the case that the installed operating sytem is 32-bit but the CPU supports operation in 64-bit?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /var/log,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /var/log
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /var/log does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -systemd-journald service:
│ │ │ │ -$ sudo systemctl is-active systemd-journald
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the systemd-journald service is not running?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit account changes,
│ │ │ │ +run the following command:
│ │ │ │ +auditctl -l | grep -E '(/etc/passwd|/etc/shadow|/etc/group|/etc/gshadow|/etc/security/opasswd)'
│ │ │ │ +If the system is configured to watch for account changes, lines should be returned for
│ │ │ │ +each file specified (and with perm=wa for each).
│ │ │ │ +      Is it the case that the system is not configured to audit account changes?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchmodat system call, run the following command:
│ │ │ │ -$ sudo grep "fchmodat" /etc/audit/audit.*
│ │ │ │ +rmdir system call, run the following command:
│ │ │ │ +$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that auditing of privileged command use is configured, run the following command
│ │ │ │ -to search privileged commands in relevant partitions and check if they are covered by auditd
│ │ │ │ -rules:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify users are provided with feedback on when account accesses last occurred with the following command:
│ │ │ │  
│ │ │ │ -FILTER_NODEV=$(awk '/nodev/ { print $2 }' /proc/filesystems | paste -sd,)
│ │ │ │ -PARTITIONS=$(findmnt -n -l -k -it $FILTER_NODEV | grep -Pv "noexec|nosuid" | awk '{ print $1 }')
│ │ │ │ -for PARTITION in $PARTITIONS; do
│ │ │ │ -  for PRIV_CMD in $(find "${PARTITION}" -xdev -perm /6000 -type f 2&gt;/dev/null); do
│ │ │ │ -    grep -qr "${PRIV_CMD}" /etc/audit/rules.d /etc/audit/audit.rules &amp;&amp;
│ │ │ │ -      printf "OK: ${PRIV_CMD}\n" || printf "WARNING - rule not found for: ${PRIV_CMD}\n"
│ │ │ │ -  done
│ │ │ │ -done
│ │ │ │ +$ sudo grep pam_lastlog /etc/pam.d/postlogin
│ │ │ │  
│ │ │ │ -The output should not contain any WARNING.
│ │ │ │ -      Is it the case that any setuid or setgid programs doesn't have a line in the audit rules?</ocil:question_text>
│ │ │ │ +session [default=1] pam_lastlog.so showfailed
│ │ │ │ +      Is it the case that "pam_lastlog.so" is not properly configured in "/etc/pam.d/postlogin" file?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -rename system call, run the following command:
│ │ │ │ -$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │ +fchmod system call, run the following command:
│ │ │ │ +$ sudo grep "fchmod" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 notifies the SA and ISSO (at a minimum) when allocated audit record storage volume reaches 75 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -w space_left_action /etc/audit/auditd.conf
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │ +      <ocil:question_text>To check if RekeyLimit is set correctly, run the
│ │ │ │ +following command:
│ │ │ │  
│ │ │ │ -space_left_action = 
│ │ │ │ +$ sudo grep RekeyLimit /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If the value of the "space_left_action" is not set to "", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ -      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │ +If configured properly, output should be
│ │ │ │ +RekeyLimit  
│ │ │ │ +      Is it the case that it is commented out or is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │ -      <ocil:question_text>To check if UsePrivilegeSeparation is enabled or set correctly, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep UsePrivilegeSeparation /etc/ssh/sshd_config
│ │ │ │ -If configured properly, output should be .
│ │ │ │ -      Is it the case that it is commented out or is not enabled?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that McAfee HIPS is installed, run the following command(s):
│ │ │ │ +$ rpm -q MFEhiplsm
│ │ │ │ +      Is it the case that the HBSS HIPS module is not installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that a separate file system/partition has been created for /tmp with the following command:
│ │ │ │ -
│ │ │ │ -$ mountpoint /tmp
│ │ │ │ -
│ │ │ │ -      Is it the case that "/tmp is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that only the "root" account has a UID "0" assignment with the
│ │ │ │ +following command:
│ │ │ │ +$ awk -F: '$3 == 0 {print $1}' /etc/passwd
│ │ │ │ +root
│ │ │ │ +      Is it the case that any accounts other than "root" have a UID of "0"?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │        <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -chronyd service:
│ │ │ │ -$ sudo systemctl is-active chronyd
│ │ │ │ +ufw service:
│ │ │ │ +$ sudo systemctl is-active ufw
│ │ │ │  If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the chronyd process is not running?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if use_pty has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults.*\buse_pty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that use_pty is not enabled in sudo?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the syslog-ng-core package is installed: $ dpkg -l  syslog-ng-core
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │ -
│ │ │ │ -$ grep nullok /etc/pam.d/system-auth /etc/pam.d/password-auth
│ │ │ │ -
│ │ │ │ -If this produces any output, it may be possible to log into accounts
│ │ │ │ -with empty passwords. Remove any instances of the nullok option to
│ │ │ │ -prevent logins with empty passwords.
│ │ │ │ -      Is it the case that NULL passwords can be used?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that the system backups user data.
│ │ │ │ -      Is it the case that it is not?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the creat system call.
│ │ │ │ -
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -r creat /etc/audit/rules.d
│ │ │ │ -
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep creat /etc/audit/audit.rules
│ │ │ │ -
│ │ │ │ -The output should be the following:
│ │ │ │ -
│ │ │ │ --a always,exit -F arch=b32 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify all squashing has been disabled, run the following command:
│ │ │ │ -$ grep all_squash /etc/exports
│ │ │ │ -      Is it the case that there is output?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect the file /etc/sysconfig/iptables to determine
│ │ │ │ -the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ -$ sudo grep ":INPUT" /etc/sysconfig/iptables
│ │ │ │ -      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │ +      Is it the case that the service is not enabled?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure root may not directly login to the system over physical consoles,
│ │ │ │ -run the following command:
│ │ │ │ -cat /etc/securetty
│ │ │ │ -If any output is returned, this is a finding.
│ │ │ │ -      Is it the case that the /etc/securetty file is not empty?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ +/bin
│ │ │ │ +/sbin
│ │ │ │ +/usr/bin
│ │ │ │ +/usr/sbin
│ │ │ │ +/usr/local/bin
│ │ │ │ +/usr/local/sbin
│ │ │ │ +To find system executables directories that are group-writable or
│ │ │ │ +world-writable, run the following command for each directory DIR
│ │ │ │ +which contains system executables:
│ │ │ │ +$ sudo find -L DIR -perm /022 -type d
│ │ │ │ +      Is it the case that any of these files are group-writable or world-writable?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's KerberosAuthentication option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's PermitEmptyPasswords option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i KerberosAuthentication /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i PermitEmptyPasswords /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │  If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 takes the appropriate action when the audit files have reached maximum size.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure ClientAliveInterval is set correctly, run the following command:
│ │ │ │  
│ │ │ │ -Check that Debian 11 takes the appropriate action when the audit files have reached maximum size with the following command:
│ │ │ │ +$ sudo grep ClientAliveCountMax /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +ClientAliveCountMax 0
│ │ │ │  
│ │ │ │ -max_log_file_action = 
│ │ │ │ -      Is it the case that the value of the "max_log_file_action" option is not "ROTATE", "SINGLE", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full. If there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ +In this case, the SSH timeout occurs precisely when
│ │ │ │ +the ClientAliveInterval is set.
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_disk_full_action_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 takes the appropriate action when the audit storage volume is full.
│ │ │ │ -
│ │ │ │ -Check that Debian 11 takes the appropriate action when the audit storage volume is full with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep disk_full_action /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -disk_full_action = 
│ │ │ │ -
│ │ │ │ -If the value of the "disk_full_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full.
│ │ │ │ -      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │ +      <ocil:question_text>If the system is not configured to audit time changes, this is a finding.
│ │ │ │ +If the system is 64-bit only, this is not applicable
│ │ │ │ +ocil: |
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +stime system call, run the following command:
│ │ │ │ +$ sudo grep "stime" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_FORCE /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lsetxattr_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -lchown system call, run the following command:
│ │ │ │ -$ sudo grep "lchown" /etc/audit/audit.*
│ │ │ │ +lsetxattr system call, run the following command:
│ │ │ │ +$ sudo grep "lsetxattr" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/gshadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/gshadow
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /etc/gshadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the rsyslog package is installed: $ dpkg -l  rsyslog
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchmod system call, run the following command:
│ │ │ │ -$ sudo grep "fchmod" /etc/audit/audit.*
│ │ │ │ +umount2 system call, run the following command:
│ │ │ │ +$ sudo grep "umount2" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/passwd,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/passwd
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/passwd does not have a group owner of root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_unauthorized_world_writable_question:question:1">
│ │ │ │ +      <ocil:question_text>To find world-writable files, run the following command:
│ │ │ │ +$ sudo find / -xdev -type f -perm -002
│ │ │ │ +      Is it the case that there is output?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-partition_for_var_log_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that a separate file system/partition has been created for /var/log with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "poweroff" command with the following command:
│ │ │ │  
│ │ │ │ -$ mountpoint /var/log
│ │ │ │ +$ sudo auditctl -l | grep poweroff
│ │ │ │  
│ │ │ │ -      Is it the case that "/var/log is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +-a always,exit -F path=/poweroff -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-poweroff
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │ -      <ocil:question_text>To check that the sshd service is disabled in system boot configuration,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo systemctl is-enabled sshd
│ │ │ │ -Output should indicate the sshd service has either not been installed,
│ │ │ │ -or has been disabled at all runlevels, as shown in the example below:
│ │ │ │ -$ sudo systemctl is-enabled sshd disabled
│ │ │ │ -
│ │ │ │ -Run the following command to verify sshd is not active (i.e. not running) through current runtime configuration:
│ │ │ │ -$ sudo systemctl is-active sshd
│ │ │ │ -
│ │ │ │ -If the service is not running the command will return the following output:
│ │ │ │ -inactive
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_PAGE_POISONING_NO_SANITY /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +fremovexattr system call, run the following command:
│ │ │ │ +$ sudo grep "fremovexattr" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -The service will also be masked, to check that the sshd is masked, run the following command:
│ │ │ │ -$ sudo systemctl show sshd | grep "LoadState\|UnitFileState"
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the system commands contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │  
│ │ │ │ -If the service is masked the command will return the following outputs:
│ │ │ │ +$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin -perm /022 -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system commands are found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 takes the appropriate action when an audit processing failure occurs.
│ │ │ │  
│ │ │ │ -LoadState=masked
│ │ │ │ +Check that Debian 11 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │  
│ │ │ │ -UnitFileState=masked
│ │ │ │ -      Is it the case that the "sshd" is loaded and not masked?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that a separate file system/partition has been created for /var/log/audit with the following command:
│ │ │ │ +$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -$ mountpoint /var/log/audit
│ │ │ │ +disk_error_action = 
│ │ │ │  
│ │ │ │ -      Is it the case that "/var/log/audit is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ +      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_set_login_grace_time_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure LoginGraceTime is set correctly, run the following command:
│ │ │ │ -$ sudo grep LoginGraceTime /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -LoginGraceTime 
│ │ │ │ -If the option is set to a number greater than 0, then the unauthenticated session will be disconnected
│ │ │ │ -after the configured number seconds.
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/gshadow-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/gshadow-
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /etc/gshadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SLUB_DEBUG /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to ensure the default FORWARD policy is DROP:
│ │ │ │ +grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ +The output should be similar to the following:
│ │ │ │ +$ sudo grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ +:FORWARD DROP [0:0
│ │ │ │ +      Is it the case that the default policy for the FORWARD chain is not set to DROP?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │ -      <ocil:question_text>The file permissions for all log files written by rsyslog should
│ │ │ │ -be set to 640, or more restrictive. These log files are determined by the
│ │ │ │ -second part of each Rule line in /etc/rsyslog.conf and typically
│ │ │ │ -all appear in /var/log. To see the permissions of a given log
│ │ │ │ -file, run the following command:
│ │ │ │ -$ ls -l LOGFILE
│ │ │ │ -The permissions should be 640, or more restrictive.
│ │ │ │ -      Is it the case that the permissions are not correct?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.conf.all.route_localnet kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.route_localnet
│ │ │ │ +0.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_ALL /boot/config.*
│ │ │ │ +    $ grep CONFIG_SYN_COOKIES /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the minimum password length, run the command:
│ │ │ │ -$ grep PASS_MIN_LEN /etc/login.defs
│ │ │ │ -The DoD requirement is 15.
│ │ │ │ -      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_BINFMT_MISC /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │ -$ sudo awk -F: '!$2 {print $1}' /etc/shadow
│ │ │ │ -If this produces any output, it may be possible to log into accounts
│ │ │ │ -with empty passwords.
│ │ │ │ -      Is it the case that Blank or NULL passwords can be used?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that GRUB_DISABLE_RECOVERY is set to true in /etc/default/grub to disable recovery boot.
│ │ │ │ -Run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's PermitUserEnvironment option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep GRUB_DISABLE_RECOVERY /etc/default/grub
│ │ │ │ -      Is it the case that GRUB_DISABLE_RECOVERY is not set to true or is missing?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "shutdown" command with the following command:
│ │ │ │ +$ sudo grep -i PermitUserEnvironment /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep shutdown
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │ --a always,exit -F path=/shutdown -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-shutdown
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -mount system call, run the following command:
│ │ │ │ -$ sudo grep "mount" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /var/log/messages,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /var/log/messages
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /var/log/messages does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/tallylog" with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +systemd-journald service:
│ │ │ │ +$ sudo systemctl is-active systemd-journald
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the systemd-journald service is not running?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep /var/log/tallylog
│ │ │ │ +$ sudo grep audit /etc/security/faillock.conf
│ │ │ │  
│ │ │ │ --w /var/log/tallylog -p wa -k logins
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +audit
│ │ │ │ +      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's StrictModes option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i StrictModes /etc/ssh/sshd_config
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 defines default permissions for all authenticated users in such a way that the user can only read and modify their own files with the following command:
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +# grep -i umask /etc/login.defs
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +UMASK 
│ │ │ │ +      Is it the case that the value for the "UMASK" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;", or the "UMASK" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 11 generates an audit record for all uses of the "umount" and system call.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -"umount" system call, run the following command:
│ │ │ │ -$ sudo grep "umount" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line like the following.
│ │ │ │ --a always,exit -F arch=b32 -S umount -F auid&gt;=1000 -F auid!=unset -k privileged-umount
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the cron package is installed:
│ │ │ │ +$ dpkg -l  cron
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include iommu=force, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*iommu=force.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that I/OMMU is not activated?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the kernel.panic_on_oops kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.panic_on_oops
│ │ │ │ +1.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECCOMP_FILTER /boot/config.*
│ │ │ │ +    $ grep CONFIG_RANDOMIZE_BASE /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /var/log,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /var/log
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +drwxr-xr-x
│ │ │ │ +      Is it the case that /var/log does not have unix mode drwxr-xr-x?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that Audit Daemon is configured to include local events, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep local_events /etc/audit/auditd.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +local_events = yes
│ │ │ │ +      Is it the case that local_events isn't set to yes?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SYN_COOKIES /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEBUG_NOTIFIERS /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's AllowTcpForwarding option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i AllowTcpForwarding /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ -      Is it the case that The AllowTcpForwarding option exists and is disabled?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the chrony package is installed: $ dpkg -l  chrony
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-accounts_password_all_shadowed_question:question:1">
│ │ │ │        <ocil:question_text>To check that no password hashes are stored in
│ │ │ │  /etc/passwd, run the following command:
│ │ │ │  awk '!/\S:x|\*/ {print}' /etc/passwd
│ │ │ │  If it produces any output, then a password hash is
│ │ │ │  stored in /etc/passwd.
│ │ │ │        Is it the case that any stored hashes are found in /etc/passwd?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -cron service:
│ │ │ │ -$ sudo systemctl is-active cron
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupownership_audit_configuration_question:question:1">
│ │ │ │ +      <ocil:question_text>To properly set the group owner of /etc/audit/, run the command:
│ │ │ │ +$ sudo chgrp root /etc/audit/
│ │ │ │ +
│ │ │ │ +To properly set the group owner of /etc/audit/rules.d/, run the command:
│ │ │ │ +$ sudo chgrp root /etc/audit/rules.d/
│ │ │ │        Is it the case that ?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ +determine how much data the system will retain in each audit log file:
│ │ │ │ +$ sudo grep max_log_file /etc/audit/auditd.conf
│ │ │ │ +max_log_file = 6
│ │ │ │ +      Is it the case that the system audit data threshold has not been properly configured?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │ +      <ocil:question_text>If the system is configured to prevent the loading of the tipc kernel module,
│ │ │ │ +it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ +These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │ +
│ │ │ │ +Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ +$ grep -r tipc /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_HASH /boot/config.*
│ │ │ │ +    $ grep CONFIG_MODULE_SIG /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "" should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_BUG /boot/config.*
│ │ │ │ +    $ grep CONFIG_SECURITY_WRITABLE_HOOKS /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify all accounts have unique names, run the following command:
│ │ │ │ -$ sudo getent passwd | awk -F: '{ print $1}' | uniq -d
│ │ │ │ -No output should be returned.
│ │ │ │ -      Is it the case that a line is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure the user home directory is not group-writable or world-readable, run the following:
│ │ │ │ -# ls -ld /home/USER
│ │ │ │ -      Is it the case that the user home directory is group-writable or world-readable?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include spec_store_bypass_disable=, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*spec_store_bypass_disable=.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that SSB is not configured appropriately?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_maximum_age_login_defs_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 11 enforces a -day maximum password lifetime for new user accounts by running the following command:
│ │ │ │ -
│ │ │ │ -$ grep -i pass_max_days /etc/login.defs
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that a separate file system/partition has been created for /srv with the following command:
│ │ │ │  
│ │ │ │ -PASS_MAX_DAYS 
│ │ │ │ -      Is it the case that the "PASS_MAX_DAYS" parameter value is greater than "&lt;sub idref="var_accounts_maximum_age_login_defs" /&gt;", or commented out?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>Shared libraries are stored in the following directories:
│ │ │ │ -/lib
│ │ │ │ -/lib64
│ │ │ │ -/usr/lib
│ │ │ │ -/usr/lib64
│ │ │ │ +$ mountpoint /srv
│ │ │ │  
│ │ │ │ -To find shared libraries that are group-writable or world-writable,
│ │ │ │ -run the following command for each directory DIR which contains shared libraries:
│ │ │ │ -$ sudo find -L DIR -perm /022 -type d
│ │ │ │ -      Is it the case that any of these files are group-writable or world-writable?</ocil:question_text>
│ │ │ │ +      Is it the case that "/srv is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/group,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/group
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/group does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure sshd limits the users who can log in, run the following:
│ │ │ │ +pre&gt;$ sudo grep -rPi '^\h*(allow|deny)(users|groups)\h+\H+(\h+.*)?$' /etc/ssh/sshd_config*
│ │ │ │ +If properly configured, the output should be a list of usernames and/or
│ │ │ │ +groups allowed to log in to this system.
│ │ │ │ +      Is it the case that sshd does not limit the users who can log in?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /var/log/syslog,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /var/log/syslog
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -syslog
│ │ │ │ -      Is it the case that /var/log/syslog does not have an owner of syslog?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +rmdir system call, run the following command:
│ │ │ │ +$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +unlink system call, run the following command:
│ │ │ │ +$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +unlinkat system call, run the following command:
│ │ │ │ +$ sudo grep "unlinkat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +rename system call, run the following command:
│ │ │ │ +$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +renameat system call, run the following command:
│ │ │ │ +$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.conf.all.accept_local kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.accept_local
│ │ │ │ -0.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │ +      <ocil:question_text>To properly set the owner of /var/log/audit, run the command:
│ │ │ │ +$ sudo chown root /var/log/audit 
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/ssh/*_key,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/ssh/*_key
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /etc/ssh/*_key does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ +To properly set the owner of /var/log/audit/*, run the command:
│ │ │ │ +$ sudo chown root /var/log/audit/* 
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_security_dmesg_restrict_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_UNMAP_KERNEL_AT_EL0 /boot/config.*
│ │ │ │ +    $ grep CONFIG_SECURITY_DMESG_RESTRICT /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_set_loglevel_verbose_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's LogLevel option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i LogLevel /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating VERBOSE is returned, then the required value is set.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +removexattr system call, run the following command:
│ │ │ │ +$ sudo grep "removexattr" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-sysctl_kernel_kptr_restrict_question:question:1">
│ │ │ │        <ocil:question_text>The runtime status of the kernel.kptr_restrict kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │  $ sysctl kernel.kptr_restrict
│ │ │ │  The output of the command should indicate either:
│ │ │ │  kernel.kptr_restrict = 1
│ │ │ │ @@ -6959,607 +6768,798 @@
│ │ │ │  kernel.kptr_restrict = 1
│ │ │ │  or:
│ │ │ │  kernel.kptr_restrict = 2
│ │ │ │  
│ │ │ │  Conflicting assignments are not allowed.
│ │ │ │        Is it the case that the kernel.kptr_restrict is not set to 1 or 2 or is configured to be 0?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_set_maxstartups_question:question:1">
│ │ │ │ -      <ocil:question_text>To check if MaxStartups is configured, run the following command:
│ │ │ │ -$ sudo grep -r ^[\s]*MaxStartups /etc/ssh/sshd_config*
│ │ │ │ -If configured, this command should output the configuration.
│ │ │ │ -      Is it the case that maxstartups is not configured?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if NOPASSWD has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri nopasswd /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that nopasswd is specified in the sudo config files?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the chrony package is installed: $ dpkg -l  chrony
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the aide package is installed: $ dpkg -l  aide
│ │ │ │        Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fremovexattr system call, run the following command:
│ │ │ │ -$ sudo grep "fremovexattr" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/tallylog" with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +$ sudo auditctl -l | grep /var/log/tallylog
│ │ │ │ +
│ │ │ │ +-w /var/log/tallylog -p wa -k logins
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-kernel_config_debug_sg_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │      $ grep CONFIG_DEBUG_SG /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/passwd-,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/passwd,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/passwd-
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/passwd- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │ -      <ocil:question_text>If the system is configured to prevent the loading of the rds kernel module,
│ │ │ │ -it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ -These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │ -
│ │ │ │ -Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ -$ grep -r rds /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +$ ls -lL /etc/passwd
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/passwd does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lsetxattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -lsetxattr system call, run the following command:
│ │ │ │ -$ sudo grep "lsetxattr" /etc/audit/audit.*
│ │ │ │ +fchmodat system call, run the following command:
│ │ │ │ +$ sudo grep "fchmodat" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if arguments that commands can be executed with are restricted, run the following command:
│ │ │ │ -$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+(?:[ \t]+[^,\s]+)+[ \t]*,)*(\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+[ \t]*(?:,|$))' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │ +      <ocil:question_text>To properly set the owner of /etc/audit/, run the command:
│ │ │ │ +$ sudo chown root /etc/audit/ 
│ │ │ │ +
│ │ │ │ +To properly set the owner of /etc/audit/rules.d/, run the command:
│ │ │ │ +$ sudo chown root /etc/audit/rules.d/ 
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include slab_nomerge=yes, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*slab_nomerge=yes.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that merging of slabs with similar size is enabled?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_SECURITY /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if NOPASSWD or !authenticate have been configured for
│ │ │ │ +sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "nopasswd\|\!authenticate" /etc/sudoers /etc/sudoers.d/
│ │ │ │  The command should return no output.
│ │ │ │ -      Is it the case that /etc/sudoers file contains user specifications that allow execution of commands with any arguments?</ocil:question_text>
│ │ │ │ +      Is it the case that nopasswd and/or !authenticate is enabled in sudo?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │ -      <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_SLUB_DEBUG /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │ +      <ocil:question_text>To check for serial port entries which permit root login,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo grep ^ttyS/[0-9] /etc/securetty
│ │ │ │ +If any output is returned, then root login over serial ports is permitted.
│ │ │ │ +      Is it the case that root login over serial ports is permitted?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if NOEXEC has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults.*\bnoexec\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that noexec is not enabled in sudo?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the ftruncate system call.
│ │ │ │  
│ │ │ │ -If the system is configured to prevent the usage of the ipv6 on
│ │ │ │ -network interfaces, it will contain a line of the form:
│ │ │ │ -net.ipv6.conf.default.disable_ipv6 = 1
│ │ │ │ -Such lines may be inside any file in the /etc/sysctl.d directory.
│ │ │ │ -This permits insertion of the IPv6 kernel module (which other parts of the
│ │ │ │ -system expect to be present), but otherwise keeps network interfaces
│ │ │ │ -from using IPv6. Run the following command to search for such lines in all
│ │ │ │ -files in /etc/sysctl.d:
│ │ │ │ -$ grep -r ipv6 /etc/sysctl.d
│ │ │ │ -      Is it the case that the ipv6 support is disabled by default on network interfaces?</ocil:question_text>
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -r ftruncate /etc/audit/rules.d
│ │ │ │ +
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep ftruncate /etc/audit/audit.rules
│ │ │ │ +
│ │ │ │ +The output should be the following:
│ │ │ │ +
│ │ │ │ +-a always,exit -F arch=b32 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that a separate file system/partition has been created for /dev/shm with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudoers_no_root_target_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the users are allowed to run commands as root, run the following commands:
│ │ │ │ +$ sudo grep -PR '^\s*((?!root\b)[\w]+)\s*(\w+)\s*=\s*(.*,)?\s*[^\(\s]' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +and
│ │ │ │ +$ sudo grep -PR '^\s*((?!root\b)[\w]+)\s*(\w+)\s*=\s*(.*,)?\s*\([\w\s]*\b(root|ALL)\b[\w\s]*\)' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +Both commands should return no output.
│ │ │ │ +      Is it the case that /etc/sudoers file contains rules that allow non-root users to run commands as root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Ensure that Debian 11 does not disable SELinux.
│ │ │ │  
│ │ │ │ -$ mountpoint /dev/shm
│ │ │ │ +Check if "SELinux" is active and in "enforcing" or "permissive" mode with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that "/dev/shm is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +$ sudo getenforce
│ │ │ │ +Enforcing
│ │ │ │ +-OR-
│ │ │ │ +Permissive
│ │ │ │ +      Is it the case that SELinux is disabled?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/group-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/group-
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/group- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the openat system call.
│ │ │ │  
│ │ │ │ -$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +$ sudo grep -r openat /etc/audit/rules.d
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep openat /etc/audit/audit.rules
│ │ │ │ +
│ │ │ │ +The output should be the following:
│ │ │ │ +
│ │ │ │ +-a always,exit -F arch=b32 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/group,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +clock_settime system call, run the following command:
│ │ │ │ +$ sudo grep "clock_settime" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command and verify remote server is configured properly:
│ │ │ │ +# grep -E "^(server|pool)" /etc/chrony.conf
│ │ │ │ +      Is it the case that a remote time server is not configured?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/passwd-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/group
│ │ │ │ +$ ls -lL /etc/passwd-
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/group does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/passwd- does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -ufw service:
│ │ │ │ -$ sudo systemctl is-active ufw
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the service is not enabled?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the postfix package is installed: $ dpkg -l  postfix
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the system-wide shared library directories are owned by "root" with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that a separate file system/partition has been created for /dev/shm with the following command:
│ │ │ │  
│ │ │ │ -$ sudo find /lib /lib64 /usr/lib /usr/lib64 ! -user root -type d -exec stat -c "%n %U" '{}' \;
│ │ │ │ -      Is it the case that any system-wide shared library directory is not owned by root?</ocil:question_text>
│ │ │ │ +$ mountpoint /dev/shm
│ │ │ │ +
│ │ │ │ +      Is it the case that "/dev/shm is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -rmdir system call, run the following command:
│ │ │ │ -$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -unlink system call, run the following command:
│ │ │ │ -$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -unlinkat system call, run the following command:
│ │ │ │ -$ sudo grep "unlinkat" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -rename system call, run the following command:
│ │ │ │ -$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -renameat system call, run the following command:
│ │ │ │ -$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-securetty_root_login_console_only_question:question:1">
│ │ │ │ +      <ocil:question_text>To check for virtual console entries which permit root login, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep ^vc/[0-9] /etc/securetty
│ │ │ │ +If any output is returned, then root logins over virtual console devices is permitted.
│ │ │ │ +      Is it the case that root login over virtual console devices is permitted?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │ +      <ocil:question_text>If the system is configured to prevent the loading of the rds kernel module,
│ │ │ │ +it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ +These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │ +
│ │ │ │ +Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ +$ grep -r rds /etc/modprobe.conf /etc/modprobe.d
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │ -      <ocil:question_text>To properly set the owner of /var/log/audit, run the command:
│ │ │ │ -$ sudo chown root /var/log/audit 
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_set_loglevel_verbose_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's LogLevel option is set, run the following command:
│ │ │ │  
│ │ │ │ -To properly set the owner of /var/log/audit/*, run the command:
│ │ │ │ -$ sudo chown root /var/log/audit/* 
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +$ sudo grep -i LogLevel /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating VERBOSE is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │ +      <ocil:question_text>The existence of the file /etc/hosts.equiv or a file named
│ │ │ │ +.rhosts inside a user home directory indicates the presence
│ │ │ │ +of an Rsh trust relationship.
│ │ │ │ +      Is it the case that these files exist?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-audit_rules_sysadmin_actions_question:question:1">
│ │ │ │        <ocil:question_text>To verify that auditing is configured for system administrator actions, run the following command:
│ │ │ │  $ sudo auditctl -l | grep "watch=/etc/sudoers\|watch=/etc/sudoers.d\|-w /etc/sudoers\|-w /etc/sudoers.d"
│ │ │ │        Is it the case that there is not output?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the audit system prevents unauthorized changes with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /var/log/syslog,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /var/log/syslog
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /var/log/syslog does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 takes the appropriate action when the audit storage volume is full.
│ │ │ │  
│ │ │ │ -$ sudo grep "^\s*[^#]" /etc/audit/audit.rules | tail -1
│ │ │ │ --e 2
│ │ │ │ +Check that Debian 11 takes the appropriate action when the audit storage volume is full with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the audit system is not set to be immutable by adding the "-e 2" option to the end of "/etc/audit/audit.rules"?</ocil:question_text>
│ │ │ │ +$ sudo grep disk_full_action /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +disk_full_action = 
│ │ │ │ +
│ │ │ │ +If the value of the "disk_full_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full.
│ │ │ │ +      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's KerberosAuthentication option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i KerberosAuthentication /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_SHA512 /boot/config.*
│ │ │ │ +    $ grep CONFIG_KEXEC /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/gshadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/gshadow
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -shadow
│ │ │ │ -      Is it the case that /etc/gshadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 notifies the SA and ISSO (at a minimum) when allocated audit record storage volume reaches 75 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -w space_left_action /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +space_left_action = 
│ │ │ │ +
│ │ │ │ +If the value of the "space_left_action" is not set to "", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ +      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/shadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/shadow
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /etc/shadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │ +      <ocil:question_text>To check if compression is enabled or set correctly, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep Compression /etc/ssh/sshd_config
│ │ │ │ +If configured properly, output should be no or delayed.
│ │ │ │ +      Is it the case that it is commented out, or is not set to no or delayed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that McAfee HIPS is installed, run the following command(s):
│ │ │ │ -$ rpm -q MFEhiplsm
│ │ │ │ -      Is it the case that the HBSS HIPS module is not installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_maximum_age_login_defs_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 11 enforces a -day maximum password lifetime for new user accounts by running the following command:
│ │ │ │ +
│ │ │ │ +$ grep -i pass_max_days /etc/login.defs
│ │ │ │ +
│ │ │ │ +PASS_MAX_DAYS 
│ │ │ │ +      Is it the case that the "PASS_MAX_DAYS" parameter value is greater than "&lt;sub idref="var_accounts_maximum_age_login_defs" /&gt;", or commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │ -      <ocil:question_text>Ensure that debug-shell service is not enabled with the following command:
│ │ │ │ -grep systemd\.debug-shell=1 /boot/grub2/grubenv /etc/default/grub
│ │ │ │ -If the command returns a line, it means that debug-shell service is being enabled.
│ │ │ │ -      Is it the case that the comand returns a line?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-disallow_bypass_password_sudo_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the operating system is not configured to bypass password requirements for privilege
│ │ │ │ +escalation. Check the configuration of the "/etc/pam.d/sudo" file with the following command:
│ │ │ │ +$ sudo grep pam_succeed_if /etc/pam.d/sudo
│ │ │ │ +      Is it the case that system is configured to bypass password requirements for privilege escalation?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │ -      <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ -$ sudo postconf alias_maps
│ │ │ │ -Query the Postfix alias maps for an alias for the postmaster user:
│ │ │ │ -$ sudo postmap -q postmaster hash:/etc/aliases
│ │ │ │ -The output should return root.
│ │ │ │ -      Is it the case that the alias is not set or is not root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │ +      <ocil:question_text>The file permissions for all log files written by rsyslog should
│ │ │ │ +be set to 640, or more restrictive. These log files are determined by the
│ │ │ │ +second part of each Rule line in /etc/rsyslog.conf and typically
│ │ │ │ +all appear in /var/log. To see the permissions of a given log
│ │ │ │ +file, run the following command:
│ │ │ │ +$ ls -l LOGFILE
│ │ │ │ +The permissions should be 640, or more restrictive.
│ │ │ │ +      Is it the case that the permissions are not correct?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured use a non-default faillock directory to ensure contents persist after reboot:
│ │ │ │ +
│ │ │ │ +$ sudo grep 'dir =' /etc/security/faillock.conf
│ │ │ │ +
│ │ │ │ +dir = /var/log/faillock
│ │ │ │ +      Is it the case that the "dir" option is not set to a non-default documented tally log directory, is missing or commented out?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +auditd service:
│ │ │ │ +$ sudo systemctl is-active auditd
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the auditd service is not running?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that a separate file system/partition has been created for /tmp with the following command:
│ │ │ │ +
│ │ │ │ +$ mountpoint /tmp
│ │ │ │ +
│ │ │ │ +      Is it the case that "/tmp is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_chown_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -clock_settime system call, run the following command:
│ │ │ │ -$ sudo grep "clock_settime" /etc/audit/audit.*
│ │ │ │ +chown system call, run the following command:
│ │ │ │ +$ sudo grep "chown" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_polyinstantiated_tmp_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to ensure that /tmp is configured as a
│ │ │ │ +polyinstantiated directory:
│ │ │ │ +$ sudo grep /tmp /etc/security/namespace.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +/tmp     /tmp/tmp-inst/            level      root,adm
│ │ │ │ +      Is it the case that is not configured?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the open_by_handle_at system call.
│ │ │ │ +
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -r open_by_handle_at /etc/audit/rules.d
│ │ │ │ +
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep open_by_handle_at /etc/audit/audit.rules
│ │ │ │ +
│ │ │ │ +The output should be the following:
│ │ │ │ +
│ │ │ │ +-a always,exit -F arch=b32 -S open_by_handle_at -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S open_by_handle_at -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S open_by_handle_at -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S open_by_handle_at -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_DEVKMEM /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the openssh-server package is installed: $ dpkg -l  openssh-server
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fsetxattr system call, run the following command:
│ │ │ │ -$ sudo grep "fsetxattr" /etc/audit/audit.*
│ │ │ │ +unlinkat system call, run the following command:
│ │ │ │ +$ sudo grep "unlinkat" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /boot/System.map*,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /boot/System.map*
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /boot/System.map* does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.conf.all.arp_filter kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.arp_filter
│ │ │ │ -.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit changes to its SELinux
│ │ │ │ +configuration files, run the following command:
│ │ │ │ +$ sudo auditctl -l | grep "dir=/usr/share/selinux"
│ │ │ │ +If the system is configured to watch for changes to its SELinux
│ │ │ │ +configuration, a line should be returned (including
│ │ │ │ +perm=wa indicating permissions that are watched).
│ │ │ │ +      Is it the case that the system is not configured to audit attempts to change the MAC policy?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to see what the max sessions number is:
│ │ │ │ -$ sudo grep MaxSessions /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -MaxSessions 
│ │ │ │ -      Is it the case that MaxSessions is not configured or not configured correctly?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │ +      <ocil:question_text>To find the location of the AIDE database file, run the following command:
│ │ │ │ +$ sudo ls -l DBDIR/database_file_name
│ │ │ │ +      Is it the case that there is no database file?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that the system is integrated with a centralized authentication mechanism
│ │ │ │ -such as as Active Directory, Kerberos, Directory Server, etc. that has
│ │ │ │ -automated account mechanisms in place.
│ │ │ │ -      Is it the case that the system is not using a centralized authentication mechanism, or it is not automated?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +finit_module system call, run the following command:
│ │ │ │ +$ sudo grep "finit_module" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_KEXEC /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEBUG_LIST /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-rsyslog_files_groupownership_question:question:1">
│ │ │ │ +      <ocil:question_text>The group-owner of all log files written by rsyslog should be
│ │ │ │ +adm.
│ │ │ │ +These log files are determined by the second part of each Rule line in
│ │ │ │ +/etc/rsyslog.conf and typically all appear in /var/log.
│ │ │ │ +To see the group-owner of a given log file, run the following command:
│ │ │ │ +$ ls -l LOGFILE
│ │ │ │ +      Is it the case that the group-owner is not correct?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/ssh/*.pub,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/ssh/*.pub
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/ssh/*.pub does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the openssh-server package is installed: $ dpkg -l  openssh-server
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that auditing of privileged command use is configured, run the following command
│ │ │ │ +to search privileged commands in relevant partitions and check if they are covered by auditd
│ │ │ │ +rules:
│ │ │ │ +
│ │ │ │ +FILTER_NODEV=$(awk '/nodev/ { print $2 }' /proc/filesystems | paste -sd,)
│ │ │ │ +PARTITIONS=$(findmnt -n -l -k -it $FILTER_NODEV | grep -Pv "noexec|nosuid" | awk '{ print $1 }')
│ │ │ │ +for PARTITION in $PARTITIONS; do
│ │ │ │ +  for PRIV_CMD in $(find "${PARTITION}" -xdev -perm /6000 -type f 2&gt;/dev/null); do
│ │ │ │ +    grep -qr "${PRIV_CMD}" /etc/audit/rules.d /etc/audit/audit.rules &amp;&amp;
│ │ │ │ +      printf "OK: ${PRIV_CMD}\n" || printf "WARNING - rule not found for: ${PRIV_CMD}\n"
│ │ │ │ +  done
│ │ │ │ +done
│ │ │ │ +
│ │ │ │ +The output should not contain any WARNING.
│ │ │ │ +      Is it the case that any setuid or setgid programs doesn't have a line in the audit rules?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that a separate file system/partition has been created for /var/log/audit with the following command:
│ │ │ │ +
│ │ │ │ +$ mountpoint /var/log/audit
│ │ │ │ +
│ │ │ │ +      Is it the case that "/var/log/audit is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-kernel_config_ia32_emulation_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │      $ grep CONFIG_IA32_EMULATION /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if negation is used to define commands users are allowed to execute using sudo, run the following command:
│ │ │ │ +$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,!\n][^,\n]+,)*\s*(?:\([^\)]+\))?\s*(?!\s*\()(!\S+).*' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that /etc/sudoers file contains rules that define the set of allowed commands using negation?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the audit log directories have a correct mode or less permissive mode.
│ │ │ │ +
│ │ │ │ +Find the location of the audit logs:
│ │ │ │ +
│ │ │ │ +$ sudo grep "^log_file" /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +
│ │ │ │ +Find the group that owns audit logs:
│ │ │ │ +
│ │ │ │ +$ sudo grep "^log_group" /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +
│ │ │ │ +Run the following command to check the mode of the system audit logs:
│ │ │ │ +
│ │ │ │ +$ sudo stat -c "%a %n" [audit_log_directory]
│ │ │ │ +
│ │ │ │ +Replace "[audit_log_directory]" to the correct audit log directory path, by default this location is "/var/log/audit".
│ │ │ │ +
│ │ │ │ +
│ │ │ │ +If the log_group is "root" or is not set, the correct permissions are 0700, otherwise they are 0750.
│ │ │ │ +      Is it the case that audit logs have a more permissive mode?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-kernel_config_seccomp_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │      $ grep CONFIG_SECCOMP /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if logfile has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults\s*\blogfile\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that logfile is not enabled in sudo?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command and verify that time sources are only configured with server directive:
│ │ │ │ +# grep -E "^(server|pool)" /etc/chrony.conf
│ │ │ │ +A line with the appropriate server should be returned, any line returned starting with pool is a finding.
│ │ │ │ +      Is it the case that an authoritative remote time server is not configured or configured with pool directive?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_syslog_question:question:1">
│ │ │ │        <ocil:question_text>To check the group ownership of /var/log/syslog,
│ │ │ │  run the command:
│ │ │ │  $ ls -lL /var/log/syslog
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  adm
│ │ │ │        Is it the case that /var/log/syslog does not have a group owner of adm?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_KEY /boot/config.*
│ │ │ │ +    $ grep CONFIG_PANIC_ON_OOPS /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "" should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudoers_no_root_target_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the users are allowed to run commands as root, run the following commands:
│ │ │ │ -$ sudo grep -PR '^\s*((?!root\b)[\w]+)\s*(\w+)\s*=\s*(.*,)?\s*[^\(\s]' /etc/sudoers /etc/sudoers.d/
│ │ │ │ -and
│ │ │ │ -$ sudo grep -PR '^\s*((?!root\b)[\w]+)\s*(\w+)\s*=\s*(.*,)?\s*\([\w\s]*\b(root|ALL)\b[\w\s]*\)' /etc/sudoers /etc/sudoers.d/
│ │ │ │ -Both commands should return no output.
│ │ │ │ -      Is it the case that /etc/sudoers file contains rules that allow non-root users to run commands as root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that a separate file system/partition has been created for /var with the following command:
│ │ │ │ +
│ │ │ │ +$ mountpoint /var
│ │ │ │ +
│ │ │ │ +      Is it the case that "/var is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's PrintLastLog option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/group,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/group
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/group does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │  
│ │ │ │ -$ sudo grep -i PrintLastLog /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep audit /etc/security/faillock.conf
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +audit
│ │ │ │ +      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the operating system authenticates the remote logging server for off-loading audit logs with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +$ sudo grep -i '$ActionSendStreamDriverAuthMode' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ +The output should be
│ │ │ │ +$/etc/rsyslog.conf:$ActionSendStreamDriverAuthMode x509/name
│ │ │ │ +      Is it the case that $ActionSendStreamDriverAuthMode in /etc/rsyslog.conf is not set to x509/name?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECURITY_WRITABLE_HOOKS /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the audit system prevents unauthorized changes with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep "^\s*[^#]" /etc/audit/audit.rules | tail -1
│ │ │ │ +-e 2
│ │ │ │ +
│ │ │ │ +      Is it the case that the audit system is not set to be immutable by adding the "-e 2" option to the end of "/etc/audit/audit.rules"?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that Audit Daemon is configured to flush to disk after
│ │ │ │ -every  records, run the following command:
│ │ │ │ -$ sudo grep freq /etc/audit/auditd.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -freq = 
│ │ │ │ -      Is it the case that freq isn't set to &lt;sub idref="var_auditd_freq" /&gt;?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/shadow-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/shadow-
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /etc/shadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECURITY_YAMA /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /var/log/messages,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /var/log/messages
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /var/log/messages does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_question:question:1">
│ │ │ │        <ocil:question_text>The runtime status of the net.ipv4.conf.all.arp_ignore kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │  $ sysctl net.ipv4.conf.all.arp_ignore
│ │ │ │  .
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/group-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/group-
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/group- does not have an owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 takes the appropriate action when an audit processing failure occurs.
│ │ │ │ -
│ │ │ │ -Check that Debian 11 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's PrintLastLog option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │ +$ sudo grep -i PrintLastLog /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -disk_error_action = 
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ -      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │ -
│ │ │ │ -$ sudo grep audit /etc/security/faillock.conf
│ │ │ │ -
│ │ │ │ -audit
│ │ │ │ -      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 limits the number of concurrent sessions to
│ │ │ │ +"" for all
│ │ │ │ +accounts and/or account types with the following command:
│ │ │ │ +$ grep -r -s maxlogins /etc/security/limits.conf /etc/security/limits.d/*.conf
│ │ │ │ +/etc/security/limits.conf:* hard maxlogins 10
│ │ │ │ +This can be set as a global domain (with the * wildcard) but may be set differently for multiple domains.
│ │ │ │ +      Is it the case that the "maxlogins" item is missing, commented out, or the value is set greater
│ │ │ │ +than "&lt;sub idref="var_accounts_max_concurrent_login_sessions" /&gt;" and
│ │ │ │ +is not documented with the Information System Security Officer (ISSO) as an
│ │ │ │ +operational requirement for all domains that have the "maxlogins" item
│ │ │ │ +assigned'?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/ssh/*_key,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/passwd-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/ssh/*_key
│ │ │ │ +$ ls -lL /etc/passwd-
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/ssh/*_key does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/passwd- does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's HostbasedAuthentication option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i HostbasedAuthentication /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +lchown system call, run the following command:
│ │ │ │ +$ sudo grep "lchown" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if NOPASSWD or !authenticate have been configured for
│ │ │ │ -sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "nopasswd\|\!authenticate" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that nopasswd and/or !authenticate is enabled in sudo?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_security_dmesg_restrict_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECURITY_DMESG_RESTRICT /boot/config.*
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_ALL /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/security/opasswd" with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep 
│ │ │ │ -
│ │ │ │ --w  -p wa -k logins
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-accounts_minimum_age_login_defs_question:question:1">
│ │ │ │        <ocil:question_text>Verify Debian 11 enforces 24 hours/one day as the minimum password lifetime for new user accounts.
│ │ │ │  
│ │ │ │  Check for the value of "PASS_MIN_DAYS" in "/etc/login.defs" with the following command:
│ │ │ │  
│ │ │ │  $ grep -i pass_min_days /etc/login.defs
│ │ │ │  
│ │ │ │  PASS_MIN_DAYS 
│ │ │ │        Is it the case that the "PASS_MIN_DAYS" parameter value is not "&lt;sub idref="var_accounts_minimum_age_login_defs" /&gt;" or greater, or is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the system for the existence of any .netrc files,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo find /home -xdev -name .netrc
│ │ │ │ -      Is it the case that any .netrc files exist?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -chmod system call, run the following command:
│ │ │ │ -$ sudo grep "chmod" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the system-wide shared library files are owned by "root" with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if NOEXEC has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults.*\bnoexec\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that noexec is not enabled in sudo?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PAGE_TABLE_ISOLATION /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 ! -user root -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system wide shared library file is not owned by root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_FORCE /boot/config.*
│ │ │ │ +    $ grep CONFIG_BINFMT_MISC /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure the default password is not set, run the following command:
│ │ │ │ -$ sudo grep -v "^#" /etc/snmp/snmpd.conf| grep -E 'public|private'
│ │ │ │ -There should be no output.
│ │ │ │ -      Is it the case that the default SNMP passwords public and private have not been changed or removed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the logrotate package is installed: $ dpkg -l  logrotate
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify users are provided with feedback on when account accesses last occurred with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep pam_lastlog /etc/pam.d/postlogin
│ │ │ │ -
│ │ │ │ -session [default=1] pam_lastlog.so showfailed
│ │ │ │ -      Is it the case that "pam_lastlog.so" is not properly configured in "/etc/pam.d/postlogin" file?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/gshadow,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/gshadow
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /etc/gshadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the cron package is installed:
│ │ │ │ -$ dpkg -l  cron
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/group-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/group-
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/group- does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 generates an audit record for unsuccessful attempts to use the truncate system call.
│ │ │ │ -
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -r truncate /etc/audit/rules.d
│ │ │ │ -
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep truncate /etc/audit/audit.rules
│ │ │ │ -
│ │ │ │ -The output should be the following:
│ │ │ │ -
│ │ │ │ --a always,exit -F arch=b32 -S truncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S truncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S truncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S truncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │ +      <ocil:question_text>To check if the installed Operating System is 64-bit, run the following command:
│ │ │ │ +$ uname -m
│ │ │ │ +The output should be one of the following: x86_64, aarch64, ppc64le or s390x.
│ │ │ │ +If the output is i686 or i386 the operating system is 32-bit.
│ │ │ │ +Check if the installed CPU supports 64-bit operating systems by running the following command:
│ │ │ │ +$ lscpu | grep "CPU op-mode"
│ │ │ │ +If the output contains 64bit, the CPU supports 64-bit operating systems.
│ │ │ │ +      Is it the case that the installed operating sytem is 32-bit but the CPU supports operation in 64-bit?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │ -      <ocil:question_text>If IPv6 is disabled, this is not applicable.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.conf.default.shared_media kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.default.shared_media
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -Inspect the file /etc/sysconfig/ip6tables to determine
│ │ │ │ -the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ -$ sudo grep ":INPUT" /etc/sysconfig/ip6tables
│ │ │ │ -      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -removexattr system call, run the following command:
│ │ │ │ -$ sudo grep "removexattr" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 11 is configured to audit the execution of the "reboot" command with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that the interactive user account passwords last change time is not in the future
│ │ │ │ -The following command should return no output
│ │ │ │ -$ sudo expiration=$(cat /etc/shadow|awk -F ':' '{print $3}');
│ │ │ │ -for edate in ${expiration[@]}; do if [[ $edate &gt; $(( $(date +%s)/86400 )) ]];
│ │ │ │ -then echo "Expiry date in future";
│ │ │ │ -fi; done 
│ │ │ │ -      Is it the case that any interactive user password that has last change time in the future?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the operating system authenticates the remote logging server for off-loading audit logs with the following command:
│ │ │ │ +$ sudo auditctl -l | grep reboot
│ │ │ │  
│ │ │ │ -$ sudo grep -i '$ActionSendStreamDriverAuthMode' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ -The output should be
│ │ │ │ -$/etc/rsyslog.conf:$ActionSendStreamDriverAuthMode x509/name
│ │ │ │ -      Is it the case that $ActionSendStreamDriverAuthMode in /etc/rsyslog.conf is not set to x509/name?</ocil:question_text>
│ │ │ │ +-a always,exit -F path=/reboot -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-reboot
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_PANIC_TIMEOUT /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to ensure that /var/tmp is configured as a
│ │ │ │ -polyinstantiated directory:
│ │ │ │ -$ sudo grep /var/tmp /etc/security/namespace.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -/var/tmp /var/tmp/tmp-inst/    level      root,adm
│ │ │ │ -      Is it the case that is not configured?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to ensure postfix routes mail to this system:
│ │ │ │ +$ grep relayhost /etc/postfix/main.cf
│ │ │ │ +If properly configured, the output should show only .
│ │ │ │ +      Is it the case that it is not?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -delete_module system call, run the following command:
│ │ │ │ -$ sudo grep "delete_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the system-wide shared library files contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 -perm /022 -type f -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system-wide shared library file is found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_polyinstantiated_tmp_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to ensure that /tmp is configured as a
│ │ │ │ -polyinstantiated directory:
│ │ │ │ -$ sudo grep /tmp /etc/security/namespace.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -/tmp     /tmp/tmp-inst/            level      root,adm
│ │ │ │ -      Is it the case that is not configured?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure ClientAliveInterval is set correctly, run the following command:
│ │ │ │ +$ sudo grep ClientAliveCountMax /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +ClientAliveCountMax 
│ │ │ │ +For SSH earlier than v8.2, a ClientAliveCountMax value of 0 causes a timeout precisely when
│ │ │ │ +the ClientAliveInterval is set.  Starting with v8.2, a value of 0 disables the timeout
│ │ │ │ +functionality completely.
│ │ │ │ +If the option is set to a number greater than 0, then the session will be disconnected after
│ │ │ │ +ClientAliveInterval * ClientAliveCountMax seconds without receiving a keep alive message.
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that Audit Daemon is configured to resolve all uid, gid, syscall,
│ │ │ │ -architecture, and socket address information before writing the event to disk,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo grep log_format /etc/audit/auditd.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -log_format = ENRICHED
│ │ │ │ -      Is it the case that log_format isn't set to ENRICHED?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_messages_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /var/log/messages,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /var/log/messages
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /var/log/messages does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_CREDENTIALS /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/passwd,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/passwd
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/passwd does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-partition_for_var_log_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that a separate file system/partition has been created for /var/log with the following command:
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +$ mountpoint /var/log
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +      Is it the case that "/var/log is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 11 disables core dump backtraces by issuing the following command:
│ │ │ │ -
│ │ │ │ -$ grep -i process /etc/systemd/coredump.conf
│ │ │ │ -
│ │ │ │ -ProcessSizeMax=0
│ │ │ │ -      Is it the case that the "ProcessSizeMax" item is missing, commented out, or the value is anything other than "0" and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit changes to its SELinux
│ │ │ │ +configuration files, run the following command:
│ │ │ │ +$ sudo auditctl -l | grep "dir=/etc/selinux"
│ │ │ │ +If the system is configured to watch for changes to its SELinux
│ │ │ │ +configuration, a line should be returned (including
│ │ │ │ +perm=wa indicating permissions that are watched).
│ │ │ │ +      Is it the case that the system is not configured to audit attempts to change the MAC policy?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the kernel.randomize_va_space kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.randomize_va_space
│ │ │ │ -2.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 11 disables storing core dumps for all users by issuing the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +$ grep -i storage /etc/systemd/coredump.conf
│ │ │ │ +
│ │ │ │ +Storage=none
│ │ │ │ +      Is it the case that Storage is not set to none or is commented out and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │    </ocil:questions>
│ │ │ │  </ocil:ocil>
│ │ ├── ./usr/share/xml/scap/ssg/content/ssg-debian11-xccdf.xml
│ │ │ ├── ./usr/share/xml/scap/ssg/content/ssg-debian11-xccdf.xml
│ │ │ │┄ Ordering differences only
│ │ │ │ @@ -72,179 +72,179 @@
│ │ │ │    <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">os-srg</xccdf-1.2:reference>
│ │ │ │    <xccdf-1.2:reference href="https://www.niap-ccevs.org/Profile/PP.cfm">ospp</xccdf-1.2:reference>
│ │ │ │    <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">pcidss</xccdf-1.2:reference>
│ │ │ │    <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">pcidss4</xccdf-1.2:reference>
│ │ │ │    <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cunix-linux">stigid</xccdf-1.2:reference>
│ │ │ │    <xccdf-1.2:reference href="https://public.cyber.mil/stigs/srg-stig-tools/">stigref</xccdf-1.2:reference>
│ │ │ │    <cpe-lang:platform-specification>
│ │ │ │ -    <cpe-lang:platform id="package_sudo">
│ │ │ │ +    <cpe-lang:platform id="machine">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_sudo:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_machine:def:1"/>
│ │ │ │ +      </cpe-lang:logical-test>
│ │ │ │ +    </cpe-lang:platform>
│ │ │ │ +    <cpe-lang:platform id="x86_64_arch">
│ │ │ │ +      <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_x86_64:def:1"/>
│ │ │ │ +      </cpe-lang:logical-test>
│ │ │ │ +    </cpe-lang:platform>
│ │ │ │ +    <cpe-lang:platform id="package_pam">
│ │ │ │ +      <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_pam:def:1"/>
│ │ │ │ +      </cpe-lang:logical-test>
│ │ │ │ +    </cpe-lang:platform>
│ │ │ │ +    <cpe-lang:platform id="system_with_kernel">
│ │ │ │ +      <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │      <cpe-lang:platform id="not_bootc_and_not_container">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │          <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-bootc:def:1"/>
│ │ │ │          </cpe-lang:logical-test>
│ │ │ │          <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_container:def:1"/>
│ │ │ │          </cpe-lang:logical-test>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_ufw_and_system_with_kernel">
│ │ │ │ +    <cpe-lang:platform id="aarch64_arch_or_x86_64_arch">
│ │ │ │ +      <cpe-lang:logical-test operator="OR" negate="false">
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_x86_64:def:1"/>
│ │ │ │ +      </cpe-lang:logical-test>
│ │ │ │ +    </cpe-lang:platform>
│ │ │ │ +    <cpe-lang:platform id="aarch64_arch">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="not_package_nftables_and_not_package_ufw">
│ │ │ │ +    <cpe-lang:platform id="package_snmpd_and_system_with_kernel">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │ -        </cpe-lang:logical-test>
│ │ │ │ -        <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ -        </cpe-lang:logical-test>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_snmpd:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_iptables">
│ │ │ │ +    <cpe-lang:platform id="package_shadow-utils">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_shadow-utils:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │      <cpe-lang:platform id="not_package_nftables_and_not_package_ufw_and_package_iptables">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │          <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │          </cpe-lang:logical-test>
│ │ │ │          <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │          </cpe-lang:logical-test>
│ │ │ │          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_iptables_and_service_disabled_firewalld_and_system_with_kernel">
│ │ │ │ -      <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-service_disabled_firewalld:def:1"/>
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ -      </cpe-lang:logical-test>
│ │ │ │ -    </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_logrotate">
│ │ │ │ +    <cpe-lang:platform id="package_ntp">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_logrotate:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ntp:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_rsyslog">
│ │ │ │ +    <cpe-lang:platform id="not_package_nftables_and_not_package_ufw">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_rsyslog:def:1"/>
│ │ │ │ +        <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ +          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │ +        </cpe-lang:logical-test>
│ │ │ │ +        <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ +          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ +        </cpe-lang:logical-test>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="aarch64_arch_or_x86_64_arch">
│ │ │ │ -      <cpe-lang:logical-test operator="OR" negate="false">
│ │ │ │ +    <cpe-lang:platform id="not_aarch64_arch">
│ │ │ │ +      <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_x86_64:def:1"/>
│ │ │ │ -      </cpe-lang:logical-test>
│ │ │ │ -    </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="x86_64_arch">
│ │ │ │ -      <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_x86_64:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │      <cpe-lang:platform id="grub2_and_system_with_kernel">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-installed_env_has_grub2_package:def:1"/>
│ │ │ │          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_shadow-utils">
│ │ │ │ -      <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_shadow-utils:def:1"/>
│ │ │ │ -      </cpe-lang:logical-test>
│ │ │ │ -    </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_pam">
│ │ │ │ +    <cpe-lang:platform id="package_iptables_and_service_disabled_firewalld_and_system_with_kernel">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_pam:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-service_disabled_firewalld:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_gdm">
│ │ │ │ +    <cpe-lang:platform id="package_systemd">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_gdm:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_systemd:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_net-snmp">
│ │ │ │ +    <cpe-lang:platform id="package_audit">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_net-snmp:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_audit:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_snmpd_and_system_with_kernel">
│ │ │ │ +    <cpe-lang:platform id="package_iptables">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_snmpd:def:1"/>
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │      <cpe-lang:platform id="package_rsh-server">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_rsh-server:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_systemd">
│ │ │ │ -      <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_systemd:def:1"/>
│ │ │ │ -      </cpe-lang:logical-test>
│ │ │ │ -    </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_ntp">
│ │ │ │ -      <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ntp:def:1"/>
│ │ │ │ -      </cpe-lang:logical-test>
│ │ │ │ -    </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_chrony">
│ │ │ │ -      <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_chrony:def:1"/>
│ │ │ │ -      </cpe-lang:logical-test>
│ │ │ │ -    </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_postfix">
│ │ │ │ +    <cpe-lang:platform id="package_gdm">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_postfix:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_gdm:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="machine">
│ │ │ │ +    <cpe-lang:platform id="package_ufw_and_system_with_kernel">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_machine:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="aarch64_arch">
│ │ │ │ +    <cpe-lang:platform id="package_net-snmp">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_net-snmp:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │      <cpe-lang:platform id="not_aarch64_arch_and_not_s390x_arch">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │          <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │          </cpe-lang:logical-test>
│ │ │ │          <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_s390x:def:1"/>
│ │ │ │          </cpe-lang:logical-test>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="not_aarch64_arch">
│ │ │ │ -      <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ +    <cpe-lang:platform id="package_sudo">
│ │ │ │ +      <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_sudo:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_audit">
│ │ │ │ +    <cpe-lang:platform id="package_postfix">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_audit:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_postfix:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="system_with_kernel">
│ │ │ │ +    <cpe-lang:platform id="package_rsyslog">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_rsyslog:def:1"/>
│ │ │ │ +      </cpe-lang:logical-test>
│ │ │ │ +    </cpe-lang:platform>
│ │ │ │ +    <cpe-lang:platform id="package_chrony">
│ │ │ │ +      <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_chrony:def:1"/>
│ │ │ │ +      </cpe-lang:logical-test>
│ │ │ │ +    </cpe-lang:platform>
│ │ │ │ +    <cpe-lang:platform id="package_logrotate">
│ │ │ │ +      <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian11-cpe-oval.xml" id-ref="oval:ssg-package_logrotate:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │    </cpe-lang:platform-specification>
│ │ │ │    <xccdf-1.2:platform idref="cpe:/o:debian:debian_linux:11"/>
│ │ │ │    <xccdf-1.2:version update="https://github.com/ComplianceAsCode/content/releases/latest">0.1.76</xccdf-1.2:version>
│ │ │ │    <xccdf-1.2:metadata>
│ │ │ │      <dc:publisher>SCAP Security Guide Project</dc:publisher>
│ │ │ │ @@ -1308,24 +1308,14 @@
│ │ │ │                <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.IP-3</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-11.5</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000445-GPOS-00199</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R76</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R79</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">11.5.2</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>The AIDE package must be installed if it is to be available for integrity checking.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_aide_installed">[[packages]]
│ │ │ │ -name = "aide"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_aide_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_aide
│ │ │ │ -
│ │ │ │ -class install_aide {
│ │ │ │ -  package { 'aide':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_aide_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - CJIS-5.10.1.3
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-11.5
│ │ │ │ @@ -1349,14 +1339,24 @@
│ │ │ │    - PCI-DSSv4-11.5.2
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_aide_installed</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_aide_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_aide
│ │ │ │ +
│ │ │ │ +class install_aide {
│ │ │ │ +  package { 'aide':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_aide_installed">[[packages]]
│ │ │ │ +name = "aide"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_aide_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "aide"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -3396,35 +3396,35 @@
│ │ │ │            <xccdf-1.2:rationale>GnuTLS is a secure communications library implementing the SSL, TLS and DTLS
│ │ │ │  protocols and technologies around them. It provides a simple C language
│ │ │ │  application programming interface (API) to access the secure communications
│ │ │ │  protocols as well as APIs to parse and write X.509, PKCS #12, OpenPGP and
│ │ │ │  other required structures.
│ │ │ │  This package contains command line TLS client and server and certificate
│ │ │ │  manipulation tools.</xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_gnutls-utils_installed">[[packages]]
│ │ │ │ -name = "gnutls-utils"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_gnutls-utils
│ │ │ │ -
│ │ │ │ -class install_gnutls-utils {
│ │ │ │ -  package { 'gnutls-utils':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Ensure gnutls-utils is installed
│ │ │ │    package:
│ │ │ │      name: gnutls-utils
│ │ │ │      state: present
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_gnutls-utils_installed</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_gnutls-utils
│ │ │ │ +
│ │ │ │ +class install_gnutls-utils {
│ │ │ │ +  package { 'gnutls-utils':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_gnutls-utils_installed">[[packages]]
│ │ │ │ +name = "gnutls-utils"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">DEBIAN_FRONTEND=noninteractive apt-get install -y "gnutls-utils"</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_gnutls-utils_installed:def:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │            <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_gnutls-utils_installed_ocil:questionnaire:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │ @@ -3445,35 +3445,35 @@
│ │ │ │  support cross-platform development of security-enabled client and
│ │ │ │  server applications. Install the
│ │ │ │              <html:code>nss-tools</html:code>
│ │ │ │              package
│ │ │ │  to install command-line tools to manipulate the NSS certificate
│ │ │ │  and key database.
│ │ │ │            </xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_nss-tools_installed">[[packages]]
│ │ │ │ -name = "nss-tools"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_nss-tools
│ │ │ │ -
│ │ │ │ -class install_nss-tools {
│ │ │ │ -  package { 'nss-tools':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Ensure nss-tools is installed
│ │ │ │    package:
│ │ │ │      name: nss-tools
│ │ │ │      state: present
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_nss-tools_installed</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_nss-tools
│ │ │ │ +
│ │ │ │ +class install_nss-tools {
│ │ │ │ +  package { 'nss-tools':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_nss-tools_installed">[[packages]]
│ │ │ │ +name = "nss-tools"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">DEBIAN_FRONTEND=noninteractive apt-get install -y "nss-tools"</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_nss-tools_installed:def:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │            <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-package_nss-tools_installed_ocil:questionnaire:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │ @@ -9318,24 +9318,14 @@
│ │ │ │          <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000479-GPOS-00224</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000051-GPOS-00024</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>The rsyslog package provides the rsyslog daemon, which provides
│ │ │ │  system logging services.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_rsyslog_installed">[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsyslog_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_rsyslog_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -9353,14 +9343,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsyslog_installed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsyslog_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_rsyslog_installed">[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_rsyslog_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "rsyslog"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -9457,24 +9457,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>
│ │ │ │            The
│ │ │ │            <html:code>rsyslog</html:code>
│ │ │ │            service must be running in order to provide
│ │ │ │  logging services, which are essential to system administration.
│ │ │ │          </xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_rsyslog_enabled">[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_rsyslog_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_rsyslog_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AU-4(1)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │ @@ -9505,14 +9495,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_rsyslog_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_rsyslog_enabled">[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_rsyslog_enabled:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │          <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_rsyslog_enabled_ocil:questionnaire:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │ @@ -11123,24 +11123,14 @@
│ │ │ │              service can be enabled with the following command:
│ │ │ │              <html:pre>$ sudo systemctl enable systemd-journald.service</html:pre>
│ │ │ │            </xccdf-1.2:description>
│ │ │ │            <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-001665</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">SC-24</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000269-GPOS-00103</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>In the event of a system failure, Debian 11 must preserve any information necessary to determine cause of failure and any information necessary to return to operations with least disruption to system processes.</xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_systemd-journald_enabled">[customizations.services]
│ │ │ │ -enabled = ["systemd-journald"]</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_systemd-journald_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_systemd-journald
│ │ │ │ -
│ │ │ │ -class enable_systemd-journald {
│ │ │ │ -  service {'systemd-journald':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_systemd-journald_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-SC-24
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -11169,14 +11159,24 @@
│ │ │ │    - NIST-800-53-SC-24
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_systemd-journald_enabled</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_systemd-journald_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_systemd-journald
│ │ │ │ +
│ │ │ │ +class enable_systemd-journald {
│ │ │ │ +  service {'systemd-journald':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_systemd-journald_enabled">[customizations.services]
│ │ │ │ +enabled = ["systemd-journald"]</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_systemd-journald_enabled:def:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │            <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_systemd-journald_enabled_ocil:questionnaire:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │          </xccdf-1.2:Rule>
│ │ │ │ @@ -11263,24 +11263,14 @@
│ │ │ │            <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-10.7</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R71</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.5.1</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.5</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>The logrotate package provides the logrotate services.</xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_logrotate_installed">[[packages]]
│ │ │ │ -name = "logrotate"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_logrotate_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_logrotate
│ │ │ │ -
│ │ │ │ -class install_logrotate {
│ │ │ │ -  package { 'logrotate':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_logrotate_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-10.7
│ │ │ │    - PCI-DSSv4-10.5
│ │ │ │ @@ -11304,14 +11294,24 @@
│ │ │ │    - PCI-DSSv4-10.5.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_logrotate_installed</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_logrotate_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_logrotate
│ │ │ │ +
│ │ │ │ +class install_logrotate {
│ │ │ │ +  package { 'logrotate':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_logrotate_installed">[[packages]]
│ │ │ │ +name = "logrotate"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_logrotate_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "logrotate"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -11545,24 +11545,14 @@
│ │ │ │            <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.3</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.4</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.7.1</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>The syslog-ng-core package provides the syslog-ng daemon, which provides
│ │ │ │  system logging services.</xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_syslogng_installed">[[packages]]
│ │ │ │ -name = "syslog-ng"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_syslogng_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_syslog-ng
│ │ │ │ -
│ │ │ │ -class install_syslog-ng {
│ │ │ │ -  package { 'syslog-ng':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_syslogng_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -11580,14 +11570,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_syslogng_installed</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_syslogng_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_syslog-ng
│ │ │ │ +
│ │ │ │ +class install_syslog-ng {
│ │ │ │ +  package { 'syslog-ng':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_syslogng_installed">[[packages]]
│ │ │ │ +name = "syslog-ng"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_syslogng_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "syslog-ng"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -11685,24 +11685,14 @@
│ │ │ │            <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>
│ │ │ │              The
│ │ │ │              <html:code>syslog-ng</html:code>
│ │ │ │              service must be running in order to provide
│ │ │ │  logging services, which are essential to system administration.
│ │ │ │            </xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_syslogng_enabled">[customizations.services]
│ │ │ │ -enabled = ["syslog-ng"]</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_syslogng_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_syslog-ng
│ │ │ │ -
│ │ │ │ -class enable_syslog-ng {
│ │ │ │ -  service {'syslog-ng':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_syslogng_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AU-4(1)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │ @@ -11733,14 +11723,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_syslogng_enabled</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_syslogng_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_syslog-ng
│ │ │ │ +
│ │ │ │ +class enable_syslog-ng {
│ │ │ │ +  service {'syslog-ng':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_syslogng_enabled">[customizations.services]
│ │ │ │ +enabled = ["syslog-ng"]</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_syslogng_enabled:def:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │            <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_syslogng_enabled_ocil:questionnaire:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │          </xccdf-1.2:Rule>
│ │ │ │ @@ -12257,24 +12257,14 @@
│ │ │ │              <xccdf-1.2:rationale>
│ │ │ │                The
│ │ │ │                <html:code>ip6tables</html:code>
│ │ │ │                service provides the system's host-based firewalling
│ │ │ │  capability for IPv6 and ICMPv6.
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │              <xccdf-1.2:platform idref="#system_with_kernel"/>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ip6tables_enabled">[customizations.services]
│ │ │ │ -enabled = ["ip6tables"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ip6tables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ip6tables
│ │ │ │ -
│ │ │ │ -class enable_ip6tables {
│ │ │ │ -  service {'ip6tables':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_ip6tables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AC-4
│ │ │ │    - NIST-800-53-CA-3(5)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │ @@ -12311,14 +12301,24 @@
│ │ │ │    - NIST-800-53-SC-7(21)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ip6tables_enabled</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ip6tables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ip6tables
│ │ │ │ +
│ │ │ │ +class enable_ip6tables {
│ │ │ │ +  service {'ip6tables':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ip6tables_enabled">[customizations.services]
│ │ │ │ +enabled = ["ip6tables"]</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_ip6tables_enabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_ip6tables_enabled_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -12463,24 +12463,14 @@
│ │ │ │              <xccdf-1.2:rationale>
│ │ │ │                The
│ │ │ │                <html:code>iptables</html:code>
│ │ │ │                service provides the system's host-based firewalling
│ │ │ │  capability for IPv4 and ICMP.
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │              <xccdf-1.2:platform idref="#package_iptables_and_service_disabled_firewalld_and_system_with_kernel"/>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_iptables_enabled">[customizations.services]
│ │ │ │ -enabled = ["iptables"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_iptables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_iptables
│ │ │ │ -
│ │ │ │ -class enable_iptables {
│ │ │ │ -  service {'iptables':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_iptables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AC-4
│ │ │ │    - NIST-800-53-CA-3(5)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │ @@ -12518,14 +12508,24 @@
│ │ │ │    - NIST-800-53-SC-7(21)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_iptables_enabled</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_iptables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_iptables
│ │ │ │ +
│ │ │ │ +class enable_iptables {
│ │ │ │ +  service {'iptables':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_iptables_enabled">[customizations.services]
│ │ │ │ +enabled = ["iptables"]</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_iptables_enabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_iptables_enabled_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -14662,24 +14662,14 @@
│ │ │ │              service can be enabled with the following command:
│ │ │ │              <html:pre>$ sudo systemctl enable ufw.service</html:pre>
│ │ │ │            </xccdf-1.2:description>
│ │ │ │            <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-002314</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000297-GPOS-00115</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>The ufw service must be enabled and running in order for ufw to protect the system</xccdf-1.2:rationale>
│ │ │ │            <xccdf-1.2:platform idref="#package_ufw_and_system_with_kernel"/>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ufw_enabled">[customizations.services]
│ │ │ │ -enabled = ["ufw"]</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ufw_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ufw
│ │ │ │ -
│ │ │ │ -class enable_ufw {
│ │ │ │ -  service {'ufw':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_ufw_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -14708,14 +14698,24 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ufw_enabled</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ufw_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ufw
│ │ │ │ +
│ │ │ │ +class enable_ufw {
│ │ │ │ +  service {'ufw':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ufw_enabled">[customizations.services]
│ │ │ │ +enabled = ["ufw"]</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_ufw_enabled:def:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │            <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_ufw_enabled_ocil:questionnaire:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │          </xccdf-1.2:Rule>
│ │ │ │ @@ -21776,24 +21776,14 @@
│ │ │ │          <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.IP-1</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-3</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.6</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>The cron service allow periodic job execution, needed for almost all administrative tasks and services (software update, log rotating, etc.). Access to cron service should be restricted to administrative accounts only.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_cron_installed">[[packages]]
│ │ │ │ -name = "cron"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_cron_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_cron
│ │ │ │ -
│ │ │ │ -class install_cron {
│ │ │ │ -  package { 'cron':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_cron_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │ @@ -21815,14 +21805,24 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_cron_installed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_cron_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_cron
│ │ │ │ +
│ │ │ │ +class install_cron {
│ │ │ │ +  package { 'cron':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_cron_installed">[[packages]]
│ │ │ │ +name = "cron"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_cron_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "cron"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -21918,24 +21918,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.14.2.4</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.9.1.2</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.IP-1</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-3</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>Due to its usage for maintenance and security-supporting tasks,
│ │ │ │  enabling the cron daemon is essential.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_cron_enabled">[customizations.services]
│ │ │ │ -enabled = ["cron"]</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_cron_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_cron
│ │ │ │ -
│ │ │ │ -class enable_cron {
│ │ │ │ -  service {'cron':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_cron_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -21964,14 +21954,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_cron_enabled</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_cron_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_cron
│ │ │ │ +
│ │ │ │ +class enable_cron {
│ │ │ │ +  service {'cron':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_cron_enabled">[customizations.services]
│ │ │ │ +enabled = ["cron"]</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_cron_enabled:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │          <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_cron_enabled_ocil:questionnaire:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │ @@ -22075,35 +22075,35 @@
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-4</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>
│ │ │ │            <html:code>telnet</html:code>
│ │ │ │            allows clear text communications, and does not protect any
│ │ │ │  data transmission between client and server. Any confidential data can be
│ │ │ │  listened and no integrity checking is made.
│ │ │ │          </xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_inetutils-telnetd
│ │ │ │ -
│ │ │ │ -class remove_inetutils-telnetd {
│ │ │ │ -  package { 'inetutils-telnetd':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure inetutils-telnetd is removed
│ │ │ │    package:
│ │ │ │      name: inetutils-telnetd
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_inetutils-telnetd_removed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_inetutils-telnetd
│ │ │ │ +
│ │ │ │ +class remove_inetutils-telnetd {
│ │ │ │ +  package { 'inetutils-telnetd':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove inetutils-telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on inetutils-telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "inetutils-telnetd"</xccdf-1.2:fix>
│ │ │ │ @@ -22112,32 +22112,32 @@
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │        <xccdf-1.2:Rule selected="false" id="xccdf_org.ssgproject.content_rule_package_nis_removed" severity="low">
│ │ │ │          <xccdf-1.2:title>Uninstall the nis package</xccdf-1.2:title>
│ │ │ │          <xccdf-1.2:description>The support for Yellowpages should not be installed unless it is required.</xccdf-1.2:description>
│ │ │ │          <xccdf-1.2:rationale>NIS is the historical SUN service for central account management, more and more replaced by LDAP.
│ │ │ │  NIS does not support efficiently security constraints, ACL, etc. and should not be used.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_nis
│ │ │ │ -
│ │ │ │ -class remove_nis {
│ │ │ │ -  package { 'nis':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure nis is removed
│ │ │ │    package:
│ │ │ │      name: nis
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_nis_removed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_nis
│ │ │ │ +
│ │ │ │ +class remove_nis {
│ │ │ │ +  package { 'nis':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove nis
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on nis. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "nis"</xccdf-1.2:fix>
│ │ │ │ @@ -22145,32 +22145,32 @@
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-package_nis_removed:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │        <xccdf-1.2:Rule selected="false" id="xccdf_org.ssgproject.content_rule_package_ntpdate_removed" severity="low">
│ │ │ │          <xccdf-1.2:title>Uninstall the ntpdate package</xccdf-1.2:title>
│ │ │ │          <xccdf-1.2:description>ntpdate is a historical ntp synchronization client for unixes. It sould be uninstalled.</xccdf-1.2:description>
│ │ │ │          <xccdf-1.2:rationale>ntpdate is an old not security-compliant ntp client. It should be replaced by modern ntp clients such as ntpd, able to use cryptographic mechanisms integrated in NTP.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_ntpdate
│ │ │ │ -
│ │ │ │ -class remove_ntpdate {
│ │ │ │ -  package { 'ntpdate':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure ntpdate is removed
│ │ │ │    package:
│ │ │ │      name: ntpdate
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ntpdate_removed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_ntpdate
│ │ │ │ +
│ │ │ │ +class remove_ntpdate {
│ │ │ │ +  package { 'ntpdate':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove ntpdate
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ntpdate. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ntpdate"</xccdf-1.2:fix>
│ │ │ │ @@ -22276,35 +22276,35 @@
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-3</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-4</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>
│ │ │ │            <html:code>telnet</html:code>
│ │ │ │            , even with ssl support, should not be installed.
│ │ │ │  When remote shell is required, up-to-date ssh daemon can be used.
│ │ │ │          </xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd-ssl
│ │ │ │ -
│ │ │ │ -class remove_telnetd-ssl {
│ │ │ │ -  package { 'telnetd-ssl':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure telnetd-ssl is removed
│ │ │ │    package:
│ │ │ │      name: telnetd-ssl
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd-ssl_removed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd-ssl
│ │ │ │ +
│ │ │ │ +class remove_telnetd-ssl {
│ │ │ │ +  package { 'telnetd-ssl':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove telnetd-ssl
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd-ssl. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd-ssl"</xccdf-1.2:fix>
│ │ │ │ @@ -22407,35 +22407,35 @@
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-4</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>
│ │ │ │            <html:code>telnet</html:code>
│ │ │ │            allows clear text communications, and does not protect
│ │ │ │  any data transmission between client and server. Any confidential data
│ │ │ │  can be listened and no integrity checking is made.'
│ │ │ │          </xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd
│ │ │ │ -
│ │ │ │ -class remove_telnetd {
│ │ │ │ -  package { 'telnetd':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure telnetd is removed
│ │ │ │    package:
│ │ │ │      name: telnetd
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd_removed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd
│ │ │ │ +
│ │ │ │ +class remove_telnetd {
│ │ │ │ +  package { 'telnetd':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd"</xccdf-1.2:fix>
│ │ │ │ @@ -22790,24 +22790,14 @@
│ │ │ │            package can be installed with the following command:
│ │ │ │            <html:pre>$ apt-get install postfix</html:pre>
│ │ │ │          </xccdf-1.2:description>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-000139</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000046-GPOS-00022</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>Emails can be used to notify designated personnel about important
│ │ │ │  system events such as failures or warnings.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_postfix_installed">[[packages]]
│ │ │ │ -name = "postfix"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_postfix_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_postfix
│ │ │ │ -
│ │ │ │ -class install_postfix {
│ │ │ │ -  package { 'postfix':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_postfix_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -22823,14 +22813,24 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_postfix_installed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_postfix_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_postfix
│ │ │ │ +
│ │ │ │ +class install_postfix {
│ │ │ │ +  package { 'postfix':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_postfix_installed">[[packages]]
│ │ │ │ +name = "postfix"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_postfix_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "postfix"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -23188,24 +23188,14 @@
│ │ │ │  
│ │ │ │  The
│ │ │ │                <html:code>netfs</html:code>
│ │ │ │                service can be disabled with the following command:
│ │ │ │                <html:pre>$ sudo systemctl mask --now netfs.service</html:pre>
│ │ │ │              </xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:rationale/>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_netfs_disabled">[customizations.services]
│ │ │ │ -masked = ["netfs"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_netfs_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_netfs
│ │ │ │ -
│ │ │ │ -class disable_netfs {
│ │ │ │ -  service {'netfs':
│ │ │ │ -    enable =&gt; false,
│ │ │ │ -    ensure =&gt; 'stopped',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_netfs_disabled" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -23273,14 +23263,24 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_netfs_disabled
│ │ │ │    - unknown_severity</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_netfs_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_netfs
│ │ │ │ +
│ │ │ │ +class disable_netfs {
│ │ │ │ +  service {'netfs':
│ │ │ │ +    enable =&gt; false,
│ │ │ │ +    ensure =&gt; 'stopped',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_netfs_disabled">[customizations.services]
│ │ │ │ +masked = ["netfs"]</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_netfs_disabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │          </xccdf-1.2:Group>
│ │ │ │        </xccdf-1.2:Group>
│ │ │ │        <xccdf-1.2:Group id="xccdf_org.ssgproject.content_group_nfs_configuring_servers">
│ │ │ │ @@ -23437,24 +23437,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000355-GPOS-00143</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R71</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.6.1</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.6</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>Time synchronization is important to support time sensitive security mechanisms like
│ │ │ │  Kerberos and also ensures log files have consistent time records across the enterprise,
│ │ │ │  which aids in forensic investigations.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_chrony_installed">[[packages]]
│ │ │ │ -name = "chrony"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_chrony_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_chrony
│ │ │ │ -
│ │ │ │ -class install_chrony {
│ │ │ │ -  package { 'chrony':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_chrony_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │    - PCI-DSSv4-10.6
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │ @@ -23476,14 +23466,24 @@
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_chrony_installed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_chrony_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_chrony
│ │ │ │ +
│ │ │ │ +class install_chrony {
│ │ │ │ +  package { 'chrony':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_chrony_installed">[[packages]]
│ │ │ │ +name = "chrony"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_chrony_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "chrony"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -23528,24 +23528,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.3</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.4</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.7.1</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-10.4</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>Time synchronization (using NTP) is required by almost all network and administrative tasks (syslog, cryptographic based services (authentication, etc.), etc.). Ntpd is regulary maintained and updated, supporting security features such as RFC 5906.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_ntp_installed">[[packages]]
│ │ │ │ -name = "ntp"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntp_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_ntp
│ │ │ │ -
│ │ │ │ -class install_ntp {
│ │ │ │ -  package { 'ntp':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_ntp_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │    - enable_strategy
│ │ │ │ @@ -23565,14 +23555,24 @@
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ntp_installed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntp_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_ntp
│ │ │ │ +
│ │ │ │ +class install_ntp {
│ │ │ │ +  package { 'ntp':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_ntp_installed">[[packages]]
│ │ │ │ +name = "ntp"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_ntp_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "ntp"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -23601,24 +23601,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-004923</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://www.cyber.gov.au/acsc/view-all-content/ism">0988</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://www.cyber.gov.au/acsc/view-all-content/ism">1405</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000355-GPOS-00143</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>If chrony is in use on the system proper configuration is vital to ensuring time
│ │ │ │  synchronization is working properly.</xccdf-1.2:rationale>
│ │ │ │          <xccdf-1.2:platform idref="#package_chrony"/>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_chronyd_enabled">[customizations.services]
│ │ │ │ -enabled = ["chronyd"]</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_chronyd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_chronyd
│ │ │ │ -
│ │ │ │ -class enable_chronyd {
│ │ │ │ -  service {'chronyd':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_chronyd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -23647,14 +23637,24 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_chronyd_enabled</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_chronyd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_chronyd
│ │ │ │ +
│ │ │ │ +class enable_chronyd {
│ │ │ │ +  service {'chronyd':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_chronyd_enabled">[customizations.services]
│ │ │ │ +enabled = ["chronyd"]</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_chronyd_enabled:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │          <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_chronyd_enabled_ocil:questionnaire:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │ @@ -23716,24 +23716,14 @@
│ │ │ │            <html:br/>
│ │ │ │            The NTP daemon offers all of the functionality of
│ │ │ │            <html:code>ntpdate</html:code>
│ │ │ │            , which is now
│ │ │ │  deprecated.
│ │ │ │          </xccdf-1.2:rationale>
│ │ │ │          <xccdf-1.2:platform idref="#package_ntp"/>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ntp_enabled">[customizations.services]
│ │ │ │ -enabled = ["ntp"]</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ntp_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ntp
│ │ │ │ -
│ │ │ │ -class enable_ntp {
│ │ │ │ -  service {'ntp':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_ntp_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AU-8(1)(a)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │ @@ -23772,14 +23762,24 @@
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ntp_enabled</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ntp_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ntp
│ │ │ │ +
│ │ │ │ +class enable_ntp {
│ │ │ │ +  service {'ntp':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ntp_enabled">[customizations.services]
│ │ │ │ +enabled = ["ntp"]</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_ntp_enabled:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │          <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_ntp_enabled_ocil:questionnaire:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │ @@ -24137,34 +24137,34 @@
│ │ │ │              <html:pre>$ apt-get remove snmp</html:pre>
│ │ │ │            </xccdf-1.2:description>
│ │ │ │            <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.4</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>If there is no need to run SNMP server software,
│ │ │ │  removing the package provides a safeguard against its
│ │ │ │  activation.</xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_snmp
│ │ │ │ -
│ │ │ │ -class remove_snmp {
│ │ │ │ -  package { 'snmp':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure snmp is removed
│ │ │ │    package:
│ │ │ │      name: snmp
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_net-snmp_removed
│ │ │ │    - unknown_severity</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_snmp
│ │ │ │ +
│ │ │ │ +class remove_snmp {
│ │ │ │ +  package { 'snmp':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove snmp
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on snmp. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "snmp"</xccdf-1.2:fix>
│ │ │ │ @@ -24183,24 +24183,14 @@
│ │ │ │              service can be disabled with the following command:
│ │ │ │              <html:pre>$ sudo systemctl mask --now snmpd.service</html:pre>
│ │ │ │            </xccdf-1.2:description>
│ │ │ │            <xccdf-1.2:reference href="https://www.cyber.gov.au/acsc/view-all-content/ism">1311</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>Running SNMP software provides a network-based avenue of attack, and
│ │ │ │  should be disabled if not needed.</xccdf-1.2:rationale>
│ │ │ │            <xccdf-1.2:platform idref="#package_snmpd_and_system_with_kernel"/>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_snmpd_disabled">[customizations.services]
│ │ │ │ -masked = ["snmpd"]</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_snmpd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_snmpd
│ │ │ │ -
│ │ │ │ -class disable_snmpd {
│ │ │ │ -  service {'snmpd':
│ │ │ │ -    enable =&gt; false,
│ │ │ │ -    ensure =&gt; 'stopped',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_snmpd_disabled" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -24271,14 +24261,24 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_snmpd_disabled</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_snmpd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_snmpd
│ │ │ │ +
│ │ │ │ +class disable_snmpd {
│ │ │ │ +  service {'snmpd':
│ │ │ │ +    enable =&gt; false,
│ │ │ │ +    ensure =&gt; 'stopped',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_snmpd_disabled">[customizations.services]
│ │ │ │ +masked = ["snmpd"]</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_snmpd_disabled:def:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │            <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_snmpd_disabled_ocil:questionnaire:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │          </xccdf-1.2:Rule>
│ │ │ │ @@ -24544,24 +24544,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000423-GPOS-00187</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000424-GPOS-00188</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000425-GPOS-00189</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000426-GPOS-00190</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>Without protection of the transmitted information, confidentiality, and
│ │ │ │  integrity may be compromised because unprotected communications can be
│ │ │ │  intercepted and either read or altered.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_openssh-server_installed">[[packages]]
│ │ │ │ -name = "openssh-server"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_openssh-server
│ │ │ │ -
│ │ │ │ -class install_openssh-server {
│ │ │ │ -  package { 'openssh-server':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_openssh-server_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -24579,14 +24569,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_openssh-server_installed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_openssh-server
│ │ │ │ +
│ │ │ │ +class install_openssh-server {
│ │ │ │ +  package { 'openssh-server':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_openssh-server_installed">[[packages]]
│ │ │ │ +name = "openssh-server"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_openssh-server_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "openssh-server"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -24609,21 +24609,14 @@
│ │ │ │            <html:code>openssh-server</html:code>
│ │ │ │            package can be removed with the following command:
│ │ │ │            <html:pre>$ apt-get remove openssh-server</html:pre>
│ │ │ │          </xccdf-1.2:description>
│ │ │ │          <xccdf-1.2:rationale>Without protection of the transmitted information, confidentiality, and
│ │ │ │  integrity may be compromised because unprotected communications can be
│ │ │ │  intercepted and either read or altered.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_openssh-server
│ │ │ │ -
│ │ │ │ -class remove_openssh-server {
│ │ │ │ -  package { 'openssh-server':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_openssh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -24639,14 +24632,21 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_openssh-server_removed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_openssh-server
│ │ │ │ +
│ │ │ │ +class remove_openssh-server {
│ │ │ │ +  package { 'openssh-server':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_openssh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove openssh-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on openssh-server. Execute this
│ │ │ │ @@ -24672,24 +24672,14 @@
│ │ │ │  This is unusual, as SSH is a common method for encrypted and authenticated
│ │ │ │  remote access.</xccdf-1.2:description>
│ │ │ │          <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-3(6)</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">IA-2(4)</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=container-platform">SRG-APP-000185-CTR-000490</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=container-platform">SRG-APP-000141-CTR-000315</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale/>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_sshd_disabled">[customizations.services]
│ │ │ │ -masked = ["ssh"]</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_sshd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_sshd
│ │ │ │ -
│ │ │ │ -class disable_sshd {
│ │ │ │ -  service {'ssh':
│ │ │ │ -    enable =&gt; false,
│ │ │ │ -    ensure =&gt; 'stopped',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_sshd_disabled" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-3(6)
│ │ │ │    - NIST-800-53-IA-2(4)
│ │ │ │    - disable_strategy
│ │ │ │ @@ -24766,14 +24756,24 @@
│ │ │ │    - NIST-800-53-IA-2(4)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_sshd_disabled</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_sshd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_sshd
│ │ │ │ +
│ │ │ │ +class disable_sshd {
│ │ │ │ +  service {'ssh':
│ │ │ │ +    enable =&gt; false,
│ │ │ │ +    ensure =&gt; 'stopped',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_sshd_disabled">[customizations.services]
│ │ │ │ +masked = ["ssh"]</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_sshd_disabled:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │          <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_sshd_disabled_ocil:questionnaire:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │ @@ -25141,22 +25141,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-2.2.4</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R50</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.6</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>If an unauthorized user obtains the private SSH host key file, the host could be
│ │ │ │  impersonated.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_private_key">include ssh_private_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_private_key_perms {
│ │ │ │ -  exec { 'sshd_priv_key':
│ │ │ │ -    command =&gt; "chmod 0640 /etc/ssh/*_key",
│ │ │ │ -    path    =&gt; '/bin:/usr/bin'
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="file_permissions_sshd_private_key" complexity="low" disruption="low" reboot="false" strategy="configure">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-171-3.1.13
│ │ │ │    - NIST-800-171-3.13.10
│ │ │ │    - NIST-800-53-AC-17(a)
│ │ │ │ @@ -25215,14 +25207,22 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - configure_strategy
│ │ │ │    - file_permissions_sshd_private_key
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_private_key">include ssh_private_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_private_key_perms {
│ │ │ │ +  exec { 'sshd_priv_key':
│ │ │ │ +    command =&gt; "chmod 0640 /etc/ssh/*_key",
│ │ │ │ +    path    =&gt; '/bin:/usr/bin'
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="file_permissions_sshd_private_key"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  for keyfile in /etc/ssh/*_key; do
│ │ │ │      test -f "$keyfile" || continue
│ │ │ │      if test root:root = "$(stat -c "%U:%G" "$keyfile")"; then
│ │ │ │ @@ -25313,22 +25313,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-2.2.4</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R50</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.6</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>If a public host key file is modified by an unauthorized user, the SSH service
│ │ │ │  may be compromised.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_pub_key">include ssh_public_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_public_key_perms {
│ │ │ │ -  exec { 'sshd_pub_key':
│ │ │ │ -    command =&gt; "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ -    path    =&gt; '/bin:/usr/bin'
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="file_permissions_sshd_pub_key" complexity="low" disruption="low" reboot="false" strategy="configure">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-171-3.1.13
│ │ │ │    - NIST-800-171-3.13.10
│ │ │ │    - NIST-800-53-AC-17(a)
│ │ │ │ @@ -25387,14 +25379,22 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - configure_strategy
│ │ │ │    - file_permissions_sshd_pub_key
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_pub_key">include ssh_public_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_public_key_perms {
│ │ │ │ +  exec { 'sshd_pub_key':
│ │ │ │ +    command =&gt; "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ +    path    =&gt; '/bin:/usr/bin'
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="file_permissions_sshd_pub_key" complexity="low" disruption="low" reboot="false" strategy="configure"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  find -L /etc/ssh/ -maxdepth 1 -perm /u+xs,g+xws,o+xwt  -type f -regextype posix-extended -regex '^.*\.pub$' -exec chmod u-xs,g-xws,o-xwt {} \;
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -31277,24 +31277,14 @@
│ │ │ │        <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000392-GPOS-00172</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000475-GPOS-00220</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R33</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R73</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.2.1</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.2</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:rationale>The auditd service is an access monitoring and accounting daemon, watching system calls to audit any access, in comparison with potential local access control policy such as SELinux policy.</xccdf-1.2:rationale>
│ │ │ │ -      <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_audit_installed">[[packages]]
│ │ │ │ -name = "auditd"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -      <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_audit_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_auditd
│ │ │ │ -
│ │ │ │ -class install_auditd {
│ │ │ │ -  package { 'auditd':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │        <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_audit_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AC-7(a)
│ │ │ │    - NIST-800-53-AU-12(2)
│ │ │ │    - NIST-800-53-AU-14
│ │ │ │ @@ -31330,14 +31320,24 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_audit_installed</xccdf-1.2:fix>
│ │ │ │ +      <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_audit_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_auditd
│ │ │ │ +
│ │ │ │ +class install_auditd {
│ │ │ │ +  package { 'auditd':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +      <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_audit_installed">[[packages]]
│ │ │ │ +name = "auditd"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │        <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_audit_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "auditd"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -31556,24 +31556,14 @@
│ │ │ │          <html:br/>
│ │ │ │          Additionally, a properly configured audit subsystem ensures that actions of
│ │ │ │  individual system users can be uniquely traced to those users so they
│ │ │ │  can be held accountable for their actions.
│ │ │ │        </xccdf-1.2:rationale>
│ │ │ │        <xccdf-1.2:platform idref="#package_audit"/>
│ │ │ │        <xccdf-1.2:requires idref="xccdf_org.ssgproject.content_rule_package_audit_installed"/>
│ │ │ │ -      <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_auditd_enabled">[customizations.services]
│ │ │ │ -enabled = ["auditd"]</xccdf-1.2:fix>
│ │ │ │ -      <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_auditd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_auditd
│ │ │ │ -
│ │ │ │ -class enable_auditd {
│ │ │ │ -  service {'auditd':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │        <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_auditd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - CJIS-5.4.1.1
│ │ │ │    - NIST-800-171-3.3.1
│ │ │ │    - NIST-800-171-3.3.2
│ │ │ │ @@ -31634,14 +31624,24 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_auditd_enabled</xccdf-1.2:fix>
│ │ │ │ +      <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_auditd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_auditd
│ │ │ │ +
│ │ │ │ +class enable_auditd {
│ │ │ │ +  service {'auditd':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +      <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_auditd_enabled">[customizations.services]
│ │ │ │ +enabled = ["auditd"]</xccdf-1.2:fix>
│ │ │ │        <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │          <xccdf-1.2:check-content-ref href="ssg-debian11-oval.xml" name="oval:ssg-service_auditd_enabled:def:1"/>
│ │ │ │        </xccdf-1.2:check>
│ │ │ │        <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │          <xccdf-1.2:check-content-ref href="ssg-debian11-ocil.xml" name="ocil:ssg-service_auditd_enabled_ocil:questionnaire:1"/>
│ │ │ │        </xccdf-1.2:check>
│ │ │ │      </xccdf-1.2:Rule>
│ │ ├── ./usr/share/xml/scap/ssg/content/ssg-debian12-ds.xml
│ │ │ ├── ./usr/share/xml/scap/ssg/content/ssg-debian12-ds.xml
│ │ │ │┄ Ordering differences only
│ │ │ │ @@ -106,282 +106,282 @@
│ │ │ │        <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">os-srg</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://www.niap-ccevs.org/Profile/PP.cfm">ospp</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">pcidss</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">pcidss4</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cunix-linux">stigid</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://public.cyber.mil/stigs/srg-stig-tools/">stigref</xccdf-1.2:reference>
│ │ │ │        <cpe-lang:platform-specification>
│ │ │ │ -        <cpe-lang:platform id="package_sudo">
│ │ │ │ +        <cpe-lang:platform id="machine">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_sudo:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_machine:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_aide_and_package_systemd">
│ │ │ │ +        <cpe-lang:platform id="grub2">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_aide:def:1"/>
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_systemd:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_has_grub2_package:def:1"/>
│ │ │ │ +          </cpe-lang:logical-test>
│ │ │ │ +        </cpe-lang:platform>
│ │ │ │ +        <cpe-lang:platform id="x86_64_arch">
│ │ │ │ +          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_x86_64:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │          <cpe-lang:platform id="selinux">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-selinux_is_enabled:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="mount_var-tmp">
│ │ │ │ +        <cpe-lang:platform id="package_libreswan">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_var-tmp:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_libreswan:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="mount_var">
│ │ │ │ +        <cpe-lang:platform id="mount_tmp">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_var:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_tmp:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="mount_var-log">
│ │ │ │ +        <cpe-lang:platform id="mount_srv">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_var-log:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_srv:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="mount_tmp">
│ │ │ │ +        <cpe-lang:platform id="package_pam">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_tmp:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_pam:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="mount_srv">
│ │ │ │ +        <cpe-lang:platform id="mount_var-tmp">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_srv:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_var-tmp:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="mount_opt">
│ │ │ │ +        <cpe-lang:platform id="system_with_kernel">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_opt:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="mount_home">
│ │ │ │ +        <cpe-lang:platform id="package_bash">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_home:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_bash:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │          <cpe-lang:platform id="not_bootc_and_not_container">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │              <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │                <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-bootc:def:1"/>
│ │ │ │              </cpe-lang:logical-test>
│ │ │ │              <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │                <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_container:def:1"/>
│ │ │ │              </cpe-lang:logical-test>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_ufw_and_system_with_kernel">
│ │ │ │ +        <cpe-lang:platform id="uefi">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_boot_mode_is_uefi:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_nftables">
│ │ │ │ +        <cpe-lang:platform id="os_linux_rhel_gt_or_eq_8_7_and_os_linux_rhel_ne_9_0">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-os_linux_rhel_gt_or_eq_8_7:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-os_linux_rhel_ne_9_0:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="ipv6_enabled">
│ │ │ │ +        <cpe-lang:platform id="aarch64_arch_or_x86_64_arch">
│ │ │ │ +          <cpe-lang:logical-test operator="OR" negate="false">
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_x86_64:def:1"/>
│ │ │ │ +          </cpe-lang:logical-test>
│ │ │ │ +        </cpe-lang:platform>
│ │ │ │ +        <cpe-lang:platform id="aarch64_arch">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-ipv6_enabled:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="not_package_nftables_and_not_package_ufw">
│ │ │ │ +        <cpe-lang:platform id="package_snmpd_and_system_with_kernel">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │ -            </cpe-lang:logical-test>
│ │ │ │ -            <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ -            </cpe-lang:logical-test>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_snmpd:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_iptables">
│ │ │ │ +        <cpe-lang:platform id="non-uefi">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_boot_mode_is_non_uefi:def:1"/>
│ │ │ │ +          </cpe-lang:logical-test>
│ │ │ │ +        </cpe-lang:platform>
│ │ │ │ +        <cpe-lang:platform id="package_shadow-utils">
│ │ │ │ +          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_shadow-utils:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │          <cpe-lang:platform id="not_package_nftables_and_not_package_ufw_and_package_iptables">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │              <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │                <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │              </cpe-lang:logical-test>
│ │ │ │              <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │                <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │              </cpe-lang:logical-test>
│ │ │ │              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_iptables_and_service_disabled_firewalld_and_system_with_kernel">
│ │ │ │ +        <cpe-lang:platform id="package_nftables">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-service_disabled_firewalld:def:1"/>
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_libreswan">
│ │ │ │ +        <cpe-lang:platform id="machine_and_package_apparmor">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_libreswan:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_machine:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_apparmor:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_logrotate">
│ │ │ │ +        <cpe-lang:platform id="package_ntp">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_logrotate:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_ntp:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_rsyslog">
│ │ │ │ +        <cpe-lang:platform id="os_linux_ol_gt_or_eq_8_7">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_rsyslog:def:1"/>
│ │ │ │ -          </cpe-lang:logical-test>
│ │ │ │ -        </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="aarch64_arch_or_x86_64_arch">
│ │ │ │ -          <cpe-lang:logical-test operator="OR" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_x86_64:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-os_linux_ol_gt_or_eq_8_7:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="x86_64_arch">
│ │ │ │ +        <cpe-lang:platform id="mount_home">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_x86_64:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_home:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="uefi">
│ │ │ │ +        <cpe-lang:platform id="not_package_nftables_and_not_package_ufw">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_boot_mode_is_uefi:def:1"/>
│ │ │ │ +            <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ +              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │ +            </cpe-lang:logical-test>
│ │ │ │ +            <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ +              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ +            </cpe-lang:logical-test>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │          <cpe-lang:platform id="not_bootc">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-bootc:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="non-uefi">
│ │ │ │ +        <cpe-lang:platform id="not_aarch64_arch">
│ │ │ │ +          <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ +          </cpe-lang:logical-test>
│ │ │ │ +        </cpe-lang:platform>
│ │ │ │ +        <cpe-lang:platform id="package_aide_and_package_systemd">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_boot_mode_is_non_uefi:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_aide:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_systemd:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="grub2_and_system_with_kernel">
│ │ │ │ +        <cpe-lang:platform id="mount_var">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_has_grub2_package:def:1"/>
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_var:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="machine_and_package_apparmor">
│ │ │ │ +        <cpe-lang:platform id="grub2_and_system_with_kernel">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_machine:def:1"/>
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_apparmor:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_has_grub2_package:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_bash">
│ │ │ │ +        <cpe-lang:platform id="package_iptables_and_service_disabled_firewalld_and_system_with_kernel">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_bash:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-service_disabled_firewalld:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="os_linux_ol_gt_or_eq_8_7">
│ │ │ │ +        <cpe-lang:platform id="package_systemd">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-os_linux_ol_gt_or_eq_8_7:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_systemd:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="os_linux_rhel_gt_or_eq_8_7_and_os_linux_rhel_ne_9_0">
│ │ │ │ +        <cpe-lang:platform id="package_audit">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-os_linux_rhel_gt_or_eq_8_7:def:1"/>
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-os_linux_rhel_ne_9_0:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_audit:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_shadow-utils">
│ │ │ │ +        <cpe-lang:platform id="package_iptables">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_shadow-utils:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_pam">
│ │ │ │ +        <cpe-lang:platform id="package_rsh-server">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_pam:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_rsh-server:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │          <cpe-lang:platform id="package_gdm">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_gdm:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_net-snmp">
│ │ │ │ +        <cpe-lang:platform id="package_ufw_and_system_with_kernel">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_net-snmp:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_snmpd_and_system_with_kernel">
│ │ │ │ +        <cpe-lang:platform id="mount_var-log">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_snmpd:def:1"/>
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_var-log:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_rsh-server">
│ │ │ │ +        <cpe-lang:platform id="package_net-snmp">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_rsh-server:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_net-snmp:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_systemd">
│ │ │ │ +        <cpe-lang:platform id="not_aarch64_arch_and_not_s390x_arch">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_systemd:def:1"/>
│ │ │ │ +            <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ +              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ +            </cpe-lang:logical-test>
│ │ │ │ +            <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ +              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_s390x:def:1"/>
│ │ │ │ +            </cpe-lang:logical-test>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_ntp">
│ │ │ │ +        <cpe-lang:platform id="mount_opt">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_ntp:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_opt:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_chrony">
│ │ │ │ +        <cpe-lang:platform id="package_sudo">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_chrony:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_sudo:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │          <cpe-lang:platform id="package_postfix">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_postfix:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="machine">
│ │ │ │ -          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_machine:def:1"/>
│ │ │ │ -          </cpe-lang:logical-test>
│ │ │ │ -        </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="grub2">
│ │ │ │ -          <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_has_grub2_package:def:1"/>
│ │ │ │ -          </cpe-lang:logical-test>
│ │ │ │ -        </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="aarch64_arch">
│ │ │ │ +        <cpe-lang:platform id="ipv6_enabled">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-ipv6_enabled:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="not_aarch64_arch_and_not_s390x_arch">
│ │ │ │ +        <cpe-lang:platform id="package_rsyslog">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ -            </cpe-lang:logical-test>
│ │ │ │ -            <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -              <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_s390x:def:1"/>
│ │ │ │ -            </cpe-lang:logical-test>
│ │ │ │ -          </cpe-lang:logical-test>
│ │ │ │ -        </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="not_aarch64_arch">
│ │ │ │ -          <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_rsyslog:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="package_audit">
│ │ │ │ +        <cpe-lang:platform id="package_chrony">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_audit:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_chrony:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │ -        <cpe-lang:platform id="system_with_kernel">
│ │ │ │ +        <cpe-lang:platform id="package_logrotate">
│ │ │ │            <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ +            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_logrotate:def:1"/>
│ │ │ │            </cpe-lang:logical-test>
│ │ │ │          </cpe-lang:platform>
│ │ │ │        </cpe-lang:platform-specification>
│ │ │ │        <xccdf-1.2:platform idref="cpe:/o:debian:debian_linux:12"/>
│ │ │ │        <xccdf-1.2:version update="https://github.com/ComplianceAsCode/content/releases/latest">0.1.76</xccdf-1.2:version>
│ │ │ │        <xccdf-1.2:metadata>
│ │ │ │          <dc:publisher>SCAP Security Guide Project</dc:publisher>
│ │ │ │ @@ -2904,24 +2904,14 @@
│ │ │ │                    <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.IP-3</xccdf-1.2:reference>
│ │ │ │                    <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-11.5</xccdf-1.2:reference>
│ │ │ │                    <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000445-GPOS-00199</xccdf-1.2:reference>
│ │ │ │                    <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R76</xccdf-1.2:reference>
│ │ │ │                    <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R79</xccdf-1.2:reference>
│ │ │ │                    <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">11.5.2</xccdf-1.2:reference>
│ │ │ │                    <xccdf-1.2:rationale>The AIDE package must be installed if it is to be available for integrity checking.</xccdf-1.2:rationale>
│ │ │ │ -                  <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_aide_installed">[[packages]]
│ │ │ │ -name = "aide"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -                  <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_aide_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_aide
│ │ │ │ -
│ │ │ │ -class install_aide {
│ │ │ │ -  package { 'aide':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                    <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_aide_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - CJIS-5.10.1.3
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-11.5
│ │ │ │ @@ -2945,14 +2935,24 @@
│ │ │ │    - PCI-DSSv4-11.5.2
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_aide_installed</xccdf-1.2:fix>
│ │ │ │ +                  <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_aide_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_aide
│ │ │ │ +
│ │ │ │ +class install_aide {
│ │ │ │ +  package { 'aide':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +                  <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_aide_installed">[[packages]]
│ │ │ │ +name = "aide"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │                    <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_aide_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "aide"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -5218,24 +5218,14 @@
│ │ │ │                  <html:code>sudo</html:code>
│ │ │ │                  is a program designed to allow a system administrator to give
│ │ │ │  limited root privileges to users and log root activity. The basic philosophy
│ │ │ │  is to give as few privileges as possible but still allow system users to
│ │ │ │  get their work done.
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │                <xccdf-1.2:platform idref="#system_with_kernel"/>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_sudo_installed">[[packages]]
│ │ │ │ -name = "sudo"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_sudo_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_sudo
│ │ │ │ -
│ │ │ │ -class install_sudo {
│ │ │ │ -  package { 'sudo':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_sudo_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │ @@ -5257,14 +5247,24 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_sudo_installed</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_sudo_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_sudo
│ │ │ │ +
│ │ │ │ +class install_sudo {
│ │ │ │ +  package { 'sudo':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_sudo_installed">[[packages]]
│ │ │ │ +name = "sudo"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_sudo_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "sudo"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -6724,35 +6724,35 @@
│ │ │ │                <xccdf-1.2:rationale>GnuTLS is a secure communications library implementing the SSL, TLS and DTLS
│ │ │ │  protocols and technologies around them. It provides a simple C language
│ │ │ │  application programming interface (API) to access the secure communications
│ │ │ │  protocols as well as APIs to parse and write X.509, PKCS #12, OpenPGP and
│ │ │ │  other required structures.
│ │ │ │  This package contains command line TLS client and server and certificate
│ │ │ │  manipulation tools.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_gnutls-utils_installed">[[packages]]
│ │ │ │ -name = "gnutls-utils"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_gnutls-utils
│ │ │ │ -
│ │ │ │ -class install_gnutls-utils {
│ │ │ │ -  package { 'gnutls-utils':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Ensure gnutls-utils is installed
│ │ │ │    package:
│ │ │ │      name: gnutls-utils
│ │ │ │      state: present
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_gnutls-utils_installed</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_gnutls-utils
│ │ │ │ +
│ │ │ │ +class install_gnutls-utils {
│ │ │ │ +  package { 'gnutls-utils':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_gnutls-utils_installed">[[packages]]
│ │ │ │ +name = "gnutls-utils"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">DEBIAN_FRONTEND=noninteractive apt-get install -y "gnutls-utils"</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_gnutls-utils_installed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_gnutls-utils_installed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │ @@ -6773,35 +6773,35 @@
│ │ │ │  support cross-platform development of security-enabled client and
│ │ │ │  server applications. Install the
│ │ │ │                  <html:code>nss-tools</html:code>
│ │ │ │                  package
│ │ │ │  to install command-line tools to manipulate the NSS certificate
│ │ │ │  and key database.
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_nss-tools_installed">[[packages]]
│ │ │ │ -name = "nss-tools"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_nss-tools
│ │ │ │ -
│ │ │ │ -class install_nss-tools {
│ │ │ │ -  package { 'nss-tools':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Ensure nss-tools is installed
│ │ │ │    package:
│ │ │ │      name: nss-tools
│ │ │ │      state: present
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_nss-tools_installed</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_nss-tools
│ │ │ │ +
│ │ │ │ +class install_nss-tools {
│ │ │ │ +  package { 'nss-tools':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_nss-tools_installed">[[packages]]
│ │ │ │ +name = "nss-tools"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">DEBIAN_FRONTEND=noninteractive apt-get install -y "nss-tools"</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_nss-tools_installed:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_nss-tools_installed_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │ @@ -7002,24 +7002,14 @@
│ │ │ │                <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00225</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>Use of a complex password helps to increase the time and resources required
│ │ │ │  to compromise the password. Password complexity, or strength, is a measure
│ │ │ │  of the effectiveness of a password in resisting attempts at guessing and
│ │ │ │  brute-force attacks. "pwquality" enforces complex password construction
│ │ │ │  configuration and has the ability to limit brute-force attacks on the system.</xccdf-1.2:rationale>
│ │ │ │                <xccdf-1.2:platform idref="#package_pam"/>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_pam_pwquality_installed">[[packages]]
│ │ │ │ -name = "libpam-pwquality"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_pam_pwquality_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_libpam-pwquality
│ │ │ │ -
│ │ │ │ -class install_libpam-pwquality {
│ │ │ │ -  package { 'libpam-pwquality':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_pam_pwquality_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -7035,14 +7025,24 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_pam_pwquality_installed</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_pam_pwquality_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_libpam-pwquality
│ │ │ │ +
│ │ │ │ +class install_libpam-pwquality {
│ │ │ │ +  package { 'libpam-pwquality':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_pam_pwquality_installed">[[packages]]
│ │ │ │ +name = "libpam-pwquality"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_pam_pwquality_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}\n' 'libpam-runtime' 2&gt;/dev/null | grep -q '^installed'; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "libpam-pwquality"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │ @@ -13808,36 +13808,36 @@
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000312-GPOS-00123</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000312-GPOS-00124</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000324-GPOS-00125</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000370-GPOS-00155</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R45</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>Without a Mandatory Access Control system installed only the default
│ │ │ │  Discretionary Access Control system will be available.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_apparmor_installed">[[packages]]
│ │ │ │ -name = "apparmor"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_apparmor_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_apparmor
│ │ │ │ -
│ │ │ │ -class install_apparmor {
│ │ │ │ -  package { 'apparmor':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_apparmor_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Ensure apparmor is installed
│ │ │ │    package:
│ │ │ │      name: apparmor
│ │ │ │      state: present
│ │ │ │    when: ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"]
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_apparmor_installed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_apparmor_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_apparmor
│ │ │ │ +
│ │ │ │ +class install_apparmor {
│ │ │ │ +  package { 'apparmor':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_apparmor_installed">[[packages]]
│ │ │ │ +name = "apparmor"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_apparmor_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if [ ! -f /.dockerenv ] &amp;&amp; [ ! -f /run/.containerenv ]; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "apparmor"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │ @@ -13875,24 +13875,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00230</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00231</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00232</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R45</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>Protection of system integrity using AppArmor depends on this package being
│ │ │ │  installed.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_pam_apparmor_installed">[[packages]]
│ │ │ │ -name = "libpam-apparmor"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_pam_apparmor_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_libpam-apparmor
│ │ │ │ -
│ │ │ │ -class install_libpam-apparmor {
│ │ │ │ -  package { 'libpam-apparmor':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_pam_apparmor_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Ensure libpam-apparmor is installed
│ │ │ │    package:
│ │ │ │      name: libpam-apparmor
│ │ │ │      state: present
│ │ │ │    when: ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"]
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AC-3(4)
│ │ │ │ @@ -13904,14 +13894,24 @@
│ │ │ │    - NIST-800-53-SC-7(21)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_pam_apparmor_installed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_pam_apparmor_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_libpam-apparmor
│ │ │ │ +
│ │ │ │ +class install_libpam-apparmor {
│ │ │ │ +  package { 'libpam-apparmor':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_pam_apparmor_installed">[[packages]]
│ │ │ │ +name = "libpam-apparmor"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_pam_apparmor_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if [ ! -f /.dockerenv ] &amp;&amp; [ ! -f /run/.containerenv ]; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "libpam-apparmor"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │ @@ -14120,24 +14120,14 @@
│ │ │ │  with a System Administrator (SA) through shared resources.
│ │ │ │                <html:br/>
│ │ │ │                <html:br/>
│ │ │ │                Apparmor can confine users to their home directory, not allowing them to
│ │ │ │  make any changes outside of their own home directories. Confining users to
│ │ │ │  their home directory will minimize the risk of sharing information.
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="apparmor_configured">[customizations.services]
│ │ │ │ -enabled = ["apparmor"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="apparmor_configured" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_apparmor
│ │ │ │ -
│ │ │ │ -class enable_apparmor {
│ │ │ │ -  service {'apparmor':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="apparmor_configured">- name: Start apparmor.service
│ │ │ │    systemd:
│ │ │ │      name: apparmor.service
│ │ │ │      state: started
│ │ │ │      enabled: true
│ │ │ │    when: ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"]
│ │ │ │    tags:
│ │ │ │ @@ -14146,14 +14136,24 @@
│ │ │ │    - NIST-800-53-AC-6(8)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(2)
│ │ │ │    - NIST-800-53-CM-7(5)(b)
│ │ │ │    - NIST-800-53-SC-7(21)
│ │ │ │    - apparmor_configured
│ │ │ │    - medium_severity</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="apparmor_configured" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_apparmor
│ │ │ │ +
│ │ │ │ +class enable_apparmor {
│ │ │ │ +  service {'apparmor':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="apparmor_configured">[customizations.services]
│ │ │ │ +enabled = ["apparmor"]</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-apparmor_configured:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-apparmor_configured_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -20305,24 +20305,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-000366</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-000803</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000120-GPOS-00061</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R71</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>The rsyslog-gnutls package provides Transport Layer Security (TLS) support
│ │ │ │  for the rsyslog daemon, which enables secure remote logging.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_rsyslog-gnutls_installed">[[packages]]
│ │ │ │ -name = "rsyslog-gnutls"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsyslog-gnutls_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_rsyslog-gnutls
│ │ │ │ -
│ │ │ │ -class install_rsyslog-gnutls {
│ │ │ │ -  package { 'rsyslog-gnutls':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_rsyslog-gnutls_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -20338,14 +20328,24 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsyslog-gnutls_installed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsyslog-gnutls_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_rsyslog-gnutls
│ │ │ │ +
│ │ │ │ +class install_rsyslog-gnutls {
│ │ │ │ +  package { 'rsyslog-gnutls':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_rsyslog-gnutls_installed">[[packages]]
│ │ │ │ +name = "rsyslog-gnutls"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_rsyslog-gnutls_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "rsyslog-gnutls"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -20401,24 +20401,14 @@
│ │ │ │              <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000479-GPOS-00224</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000051-GPOS-00024</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>The rsyslog package provides the rsyslog daemon, which provides
│ │ │ │  system logging services.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_rsyslog_installed">[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsyslog_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_rsyslog_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -20436,14 +20426,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsyslog_installed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsyslog_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_rsyslog_installed">[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_rsyslog_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "rsyslog"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -20540,24 +20540,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>
│ │ │ │                The
│ │ │ │                <html:code>rsyslog</html:code>
│ │ │ │                service must be running in order to provide
│ │ │ │  logging services, which are essential to system administration.
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_rsyslog_enabled">[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_rsyslog_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_rsyslog_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AU-4(1)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │ @@ -20588,14 +20578,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_rsyslog_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_rsyslog_enabled">[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_rsyslog_enabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_rsyslog_enabled_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -22206,24 +22206,14 @@
│ │ │ │                  service can be enabled with the following command:
│ │ │ │                  <html:pre>$ sudo systemctl enable systemd-journald.service</html:pre>
│ │ │ │                </xccdf-1.2:description>
│ │ │ │                <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-001665</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">SC-24</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000269-GPOS-00103</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>In the event of a system failure, Debian 12 must preserve any information necessary to determine cause of failure and any information necessary to return to operations with least disruption to system processes.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_systemd-journald_enabled">[customizations.services]
│ │ │ │ -enabled = ["systemd-journald"]</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_systemd-journald_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_systemd-journald
│ │ │ │ -
│ │ │ │ -class enable_systemd-journald {
│ │ │ │ -  service {'systemd-journald':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_systemd-journald_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-SC-24
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -22252,14 +22242,24 @@
│ │ │ │    - NIST-800-53-SC-24
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_systemd-journald_enabled</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_systemd-journald_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_systemd-journald
│ │ │ │ +
│ │ │ │ +class enable_systemd-journald {
│ │ │ │ +  service {'systemd-journald':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_systemd-journald_enabled">[customizations.services]
│ │ │ │ +enabled = ["systemd-journald"]</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_systemd-journald_enabled:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_systemd-journald_enabled_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -22346,24 +22346,14 @@
│ │ │ │                <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-10.7</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R71</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.5.1</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.5</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>The logrotate package provides the logrotate services.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_logrotate_installed">[[packages]]
│ │ │ │ -name = "logrotate"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_logrotate_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_logrotate
│ │ │ │ -
│ │ │ │ -class install_logrotate {
│ │ │ │ -  package { 'logrotate':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_logrotate_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-10.7
│ │ │ │    - PCI-DSSv4-10.5
│ │ │ │ @@ -22387,14 +22377,24 @@
│ │ │ │    - PCI-DSSv4-10.5.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_logrotate_installed</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_logrotate_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_logrotate
│ │ │ │ +
│ │ │ │ +class install_logrotate {
│ │ │ │ +  package { 'logrotate':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_logrotate_installed">[[packages]]
│ │ │ │ +name = "logrotate"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_logrotate_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "logrotate"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -22738,24 +22738,14 @@
│ │ │ │                <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.3</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.4</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.7.1</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>The syslog-ng-core package provides the syslog-ng daemon, which provides
│ │ │ │  system logging services.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_syslogng_installed">[[packages]]
│ │ │ │ -name = "syslog-ng"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_syslogng_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_syslog-ng
│ │ │ │ -
│ │ │ │ -class install_syslog-ng {
│ │ │ │ -  package { 'syslog-ng':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_syslogng_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -22773,14 +22763,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_syslogng_installed</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_syslogng_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_syslog-ng
│ │ │ │ +
│ │ │ │ +class install_syslog-ng {
│ │ │ │ +  package { 'syslog-ng':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_syslogng_installed">[[packages]]
│ │ │ │ +name = "syslog-ng"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_syslogng_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "syslog-ng"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -22878,24 +22878,14 @@
│ │ │ │                <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>
│ │ │ │                  The
│ │ │ │                  <html:code>syslog-ng</html:code>
│ │ │ │                  service must be running in order to provide
│ │ │ │  logging services, which are essential to system administration.
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_syslogng_enabled">[customizations.services]
│ │ │ │ -enabled = ["syslog-ng"]</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_syslogng_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_syslog-ng
│ │ │ │ -
│ │ │ │ -class enable_syslog-ng {
│ │ │ │ -  service {'syslog-ng':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_syslogng_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AU-4(1)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │ @@ -22926,14 +22916,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_syslogng_enabled</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_syslogng_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_syslog-ng
│ │ │ │ +
│ │ │ │ +class enable_syslog-ng {
│ │ │ │ +  service {'syslog-ng':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_syslogng_enabled">[customizations.services]
│ │ │ │ +enabled = ["syslog-ng"]</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_syslogng_enabled:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_syslogng_enabled_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -24276,24 +24276,14 @@
│ │ │ │                  <xccdf-1.2:rationale>
│ │ │ │                    The
│ │ │ │                    <html:code>ip6tables</html:code>
│ │ │ │                    service provides the system's host-based firewalling
│ │ │ │  capability for IPv6 and ICMPv6.
│ │ │ │                  </xccdf-1.2:rationale>
│ │ │ │                  <xccdf-1.2:platform idref="#system_with_kernel"/>
│ │ │ │ -                <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ip6tables_enabled">[customizations.services]
│ │ │ │ -enabled = ["ip6tables"]</xccdf-1.2:fix>
│ │ │ │ -                <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ip6tables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ip6tables
│ │ │ │ -
│ │ │ │ -class enable_ip6tables {
│ │ │ │ -  service {'ip6tables':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                  <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_ip6tables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AC-4
│ │ │ │    - NIST-800-53-CA-3(5)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │ @@ -24330,14 +24320,24 @@
│ │ │ │    - NIST-800-53-SC-7(21)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ip6tables_enabled</xccdf-1.2:fix>
│ │ │ │ +                <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ip6tables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ip6tables
│ │ │ │ +
│ │ │ │ +class enable_ip6tables {
│ │ │ │ +  service {'ip6tables':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +                <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ip6tables_enabled">[customizations.services]
│ │ │ │ +enabled = ["ip6tables"]</xccdf-1.2:fix>
│ │ │ │                  <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                    <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_ip6tables_enabled:def:1"/>
│ │ │ │                  </xccdf-1.2:check>
│ │ │ │                  <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                    <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_ip6tables_enabled_ocil:questionnaire:1"/>
│ │ │ │                  </xccdf-1.2:check>
│ │ │ │                </xccdf-1.2:Rule>
│ │ │ │ @@ -24482,24 +24482,14 @@
│ │ │ │                  <xccdf-1.2:rationale>
│ │ │ │                    The
│ │ │ │                    <html:code>iptables</html:code>
│ │ │ │                    service provides the system's host-based firewalling
│ │ │ │  capability for IPv4 and ICMP.
│ │ │ │                  </xccdf-1.2:rationale>
│ │ │ │                  <xccdf-1.2:platform idref="#package_iptables_and_service_disabled_firewalld_and_system_with_kernel"/>
│ │ │ │ -                <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_iptables_enabled">[customizations.services]
│ │ │ │ -enabled = ["iptables"]</xccdf-1.2:fix>
│ │ │ │ -                <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_iptables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_iptables
│ │ │ │ -
│ │ │ │ -class enable_iptables {
│ │ │ │ -  service {'iptables':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                  <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_iptables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AC-4
│ │ │ │    - NIST-800-53-CA-3(5)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │ @@ -24537,14 +24527,24 @@
│ │ │ │    - NIST-800-53-SC-7(21)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_iptables_enabled</xccdf-1.2:fix>
│ │ │ │ +                <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_iptables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_iptables
│ │ │ │ +
│ │ │ │ +class enable_iptables {
│ │ │ │ +  service {'iptables':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +                <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_iptables_enabled">[customizations.services]
│ │ │ │ +enabled = ["iptables"]</xccdf-1.2:fix>
│ │ │ │                  <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                    <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_iptables_enabled:def:1"/>
│ │ │ │                  </xccdf-1.2:check>
│ │ │ │                  <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                    <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_iptables_enabled_ocil:questionnaire:1"/>
│ │ │ │                  </xccdf-1.2:check>
│ │ │ │                </xccdf-1.2:Rule>
│ │ │ │ @@ -34660,24 +34660,14 @@
│ │ │ │                  service can be enabled with the following command:
│ │ │ │                  <html:pre>$ sudo systemctl enable ufw.service</html:pre>
│ │ │ │                </xccdf-1.2:description>
│ │ │ │                <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-002314</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000297-GPOS-00115</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>The ufw service must be enabled and running in order for ufw to protect the system</xccdf-1.2:rationale>
│ │ │ │                <xccdf-1.2:platform idref="#package_ufw_and_system_with_kernel"/>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ufw_enabled">[customizations.services]
│ │ │ │ -enabled = ["ufw"]</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ufw_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ufw
│ │ │ │ -
│ │ │ │ -class enable_ufw {
│ │ │ │ -  service {'ufw':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_ufw_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -34706,14 +34696,24 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ufw_enabled</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ufw_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ufw
│ │ │ │ +
│ │ │ │ +class enable_ufw {
│ │ │ │ +  service {'ufw':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ufw_enabled">[customizations.services]
│ │ │ │ +enabled = ["ufw"]</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_ufw_enabled:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_ufw_enabled_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -48595,21 +48595,14 @@
│ │ │ │                <html:code>setroubleshoot-plugins</html:code>
│ │ │ │                package can be removed with the following command:
│ │ │ │                <html:pre>$ apt-get remove setroubleshoot-plugins</html:pre>
│ │ │ │              </xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R49</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>The SETroubleshoot service is an unnecessary daemon to
│ │ │ │  have running on a server.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_setroubleshoot-plugins_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_setroubleshoot-plugins
│ │ │ │ -
│ │ │ │ -class remove_setroubleshoot-plugins {
│ │ │ │ -  package { 'setroubleshoot-plugins':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_setroubleshoot-plugins_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -48625,14 +48618,21 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_setroubleshoot-plugins_removed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_setroubleshoot-plugins_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_setroubleshoot-plugins
│ │ │ │ +
│ │ │ │ +class remove_setroubleshoot-plugins {
│ │ │ │ +  package { 'setroubleshoot-plugins':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_setroubleshoot-plugins_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove setroubleshoot-plugins
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on setroubleshoot-plugins. Execute this
│ │ │ │ @@ -48661,21 +48661,14 @@
│ │ │ │                <html:code>setroubleshoot-server</html:code>
│ │ │ │                package can be removed with the following command:
│ │ │ │                <html:pre>$ apt-get remove setroubleshoot-server</html:pre>
│ │ │ │              </xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R49</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>The SETroubleshoot service is an unnecessary daemon to have
│ │ │ │  running on a server.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_setroubleshoot-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_setroubleshoot-server
│ │ │ │ -
│ │ │ │ -class remove_setroubleshoot-server {
│ │ │ │ -  package { 'setroubleshoot-server':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_setroubleshoot-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -48691,14 +48684,21 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_setroubleshoot-server_removed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_setroubleshoot-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_setroubleshoot-server
│ │ │ │ +
│ │ │ │ +class remove_setroubleshoot-server {
│ │ │ │ +  package { 'setroubleshoot-server':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_setroubleshoot-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove setroubleshoot-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on setroubleshoot-server. Execute this
│ │ │ │ @@ -48728,21 +48728,14 @@
│ │ │ │                package can be removed with the following command:
│ │ │ │                <html:pre>$ apt-get remove setroubleshoot</html:pre>
│ │ │ │              </xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R49</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>The SETroubleshoot service is an unnecessary daemon to
│ │ │ │  have running on a server, especially if
│ │ │ │  X Windows is removed or disabled.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_setroubleshoot_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_setroubleshoot
│ │ │ │ -
│ │ │ │ -class remove_setroubleshoot {
│ │ │ │ -  package { 'setroubleshoot':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_setroubleshoot_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -48758,14 +48751,21 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_setroubleshoot_removed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_setroubleshoot_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_setroubleshoot
│ │ │ │ +
│ │ │ │ +class remove_setroubleshoot {
│ │ │ │ +  package { 'setroubleshoot':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_setroubleshoot_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove setroubleshoot
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on setroubleshoot. Execute this
│ │ │ │ @@ -49791,24 +49791,14 @@
│ │ │ │              <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.IP-1</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-3</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.6</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>The cron service allow periodic job execution, needed for almost all administrative tasks and services (software update, log rotating, etc.). Access to cron service should be restricted to administrative accounts only.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_cron_installed">[[packages]]
│ │ │ │ -name = "cron"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_cron_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_cron
│ │ │ │ -
│ │ │ │ -class install_cron {
│ │ │ │ -  package { 'cron':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_cron_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │ @@ -49830,14 +49820,24 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_cron_installed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_cron_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_cron
│ │ │ │ +
│ │ │ │ +class install_cron {
│ │ │ │ +  package { 'cron':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_cron_installed">[[packages]]
│ │ │ │ +name = "cron"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_cron_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "cron"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -49933,24 +49933,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.14.2.4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.9.1.2</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.IP-1</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-3</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>Due to its usage for maintenance and security-supporting tasks,
│ │ │ │  enabling the cron daemon is essential.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_cron_enabled">[customizations.services]
│ │ │ │ -enabled = ["cron"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_cron_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_cron
│ │ │ │ -
│ │ │ │ -class enable_cron {
│ │ │ │ -  service {'cron':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_cron_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -49979,14 +49969,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_cron_enabled</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_cron_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_cron
│ │ │ │ +
│ │ │ │ +class enable_cron {
│ │ │ │ +  service {'cron':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_cron_enabled">[customizations.services]
│ │ │ │ +enabled = ["cron"]</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_cron_enabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_cron_enabled_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -50090,35 +50090,35 @@
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>
│ │ │ │                <html:code>telnet</html:code>
│ │ │ │                allows clear text communications, and does not protect any
│ │ │ │  data transmission between client and server. Any confidential data can be
│ │ │ │  listened and no integrity checking is made.
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_inetutils-telnetd
│ │ │ │ -
│ │ │ │ -class remove_inetutils-telnetd {
│ │ │ │ -  package { 'inetutils-telnetd':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure inetutils-telnetd is removed
│ │ │ │    package:
│ │ │ │      name: inetutils-telnetd
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_inetutils-telnetd_removed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_inetutils-telnetd
│ │ │ │ +
│ │ │ │ +class remove_inetutils-telnetd {
│ │ │ │ +  package { 'inetutils-telnetd':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove inetutils-telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on inetutils-telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "inetutils-telnetd"</xccdf-1.2:fix>
│ │ │ │ @@ -50127,32 +50127,32 @@
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │            <xccdf-1.2:Rule selected="false" id="xccdf_org.ssgproject.content_rule_package_nis_removed" severity="low">
│ │ │ │              <xccdf-1.2:title>Uninstall the nis package</xccdf-1.2:title>
│ │ │ │              <xccdf-1.2:description>The support for Yellowpages should not be installed unless it is required.</xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:rationale>NIS is the historical SUN service for central account management, more and more replaced by LDAP.
│ │ │ │  NIS does not support efficiently security constraints, ACL, etc. and should not be used.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_nis
│ │ │ │ -
│ │ │ │ -class remove_nis {
│ │ │ │ -  package { 'nis':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure nis is removed
│ │ │ │    package:
│ │ │ │      name: nis
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_nis_removed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_nis
│ │ │ │ +
│ │ │ │ +class remove_nis {
│ │ │ │ +  package { 'nis':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove nis
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on nis. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "nis"</xccdf-1.2:fix>
│ │ │ │ @@ -50160,32 +50160,32 @@
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_nis_removed:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │            <xccdf-1.2:Rule selected="false" id="xccdf_org.ssgproject.content_rule_package_ntpdate_removed" severity="low">
│ │ │ │              <xccdf-1.2:title>Uninstall the ntpdate package</xccdf-1.2:title>
│ │ │ │              <xccdf-1.2:description>ntpdate is a historical ntp synchronization client for unixes. It sould be uninstalled.</xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:rationale>ntpdate is an old not security-compliant ntp client. It should be replaced by modern ntp clients such as ntpd, able to use cryptographic mechanisms integrated in NTP.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_ntpdate
│ │ │ │ -
│ │ │ │ -class remove_ntpdate {
│ │ │ │ -  package { 'ntpdate':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure ntpdate is removed
│ │ │ │    package:
│ │ │ │      name: ntpdate
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ntpdate_removed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_ntpdate
│ │ │ │ +
│ │ │ │ +class remove_ntpdate {
│ │ │ │ +  package { 'ntpdate':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove ntpdate
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ntpdate. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ntpdate"</xccdf-1.2:fix>
│ │ │ │ @@ -50291,35 +50291,35 @@
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-3</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>
│ │ │ │                <html:code>telnet</html:code>
│ │ │ │                , even with ssl support, should not be installed.
│ │ │ │  When remote shell is required, up-to-date ssh daemon can be used.
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd-ssl
│ │ │ │ -
│ │ │ │ -class remove_telnetd-ssl {
│ │ │ │ -  package { 'telnetd-ssl':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure telnetd-ssl is removed
│ │ │ │    package:
│ │ │ │      name: telnetd-ssl
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd-ssl_removed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd-ssl
│ │ │ │ +
│ │ │ │ +class remove_telnetd-ssl {
│ │ │ │ +  package { 'telnetd-ssl':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove telnetd-ssl
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd-ssl. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd-ssl"</xccdf-1.2:fix>
│ │ │ │ @@ -50422,35 +50422,35 @@
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>
│ │ │ │                <html:code>telnet</html:code>
│ │ │ │                allows clear text communications, and does not protect
│ │ │ │  any data transmission between client and server. Any confidential data
│ │ │ │  can be listened and no integrity checking is made.'
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd
│ │ │ │ -
│ │ │ │ -class remove_telnetd {
│ │ │ │ -  package { 'telnetd':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure telnetd is removed
│ │ │ │    package:
│ │ │ │      name: telnetd
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd_removed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd
│ │ │ │ +
│ │ │ │ +class remove_telnetd {
│ │ │ │ +  package { 'telnetd':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd"</xccdf-1.2:fix>
│ │ │ │ @@ -50748,21 +50748,14 @@
│ │ │ │                <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.IP-1</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-3</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R62</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.4</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>Removing the DHCP server ensures that it cannot be easily or
│ │ │ │  accidentally reactivated and disrupt network operation.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_dhcp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_dhcp
│ │ │ │ -
│ │ │ │ -class remove_dhcp {
│ │ │ │ -  package { 'dhcp':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_dhcp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure dhcp is removed
│ │ │ │    package:
│ │ │ │      name: dhcp
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │ @@ -50771,14 +50764,21 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_dhcp_removed</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_dhcp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_dhcp
│ │ │ │ +
│ │ │ │ +class remove_dhcp {
│ │ │ │ +  package { 'dhcp':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_dhcp_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove dhcp
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on dhcp. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "dhcp"</xccdf-1.2:fix>
│ │ │ │ @@ -50792,32 +50792,32 @@
│ │ │ │              <xccdf-1.2:Rule selected="false" id="xccdf_org.ssgproject.content_rule_package_kea_removed" severity="medium">
│ │ │ │                <xccdf-1.2:title>Uninstall kea Package</xccdf-1.2:title>
│ │ │ │                <xccdf-1.2:description>If the system does not need to act as a DHCP server,
│ │ │ │  the kea package can be uninstalled.</xccdf-1.2:description>
│ │ │ │                <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R62</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>Removing the DHCP server ensures that it cannot be easily or
│ │ │ │  accidentally reactivated and disrupt network operation.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_kea_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_kea
│ │ │ │ -
│ │ │ │ -class remove_kea {
│ │ │ │ -  package { 'kea':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_kea_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure kea is removed
│ │ │ │    package:
│ │ │ │      name: kea
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_kea_removed</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_kea_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_kea
│ │ │ │ +
│ │ │ │ +class remove_kea {
│ │ │ │ +  package { 'kea':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_kea_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove kea
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on kea. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "kea"</xccdf-1.2:fix>
│ │ │ │ @@ -50976,24 +50976,14 @@
│ │ │ │                package can be installed with the following command:
│ │ │ │                <html:pre>$ apt-get install postfix</html:pre>
│ │ │ │              </xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-000139</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000046-GPOS-00022</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>Emails can be used to notify designated personnel about important
│ │ │ │  system events such as failures or warnings.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_postfix_installed">[[packages]]
│ │ │ │ -name = "postfix"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_postfix_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_postfix
│ │ │ │ -
│ │ │ │ -class install_postfix {
│ │ │ │ -  package { 'postfix':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_postfix_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -51009,14 +50999,24 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_postfix_installed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_postfix_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_postfix
│ │ │ │ +
│ │ │ │ +class install_postfix {
│ │ │ │ +  package { 'postfix':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_postfix_installed">[[packages]]
│ │ │ │ +name = "postfix"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_postfix_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "postfix"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -51110,21 +51110,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-3</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000095-GPOS-00049</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R62</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>The sendmail software was not developed with security in mind and
│ │ │ │  its design prevents it from being effectively contained by SELinux.  Postfix
│ │ │ │  should be used instead.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_sendmail_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_sendmail
│ │ │ │ -
│ │ │ │ -class remove_sendmail {
│ │ │ │ -  package { 'sendmail':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_sendmail_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │ @@ -51146,14 +51139,21 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_sendmail_removed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_sendmail_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_sendmail
│ │ │ │ +
│ │ │ │ +class remove_sendmail {
│ │ │ │ +  package { 'sendmail':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_sendmail_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove sendmail
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on sendmail. Execute this
│ │ │ │ @@ -51624,24 +51624,14 @@
│ │ │ │  
│ │ │ │  The
│ │ │ │                    <html:code>netfs</html:code>
│ │ │ │                    service can be disabled with the following command:
│ │ │ │                    <html:pre>$ sudo systemctl mask --now netfs.service</html:pre>
│ │ │ │                  </xccdf-1.2:description>
│ │ │ │                  <xccdf-1.2:rationale/>
│ │ │ │ -                <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_netfs_disabled">[customizations.services]
│ │ │ │ -masked = ["netfs"]</xccdf-1.2:fix>
│ │ │ │ -                <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_netfs_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_netfs
│ │ │ │ -
│ │ │ │ -class disable_netfs {
│ │ │ │ -  service {'netfs':
│ │ │ │ -    enable =&gt; false,
│ │ │ │ -    ensure =&gt; 'stopped',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                  <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_netfs_disabled" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -51709,14 +51699,24 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_netfs_disabled
│ │ │ │    - unknown_severity</xccdf-1.2:fix>
│ │ │ │ +                <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_netfs_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_netfs
│ │ │ │ +
│ │ │ │ +class disable_netfs {
│ │ │ │ +  service {'netfs':
│ │ │ │ +    enable =&gt; false,
│ │ │ │ +    ensure =&gt; 'stopped',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +                <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_netfs_disabled">[customizations.services]
│ │ │ │ +masked = ["netfs"]</xccdf-1.2:fix>
│ │ │ │                  <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                    <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_netfs_disabled:def:1"/>
│ │ │ │                  </xccdf-1.2:check>
│ │ │ │                </xccdf-1.2:Rule>
│ │ │ │              </xccdf-1.2:Group>
│ │ │ │            </xccdf-1.2:Group>
│ │ │ │            <xccdf-1.2:Group id="xccdf_org.ssgproject.content_group_nfs_configuring_servers">
│ │ │ │ @@ -51873,24 +51873,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000355-GPOS-00143</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R71</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.6.1</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.6</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>Time synchronization is important to support time sensitive security mechanisms like
│ │ │ │  Kerberos and also ensures log files have consistent time records across the enterprise,
│ │ │ │  which aids in forensic investigations.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_chrony_installed">[[packages]]
│ │ │ │ -name = "chrony"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_chrony_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_chrony
│ │ │ │ -
│ │ │ │ -class install_chrony {
│ │ │ │ -  package { 'chrony':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_chrony_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │    - PCI-DSSv4-10.6
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │ @@ -51912,14 +51902,24 @@
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_chrony_installed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_chrony_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_chrony
│ │ │ │ +
│ │ │ │ +class install_chrony {
│ │ │ │ +  package { 'chrony':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_chrony_installed">[[packages]]
│ │ │ │ +name = "chrony"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_chrony_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "chrony"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -51964,24 +51964,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.3</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.7.1</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-10.4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>Time synchronization (using NTP) is required by almost all network and administrative tasks (syslog, cryptographic based services (authentication, etc.), etc.). Ntpd is regulary maintained and updated, supporting security features such as RFC 5906.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_ntp_installed">[[packages]]
│ │ │ │ -name = "ntp"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntp_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_ntp
│ │ │ │ -
│ │ │ │ -class install_ntp {
│ │ │ │ -  package { 'ntp':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_ntp_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │    - enable_strategy
│ │ │ │ @@ -52001,14 +51991,24 @@
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ntp_installed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntp_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_ntp
│ │ │ │ +
│ │ │ │ +class install_ntp {
│ │ │ │ +  package { 'ntp':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_ntp_installed">[[packages]]
│ │ │ │ +name = "ntp"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_ntp_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "ntp"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -52037,24 +52037,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-004923</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://www.cyber.gov.au/acsc/view-all-content/ism">0988</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://www.cyber.gov.au/acsc/view-all-content/ism">1405</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000355-GPOS-00143</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>If chrony is in use on the system proper configuration is vital to ensuring time
│ │ │ │  synchronization is working properly.</xccdf-1.2:rationale>
│ │ │ │              <xccdf-1.2:platform idref="#package_chrony"/>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_chronyd_enabled">[customizations.services]
│ │ │ │ -enabled = ["chrony"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_chronyd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_chrony
│ │ │ │ -
│ │ │ │ -class enable_chrony {
│ │ │ │ -  service {'chrony':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_chronyd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -52083,14 +52073,24 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_chronyd_enabled</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_chronyd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_chrony
│ │ │ │ +
│ │ │ │ +class enable_chrony {
│ │ │ │ +  service {'chrony':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_chronyd_enabled">[customizations.services]
│ │ │ │ +enabled = ["chrony"]</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_chronyd_enabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_chronyd_enabled_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -52255,24 +52255,14 @@
│ │ │ │                <html:br/>
│ │ │ │                The NTP daemon offers all of the functionality of
│ │ │ │                <html:code>ntpdate</html:code>
│ │ │ │                , which is now
│ │ │ │  deprecated.
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │              <xccdf-1.2:platform idref="#package_ntp"/>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ntp_enabled">[customizations.services]
│ │ │ │ -enabled = ["ntp"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ntp_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ntp
│ │ │ │ -
│ │ │ │ -class enable_ntp {
│ │ │ │ -  service {'ntp':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_ntp_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AU-8(1)(a)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │ @@ -52311,14 +52301,24 @@
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ntp_enabled</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ntp_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ntp
│ │ │ │ +
│ │ │ │ +class enable_ntp {
│ │ │ │ +  service {'ntp':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ntp_enabled">[customizations.services]
│ │ │ │ +enabled = ["ntp"]</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_ntp_enabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_ntp_enabled_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -52840,21 +52840,14 @@
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>
│ │ │ │                  Removing the
│ │ │ │                  <html:code>xinetd</html:code>
│ │ │ │                  package decreases the risk of the
│ │ │ │  xinetd service's accidental (or intentional) activation.
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_xinetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_xinetd
│ │ │ │ -
│ │ │ │ -class remove_xinetd {
│ │ │ │ -  package { 'xinetd':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_xinetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │ @@ -52880,14 +52873,21 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_xinetd_removed</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_xinetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_xinetd
│ │ │ │ +
│ │ │ │ +class remove_xinetd {
│ │ │ │ +  package { 'xinetd':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_xinetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove xinetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on xinetd. Execute this
│ │ │ │ @@ -52935,34 +52935,34 @@
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.4</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>The NIS service is inherently an insecure system that has been vulnerable
│ │ │ │  to DOS attacks, buffer overflows and has poor authentication for querying
│ │ │ │  NIS maps. NIS generally has been replaced by such protocols as Lightweight
│ │ │ │  Directory Access Protocol (LDAP). It is recommended that the service be
│ │ │ │  removed.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ypbind_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_ypbind-mt
│ │ │ │ -
│ │ │ │ -class remove_ypbind-mt {
│ │ │ │ -  package { 'ypbind-mt':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_ypbind_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure ypbind-mt is removed
│ │ │ │    package:
│ │ │ │      name: ypbind-mt
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ypbind_removed
│ │ │ │    - unknown_severity</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ypbind_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_ypbind-mt
│ │ │ │ +
│ │ │ │ +class remove_ypbind-mt {
│ │ │ │ +  package { 'ypbind-mt':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_ypbind_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove ypbind-mt
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ypbind-mt. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ypbind-mt"</xccdf-1.2:fix>
│ │ │ │ @@ -53090,21 +53090,14 @@
│ │ │ │  remote session.
│ │ │ │  
│ │ │ │  Removing the
│ │ │ │                  <html:code>ypserv</html:code>
│ │ │ │                  package decreases the risk of the accidental
│ │ │ │  (or intentional) activation of NIS or NIS+ services.
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ypserv_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_ypserv
│ │ │ │ -
│ │ │ │ -class remove_ypserv {
│ │ │ │ -  package { 'ypserv':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_ypserv_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure ypserv is removed
│ │ │ │    package:
│ │ │ │      name: ypserv
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │ @@ -53115,14 +53108,21 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ypserv_removed</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ypserv_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_ypserv
│ │ │ │ +
│ │ │ │ +class remove_ypserv {
│ │ │ │ +  package { 'ypserv':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_ypserv_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove ypserv
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ypserv. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ypserv"</xccdf-1.2:fix>
│ │ │ │ @@ -53257,21 +53257,14 @@
│ │ │ │  authentication. If a privileged user were to login using this service, the privileged user password
│ │ │ │  could be compromised. The
│ │ │ │                  <html:code>rsh-server</html:code>
│ │ │ │                  package provides several obsolete and insecure
│ │ │ │  network services. Removing it decreases the risk of those services' accidental (or intentional)
│ │ │ │  activation.
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_rsh-server
│ │ │ │ -
│ │ │ │ -class remove_rsh-server {
│ │ │ │ -  package { 'rsh-server':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_rsh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure rsh-server is removed
│ │ │ │    package:
│ │ │ │      name: rsh-server
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │ @@ -53281,14 +53274,21 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsh-server_removed</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_rsh-server
│ │ │ │ +
│ │ │ │ +class remove_rsh-server {
│ │ │ │ +  package { 'rsh-server':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_rsh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove rsh-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on rsh-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "rsh-server"</xccdf-1.2:fix>
│ │ │ │ @@ -53338,35 +53338,35 @@
│ │ │ │                  <html:code>rsh</html:code>
│ │ │ │                  ,
│ │ │ │                  <html:code>rcp</html:code>
│ │ │ │                  , and
│ │ │ │                  <html:code>rlogin</html:code>
│ │ │ │                  .
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsh_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_rsh
│ │ │ │ -
│ │ │ │ -class remove_rsh {
│ │ │ │ -  package { 'rsh':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_rsh_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure rsh is removed
│ │ │ │    package:
│ │ │ │      name: rsh
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-171-3.1.13
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsh_removed
│ │ │ │    - unknown_severity</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsh_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_rsh
│ │ │ │ +
│ │ │ │ +class remove_rsh {
│ │ │ │ +  package { 'rsh':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_rsh_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove rsh
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on rsh. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "rsh"</xccdf-1.2:fix>
│ │ │ │ @@ -53529,34 +53529,34 @@
│ │ │ │                <xccdf-1.2:rationale>
│ │ │ │                  The talk software presents a security risk as it uses unencrypted protocols
│ │ │ │  for communications. Removing the
│ │ │ │                  <html:code>talk-server</html:code>
│ │ │ │                  package decreases the
│ │ │ │  risk of the accidental (or intentional) activation of talk services.
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_talk-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_talk-server
│ │ │ │ -
│ │ │ │ -class remove_talk-server {
│ │ │ │ -  package { 'talk-server':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_talk-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure talk-server is removed
│ │ │ │    package:
│ │ │ │      name: talk-server
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_talk-server_removed</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_talk-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_talk-server
│ │ │ │ +
│ │ │ │ +class remove_talk-server {
│ │ │ │ +  package { 'talk-server':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_talk-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove talk-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on talk-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "talk-server"</xccdf-1.2:fix>
│ │ │ │ @@ -53593,34 +53593,34 @@
│ │ │ │                <xccdf-1.2:rationale>
│ │ │ │                  The talk software presents a security risk as it uses unencrypted protocols
│ │ │ │  for communications. Removing the
│ │ │ │                  <html:code>talk</html:code>
│ │ │ │                  package decreases the
│ │ │ │  risk of the accidental (or intentional) activation of talk client program.
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_talk_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_talk
│ │ │ │ -
│ │ │ │ -class remove_talk {
│ │ │ │ -  package { 'talk':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_talk_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure talk is removed
│ │ │ │    package:
│ │ │ │      name: talk
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_talk_removed</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_talk_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_talk
│ │ │ │ +
│ │ │ │ +class remove_talk {
│ │ │ │ +  package { 'talk':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_talk_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove talk
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on talk. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "talk"</xccdf-1.2:fix>
│ │ │ │ @@ -53761,21 +53761,14 @@
│ │ │ │  privileged user password could be compromised.
│ │ │ │                  <html:br/>
│ │ │ │                  Removing the
│ │ │ │                  <html:code>telnet-server</html:code>
│ │ │ │                  package decreases the risk of the
│ │ │ │  telnet service's accidental (or intentional) activation.
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnet-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnet-server
│ │ │ │ -
│ │ │ │ -class remove_telnet-server {
│ │ │ │ -  package { 'telnet-server':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_telnet-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure telnet-server is removed
│ │ │ │    package:
│ │ │ │      name: telnet-server
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │ @@ -53785,14 +53778,21 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnet-server_removed</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnet-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnet-server
│ │ │ │ +
│ │ │ │ +class remove_telnet-server {
│ │ │ │ +  package { 'telnet-server':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_telnet-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove telnet-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnet-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnet-server"</xccdf-1.2:fix>
│ │ │ │ @@ -53829,35 +53829,35 @@
│ │ │ │                  protocol is insecure and unencrypted. The use
│ │ │ │  of an unencrypted transmission medium could allow an unauthorized user
│ │ │ │  to steal credentials. The
│ │ │ │                  <html:code>ssh</html:code>
│ │ │ │                  package provides an
│ │ │ │  encrypted session and stronger security and is included in Debian 12.
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnet_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnet
│ │ │ │ -
│ │ │ │ -class remove_telnet {
│ │ │ │ -  package { 'telnet':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_telnet_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure telnet is removed
│ │ │ │    package:
│ │ │ │      name: telnet
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-171-3.1.13
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnet_removed</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnet_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnet
│ │ │ │ +
│ │ │ │ +class remove_telnet {
│ │ │ │ +  package { 'telnet':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_telnet_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove telnet
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnet. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnet"</xccdf-1.2:fix>
│ │ │ │ @@ -53989,21 +53989,14 @@
│ │ │ │                  <html:br/>
│ │ │ │                  <html:br/>
│ │ │ │                  If TFTP is required for operational support (such as transmission of router
│ │ │ │  configurations), its use must be documented with the Information Systems
│ │ │ │  Securty Manager (ISSM), restricted to only authorized personnel, and have
│ │ │ │  access control rules established.
│ │ │ │                </xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_tftp-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_tftp-server
│ │ │ │ -
│ │ │ │ -class remove_tftp-server {
│ │ │ │ -  package { 'tftp-server':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_tftp-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure tftp-server is removed
│ │ │ │    package:
│ │ │ │      name: tftp-server
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │ @@ -54012,14 +54005,21 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_tftp-server_removed</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_tftp-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_tftp-server
│ │ │ │ +
│ │ │ │ +class remove_tftp-server {
│ │ │ │ +  package { 'tftp-server':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_tftp-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove tftp-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on tftp-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "tftp-server"</xccdf-1.2:fix>
│ │ │ │ @@ -54045,34 +54045,34 @@
│ │ │ │                <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000074-GPOS-00042</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R62</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.4</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>It is recommended that TFTP be removed, unless there is a specific need
│ │ │ │  for TFTP (such as a boot server). In that case, use extreme caution when configuring
│ │ │ │  the services.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_tftp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_tftp
│ │ │ │ -
│ │ │ │ -class remove_tftp {
│ │ │ │ -  package { 'tftp':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_tftp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure tftp is removed
│ │ │ │    package:
│ │ │ │      name: tftp
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_tftp_removed</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_tftp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_tftp
│ │ │ │ +
│ │ │ │ +class remove_tftp {
│ │ │ │ +  package { 'tftp':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_tftp_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove tftp
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on tftp. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "tftp"</xccdf-1.2:fix>
│ │ │ │ @@ -54110,34 +54110,34 @@
│ │ │ │                  <html:pre>$ apt-get remove snmp</html:pre>
│ │ │ │                </xccdf-1.2:description>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.4</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>If there is no need to run SNMP server software,
│ │ │ │  removing the package provides a safeguard against its
│ │ │ │  activation.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_net-snmp
│ │ │ │ -
│ │ │ │ -class remove_net-snmp {
│ │ │ │ -  package { 'net-snmp':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure net-snmp is removed
│ │ │ │    package:
│ │ │ │      name: net-snmp
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_net-snmp_removed
│ │ │ │    - unknown_severity</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_net-snmp
│ │ │ │ +
│ │ │ │ +class remove_net-snmp {
│ │ │ │ +  package { 'net-snmp':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove net-snmp
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on net-snmp. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "net-snmp"</xccdf-1.2:fix>
│ │ │ │ @@ -54156,24 +54156,14 @@
│ │ │ │                  service can be disabled with the following command:
│ │ │ │                  <html:pre>$ sudo systemctl mask --now snmpd.service</html:pre>
│ │ │ │                </xccdf-1.2:description>
│ │ │ │                <xccdf-1.2:reference href="https://www.cyber.gov.au/acsc/view-all-content/ism">1311</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>Running SNMP software provides a network-based avenue of attack, and
│ │ │ │  should be disabled if not needed.</xccdf-1.2:rationale>
│ │ │ │                <xccdf-1.2:platform idref="#package_snmpd_and_system_with_kernel"/>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_snmpd_disabled">[customizations.services]
│ │ │ │ -masked = ["snmpd"]</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_snmpd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_snmpd
│ │ │ │ -
│ │ │ │ -class disable_snmpd {
│ │ │ │ -  service {'snmpd':
│ │ │ │ -    enable =&gt; false,
│ │ │ │ -    ensure =&gt; 'stopped',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_snmpd_disabled" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -54244,14 +54234,24 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_snmpd_disabled</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_snmpd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_snmpd
│ │ │ │ +
│ │ │ │ +class disable_snmpd {
│ │ │ │ +  service {'snmpd':
│ │ │ │ +    enable =&gt; false,
│ │ │ │ +    ensure =&gt; 'stopped',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_snmpd_disabled">[customizations.services]
│ │ │ │ +masked = ["snmpd"]</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_snmpd_disabled:def:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │                <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                  <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_snmpd_disabled_ocil:questionnaire:1"/>
│ │ │ │                </xccdf-1.2:check>
│ │ │ │              </xccdf-1.2:Rule>
│ │ │ │ @@ -54517,24 +54517,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000423-GPOS-00187</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000424-GPOS-00188</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000425-GPOS-00189</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000426-GPOS-00190</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>Without protection of the transmitted information, confidentiality, and
│ │ │ │  integrity may be compromised because unprotected communications can be
│ │ │ │  intercepted and either read or altered.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_openssh-server_installed">[[packages]]
│ │ │ │ -name = "openssh-server"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_openssh-server
│ │ │ │ -
│ │ │ │ -class install_openssh-server {
│ │ │ │ -  package { 'openssh-server':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_openssh-server_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -54552,14 +54542,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_openssh-server_installed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_openssh-server
│ │ │ │ +
│ │ │ │ +class install_openssh-server {
│ │ │ │ +  package { 'openssh-server':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_openssh-server_installed">[[packages]]
│ │ │ │ +name = "openssh-server"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_openssh-server_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "openssh-server"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -54582,21 +54582,14 @@
│ │ │ │                <html:code>openssh-server</html:code>
│ │ │ │                package can be removed with the following command:
│ │ │ │                <html:pre>$ apt-get remove openssh-server</html:pre>
│ │ │ │              </xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:rationale>Without protection of the transmitted information, confidentiality, and
│ │ │ │  integrity may be compromised because unprotected communications can be
│ │ │ │  intercepted and either read or altered.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_openssh-server
│ │ │ │ -
│ │ │ │ -class remove_openssh-server {
│ │ │ │ -  package { 'openssh-server':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_openssh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -54612,14 +54605,21 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_openssh-server_removed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_openssh-server
│ │ │ │ +
│ │ │ │ +class remove_openssh-server {
│ │ │ │ +  package { 'openssh-server':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_openssh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove openssh-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on openssh-server. Execute this
│ │ │ │ @@ -54645,24 +54645,14 @@
│ │ │ │  This is unusual, as SSH is a common method for encrypted and authenticated
│ │ │ │  remote access.</xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-3(6)</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">IA-2(4)</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=container-platform">SRG-APP-000185-CTR-000490</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=container-platform">SRG-APP-000141-CTR-000315</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale/>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_sshd_disabled">[customizations.services]
│ │ │ │ -masked = ["sshd"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_sshd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_sshd
│ │ │ │ -
│ │ │ │ -class disable_sshd {
│ │ │ │ -  service {'sshd':
│ │ │ │ -    enable =&gt; false,
│ │ │ │ -    ensure =&gt; 'stopped',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_sshd_disabled" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-3(6)
│ │ │ │    - NIST-800-53-IA-2(4)
│ │ │ │    - disable_strategy
│ │ │ │ @@ -54739,14 +54729,24 @@
│ │ │ │    - NIST-800-53-IA-2(4)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_sshd_disabled</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_sshd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_sshd
│ │ │ │ +
│ │ │ │ +class disable_sshd {
│ │ │ │ +  service {'sshd':
│ │ │ │ +    enable =&gt; false,
│ │ │ │ +    ensure =&gt; 'stopped',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_sshd_disabled">[customizations.services]
│ │ │ │ +masked = ["sshd"]</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_sshd_disabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_sshd_disabled_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -55512,22 +55512,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-2.2.4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R50</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.6</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>If an unauthorized user obtains the private SSH host key file, the host could be
│ │ │ │  impersonated.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_private_key">include ssh_private_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_private_key_perms {
│ │ │ │ -  exec { 'sshd_priv_key':
│ │ │ │ -    command =&gt; "chmod 0640 /etc/ssh/*_key",
│ │ │ │ -    path    =&gt; '/bin:/usr/bin'
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="file_permissions_sshd_private_key" complexity="low" disruption="low" reboot="false" strategy="configure">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-171-3.1.13
│ │ │ │    - NIST-800-171-3.13.10
│ │ │ │    - NIST-800-53-AC-17(a)
│ │ │ │ @@ -55586,14 +55578,22 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - configure_strategy
│ │ │ │    - file_permissions_sshd_private_key
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_private_key">include ssh_private_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_private_key_perms {
│ │ │ │ +  exec { 'sshd_priv_key':
│ │ │ │ +    command =&gt; "chmod 0640 /etc/ssh/*_key",
│ │ │ │ +    path    =&gt; '/bin:/usr/bin'
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="file_permissions_sshd_private_key"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  for keyfile in /etc/ssh/*_key; do
│ │ │ │      test -f "$keyfile" || continue
│ │ │ │      if test root:root = "$(stat -c "%U:%G" "$keyfile")"; then
│ │ │ │ @@ -55684,22 +55684,14 @@
│ │ │ │              <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-2.2.4</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R50</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.6</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │              <xccdf-1.2:rationale>If a public host key file is modified by an unauthorized user, the SSH service
│ │ │ │  may be compromised.</xccdf-1.2:rationale>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_pub_key">include ssh_public_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_public_key_perms {
│ │ │ │ -  exec { 'sshd_pub_key':
│ │ │ │ -    command =&gt; "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ -    path    =&gt; '/bin:/usr/bin'
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="file_permissions_sshd_pub_key" complexity="low" disruption="low" reboot="false" strategy="configure">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-171-3.1.13
│ │ │ │    - NIST-800-171-3.13.10
│ │ │ │    - NIST-800-53-AC-17(a)
│ │ │ │ @@ -55758,14 +55750,22 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - configure_strategy
│ │ │ │    - file_permissions_sshd_pub_key
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_pub_key">include ssh_public_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_public_key_perms {
│ │ │ │ +  exec { 'sshd_pub_key':
│ │ │ │ +    command =&gt; "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ +    path    =&gt; '/bin:/usr/bin'
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="file_permissions_sshd_pub_key" complexity="low" disruption="low" reboot="false" strategy="configure"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  find -L /etc/ssh/ -maxdepth 1 -perm /u+xs,g+xws,o+xwt  -type f -regextype posix-extended -regex '^.*\.pub$' -exec chmod u-xs,g-xws,o-xwt {} \;
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -61646,24 +61646,14 @@
│ │ │ │            <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000392-GPOS-00172</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000475-GPOS-00220</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R33</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R73</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.2.1</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.2</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>The auditd service is an access monitoring and accounting daemon, watching system calls to audit any access, in comparison with potential local access control policy such as SELinux policy.</xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_audit_installed">[[packages]]
│ │ │ │ -name = "auditd"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_audit_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_auditd
│ │ │ │ -
│ │ │ │ -class install_auditd {
│ │ │ │ -  package { 'auditd':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_audit_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AC-7(a)
│ │ │ │    - NIST-800-53-AU-12(2)
│ │ │ │    - NIST-800-53-AU-14
│ │ │ │ @@ -61699,14 +61689,24 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_audit_installed</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_audit_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_auditd
│ │ │ │ +
│ │ │ │ +class install_auditd {
│ │ │ │ +  package { 'auditd':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_audit_installed">[[packages]]
│ │ │ │ +name = "auditd"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_audit_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "auditd"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -61925,24 +61925,14 @@
│ │ │ │              <html:br/>
│ │ │ │              Additionally, a properly configured audit subsystem ensures that actions of
│ │ │ │  individual system users can be uniquely traced to those users so they
│ │ │ │  can be held accountable for their actions.
│ │ │ │            </xccdf-1.2:rationale>
│ │ │ │            <xccdf-1.2:platform idref="#package_audit"/>
│ │ │ │            <xccdf-1.2:requires idref="xccdf_org.ssgproject.content_rule_package_audit_installed"/>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_auditd_enabled">[customizations.services]
│ │ │ │ -enabled = ["auditd"]</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_auditd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_auditd
│ │ │ │ -
│ │ │ │ -class enable_auditd {
│ │ │ │ -  service {'auditd':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_auditd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - CJIS-5.4.1.1
│ │ │ │    - NIST-800-171-3.3.1
│ │ │ │    - NIST-800-171-3.3.2
│ │ │ │ @@ -62003,14 +61993,24 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_auditd_enabled</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_auditd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_auditd
│ │ │ │ +
│ │ │ │ +class enable_auditd {
│ │ │ │ +  service {'auditd':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_auditd_enabled">[customizations.services]
│ │ │ │ +enabled = ["auditd"]</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_auditd_enabled:def:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │            <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_auditd_enabled_ocil:questionnaire:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │          </xccdf-1.2:Rule>
│ │ │ │ @@ -140539,11989 +140539,12141 @@
│ │ │ │        <ocil:generator>
│ │ │ │          <ocil:product_name>build_shorthand.py from SCAP Security Guide</ocil:product_name>
│ │ │ │          <ocil:product_version>ssg: 0.1.76</ocil:product_version>
│ │ │ │          <ocil:schema_version>2.0</ocil:schema_version>
│ │ │ │          <ocil:timestamp>2025-03-01T08:08:00</ocil:timestamp>
│ │ │ │        </ocil:generator>
│ │ │ │        <ocil:questionnaires>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_stig_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │ -          <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ -          </ocil:actions>
│ │ │ │ -        </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_security_writable_hooks_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable mutable hooks</ocil:title>
│ │ │ │ -          <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1</ocil:test_action_ref>
│ │ │ │ -          </ocil:actions>
│ │ │ │ -        </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-aide_periodic_checking_systemd_timer_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Systemd Timer Execution of AIDE</ocil:title>
│ │ │ │ -          <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-aide_periodic_checking_systemd_timer_action:testaction:1</ocil:test_action_ref>
│ │ │ │ -          </ocil:actions>
│ │ │ │ -        </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_crypttab_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /etc/crypttab File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_sudoers_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /etc/sudoers File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_crypttab_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_sudoers_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_0_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set SSH Client Alive Count Max to zero</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_nosmap_argument_absent_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure SMAP is not disabled during boot</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_0_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_net-snmp_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall net-snmp Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-account_use_centralized_automated_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Use Centralized and Automated Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_net-snmp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-account_use_centralized_automated_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_limit_user_access_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Limit Users' SSH Access</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-dir_system_commands_group_root_owned_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that system commands directories have root as a group owner</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_limit_user_access_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-dir_system_commands_group_root_owned_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_sshd_config_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Owner on SSH Server config file</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_regular_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Kernel Parameter to Enforce DAC on Regular files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_sshd_config_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_regular_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-selinux_not_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure SELinux is Not Disabled</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_sestatus_conf_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions On /etc/sestatus.conf File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-selinux_not_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_sestatus_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_action_mail_acct_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd mail_acct Action on Low Disk Space</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_time_settimeofday_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record attempts to alter time through settimeofday</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_time_settimeofday_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set number of Password Hashing Rounds - password-auth</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_use_priv_separation_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Use of Privilege Separation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_unix_rounds_password_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_use_priv_separation_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_disable_recovery_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Recovery Booting</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_deny_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Lock Accounts After Failed Password Attempts</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_disable_recovery_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_deny_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_owner_etc_selinux_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /etc/selinux Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_notifiers_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable checks on notifier call chains</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_owner_etc_selinux_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_notifiers_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_minimum_age_login_defs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Password Minimum Age</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_messages_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on /var/log/messages File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_net_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_user_dot_group_ownership_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>User Initialization Files Must Be Group-Owned By The Primary Group</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_user_dot_group_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_stackprotector_strong_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Strong Stack Protector</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_idle_timeout_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set SSH Client Alive Interval</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_stackprotector_strong_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_idle_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmod_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmod</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-no_direct_root_logins_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Direct root Logins Not Allowed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-no_direct_root_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_ypserv_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall ypserv Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>zero-init everything passed by reference</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_ypserv_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_unmap_kernel_at_el0_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Unmap kernel when running in userspace (aka KAISER)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns group File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_proc_kcore_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable support for /proc/kkcore</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_poweroff_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - poweroff</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_proc_kcore_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_telnet_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Remove telnet Clients</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_rekey_limit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Force frequent session key renegotiation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_telnet_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_rekey_limit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-no_all_squash_exports_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure All-Squashing Disabled On All Exports</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Sending and Accepting Shared Media Redirects for All IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-no_all_squash_exports_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Denying Router Solicitations on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_setroubleshoot-server_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall setroubleshoot-server Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_setroubleshoot-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_nosmap_argument_absent_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure SMAP is not disabled during boot</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-dir_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that System Executable Directories Have Restrictive Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-dir_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_home_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /home Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-gid_passwd_group_same_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>All GIDs referenced in /etc/passwd must be defined in /etc/group</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_home_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-gid_passwd_group_same_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-dir_perms_world_writable_root_owned_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure All World-Writable Directories Are Owned by root User</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_panic_timeout_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Kernel panic timeout</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-dir_perms_world_writable_root_owned_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_panic_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_perf_event_paranoid_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disallow kernel profiling by unprivileged users</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_stig_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_perf_event_paranoid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Auto Configuration on All IPv6 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Limit CPU consumption of the Perf system</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_files_permissions_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure System Log Files Have Correct Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_var_log_nosuid_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add nosuid Option to /var/log</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_files_permissions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_var_log_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns passwd File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Public Key Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_shells_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on /etc/shells File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_remote_tls_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure TLS for rsyslog remote logging</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_shells_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_remote_tls_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_sysrq_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disallow magic SysRq key</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_ipsec_secrets_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /etc/ipsec.secrets File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_sysrq_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_ipsec_secrets_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_page_alloc_shuffle_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable randomization of the page allocator</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on gshadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_page_alloc_shuffle_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-prefer_64bit_os_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Prefer to use a 64-bit Operating System when supported</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_sudoersd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /etc/sudoers.d Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-prefer_64bit_os_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_sudoersd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_all_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable automatic signing of all modules</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects File Deletion Events by User - unlinkat</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_all_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_kptr_restrict_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Restrict Exposed Kernel Pointer Addresses Access</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-dir_system_commands_root_owned_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that system commands directories have root ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-dir_system_commands_root_owned_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_fifos_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Kernel Parameter to Enforce DAC on FIFOs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable X11 Forwarding</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_fifos_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_time_settimeofday_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record attempts to alter time through settimeofday</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_core_bpf_jit_harden_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Harden the operation of the BPF just-in-time compiler</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_time_settimeofday_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_core_bpf_jit_harden_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_opasswd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify User/Group Information - /etc/security/opasswd</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_opasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_var_tmp_noexec_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add noexec Option to /var/tmp</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_max_sessions_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set SSH MaxSessions limit</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_var_tmp_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_max_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_binfmt_misc_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable kernel support for MISC binaries</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_chronyd_or_ntpd_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable the NTP Daemon</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_binfmt_misc_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_chronyd_or_ntpd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_ip_forward_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Kernel Parameter for IP Forwarding on IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_talk-server_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall talk-server Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_ip_forward_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_talk-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_cron_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Install the cron service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_rsyslog_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure rsyslog is Installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_cron_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_rsyslog_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable GSSAPI Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Denying Router Solicitations on All IPv6 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-no_empty_passwords_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Prevent Login to Accounts With Empty Password</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmod_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmod</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-no_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_memory_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Randomize the kernel memory sections</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_add_use_pty_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo use_pty</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_memory_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_add_use_pty_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_x86_vsyscall_emulation_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable x86 vsyscall emulation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_user_dot_user_ownership_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>User Initialization Files Must Be Owned By the Primary User</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_user_dot_user_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable GSSAPI Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Drop Gratuitious ARP frames on All IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_pam_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable PAM</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_vsyscall_emulate_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable vsyscall emulation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_pam_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_vsyscall_emulate_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable module signature verification</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_var_log_noexec_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add noexec Option to /var/log</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_var_log_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_audispd_syslog_plugin_activated_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd to use audispd's syslog plugin</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_efi_user_cfg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify /boot/grub2/user.cfg Group Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_efi_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lremovexattr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lremovexattr</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_owner_etc_sudoersd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /etc/sudoers.d Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_tmp_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Polyinstantiation of /tmp Directories</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_owner_etc_sudoersd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_setroubleshoot-server_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall setroubleshoot-server Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_media_export_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on Exporting to Media (successful)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_setroubleshoot-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_media_export_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_shutdown_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - shutdown</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_postfix_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>The Postfix package is installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_postfix_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_bug_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable support for BUG()</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudoers_no_root_target_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Don't target root user in the sudoers file</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_bug_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudoers_no_root_target_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_cron_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable cron Service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_stackleak_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Poison kernel stack before returning from syscalls</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_cron_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_stackleak_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_slub_debug_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable SLUB/SLAB allocator poisoning</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on Backup shadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_slub_debug_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects File Deletion Events by User</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_filter_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable use of Berkeley Packet Filter with seccomp</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_user_dot_group_ownership_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>User Initialization Files Must Be Group-Owned By The Primary Group</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_iptables_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions On /etc/iptables Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_user_dot_group_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_iptables_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_kmod_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - kmod</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_acpi_custom_method_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Do not allow ACPI methods to be inserted/replaced at run time</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_kmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chmod_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chmod</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-chronyd_specify_remote_server_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>A remote time server for Chrony is configured</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-chronyd_specify_remote_server_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify User/Group Information - /etc/shadow</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_allow_only_protocol2_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Allow Only SSH Protocol 2</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_allow_only_protocol2_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_space_left_action_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd space_left Action on Low Disk Space</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Unsuccessful Access Attempts to Files - ftruncate</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_freq_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set number of records to cause an explicit flush to audit logs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-apparmor_configured_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure AppArmor is Active and Configured</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_freq_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-apparmor_configured_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable X11 Forwarding</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_vdsm_nopasswd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Only the VDSM User Can Use sudo NOPASSWD</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_systemmap_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on System.map Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_bug_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable support for BUG()</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_bug_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_add_use_pty_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo use_pty</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_pam_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable PAM</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_add_use_pty_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_pam_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify User/Group Information - /etc/group</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-aide_periodic_cron_checking_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Periodic Execution of AIDE</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-aide_periodic_cron_checking_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Maximum Number of Autoconfigured Addresses on All IPv6 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_enable_iommu_force_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>IOMMU configuration directive</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_enable_iommu_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Kernel panic oops</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure ARP filtering for All IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_write_logs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Write Audit Logs to the Disk</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_systemd-journald_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable systemd-journald Service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_write_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_systemd-journald_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on /var/log Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_sudoers_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions On /etc/sudoers File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_sudoers_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_audit_configuration_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Audit Configuration Files Permissions are 640 or More Restrictive</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Denying Router Solicitations on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_fs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable kernel debugfs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_login_grace_time_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure SSH LoginGraceTime is configured</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_fs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_login_grace_time_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-account_unique_name_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure All Accounts on the System Have Unique Names</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_strictmodes_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Use of Strict Mode Checking</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-account_unique_name_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_strictmodes_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_delete_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on Kernel Module Unloading - delete_module</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure System to Forward All Mail From Postmaster to The Root Account</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_var_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /var Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_immutable_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Make the auditd Configuration Immutable</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_var_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_immutable_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Kernel Parameter for Sending ICMP Redirects on all IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-snmpd_not_default_password_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Default SNMP Password Is Not Used</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-snmpd_not_default_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_selinux_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /etc/selinux Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on Backup group File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_selinux_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_forward_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Default iptables Policy for Forwarded Packets</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_log_format_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Resolve information before writing to audit logs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_forward_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_log_format_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_shells_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Who Owns /etc/shells File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_tmout_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Interactive Session Timeout</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_shells_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_tmout_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure ARP filtering for All IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_memory_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Randomize the kernel memory sections</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_memory_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_user_cfg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify /boot/grub/user.cfg Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Audit Configuration Files Must Be Owned By Group root</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_wx_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Warn on W+X mappings found at boot</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that Shared Library Files Have Restrictive Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_wx_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_sshd_config_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns SSH Server config file</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_usr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /usr Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_sshd_config_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_usr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_ipsecd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions On /etc/ipsec.d Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that System Executables Have Restrictive Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_ipsecd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns gshadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-logind_session_timeout_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Logind to terminate idle sessions after certain time of inactivity</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-logind_session_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_kea_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall kea Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-no_empty_passwords_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Prevent Login to Accounts With Empty Password</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_kea_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-no_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_modules_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable loading and unloading of kernel modules</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_cron_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable cron Service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_modules_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_cron_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that System Executables Have Root Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_ia32_emulation_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable IA32 emulation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_ia32_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on all IPv6 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_ypserv_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall ypserv Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_ypserv_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_time_watch_localtime_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Attempts to Alter the localtime File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_opasswd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify User/Group Information - /etc/security/opasswd</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_opasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_stig_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_openssh-server_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Install the OpenSSH Server Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_openssh-server_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_postfix_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>The Postfix package is installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_compat_vdso_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable the 32-bit vDSO</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_postfix_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_compat_vdso_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns gshadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-selinux_not_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure SELinux is Not Disabled</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-selinux_not_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Rsyslog Authenticates Off-Loaded Audit Records</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_retry_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure PAM Enforces Password Requirements - Authentication Retry Prompts Permitted Per-Session</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_retry_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_sudo_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - sudo</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_x86_vsyscall_emulation_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable x86 vsyscall emulation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_sudo_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_unix_remember_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Limit Password Reuse</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns gshadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_unix_remember_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_var_log_audit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /var/log/audit Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_crypttab_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions On /etc/crypttab File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_crypttab_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_list_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable checks on linked list manipulation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Accepting ICMP Redirects for All IPv6 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_list_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_page_poison_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable page allocator poisoning</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_ufw_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify ufw Enabled</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_page_poison_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_ufw_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_ip6tables_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify ip6tables Enabled if Using IPv6</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns passwd File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_ip6tables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_num_logs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd Number of Logs Retained</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_users_home_files_groupownership_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>All User Files and Directories In The Home Directory Must Be Group-Owned By The Primary Group</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_num_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_users_home_files_groupownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-dir_perms_world_writable_sticky_bits_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that All World-Writable Directories Have Sticky Bits Set</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_remove_no_authenticate_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo !authenticate</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_remove_no_authenticate_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_users_home_files_permissions_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>All User Files and Directories In The Home Directory Must Have Mode 0750 Or Less Permissive</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_minlen_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Length</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_users_home_files_permissions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_minlen_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Audit Configuration Files Must Be Owned By Group root</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_ipsec_conf_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /etc/ipsec.conf File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_ipsec_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Accepting Router Preference in Router Advertisements on All IPv6 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure System to Forward All Mail For The Root Account</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on IPv4 Interfaces by Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_selinux_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions On /etc/selinux Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_ntp_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Install the ntp service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_selinux_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_ntp_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_allow_only_protocol2_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Allow Only SSH Protocol 2</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_efi_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify the UEFI Boot Loader grub.cfg User Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_allow_only_protocol2_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_efi_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_users_home_files_ownership_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>All User Files and Directories In The Home Directory Must Have a Valid Owner</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_rsh-server_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall rsh-server Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_users_home_files_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_rsh-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_finit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading - finit_module</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-aide_scan_notification_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Notification of Post-AIDE Scan Details</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-aide_scan_notification_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_spectre_v2_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enforce Spectre v2 mitigation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-set_ip6tables_default_rule_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Default ip6tables Policy for Incoming Packets</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_spectre_v2_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-set_ip6tables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudoers_explicit_command_args_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Explicit arguments in sudo specifications</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupownership_system_commands_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that system commands files are group owned by root or a system account</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudoers_explicit_command_args_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupownership_system_commands_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Generate some entropy during boot and runtime</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_profile_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure the Default Umask is Set Correctly in /etc/profile</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_latent_entropy_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_profile_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_init_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on Kernel Module Loading - init_module</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_0_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set SSH Client Alive Count Max to zero</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_0_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_permissions_var_log_audit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>System Audit Logs Must Have Mode 0750 or Less Permissive</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-chronyd_server_directive_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Chrony is only configured with the server directive</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_permissions_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-chronyd_server_directive_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable PubkeyAuthentication Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rename_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects File Deletion Events by User - rename</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_ntp_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable the NTP Daemon</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_ntp_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH Support for .rhosts Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns group File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_kexec_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable kexec system call</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Accepting Router Preference in Router Advertisements on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_kexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_set_max_life_root_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Root Account Password Maximum Age</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_structleak_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Force initialization of variables containing userspace addresses</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_set_max_life_root_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_structleak_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_faillock_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Attempts to Alter Logon and Logout Events - faillock</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_overflow_action_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Appropriate Action Must be Setup When the Internal Audit Event Queue is Full</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_faillock_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_overflow_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_telnet-server_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall telnet-server Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_tallylog_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Attempts to Alter Logon and Logout Events - tallylog</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_telnet-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Kernel panic on oops</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Kernel Parameter for Accepting Secure Redirects By Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permission_user_init_files_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure All User Initialization Files Have Mode 0740 Or Less Permissive</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_init_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - init</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permission_user_init_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on all IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_limit_user_access_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Limit Users' SSH Access</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_limit_user_access_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_reboot_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - reboot</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_info_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set LogLevel to INFO</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_reboot_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_info_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_syslogng_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable syslog-ng Service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_owner_etc_nftables_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /etc/nftables Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_syslogng_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_owner_etc_nftables_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_talk_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall talk Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_unauthorized_world_writable_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure No World-Writable Files Exist</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_talk_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Drop Gratuitious ARP frames on All IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Accepting Prefix Information in Router Advertisements on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_users_home_files_groupownership_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>All User Files and Directories In The Home Directory Must Be Group-Owned By The Primary Group</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that System Executables Have Root Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_users_home_files_groupownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable seccomp to safely compute untrusted bytecode</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_crypttab_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /etc/crypttab File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_crypttab_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable IPv6 Addressing on All IPv6 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable GSSAPI Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-dir_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that Shared Library Directories Have Root Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_fs_suid_dumpable_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Core Dumps for SUID programs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-dir_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_boot_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /boot Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_sshd_config_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns SSH Server config file</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_boot_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_sshd_config_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_info_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set LogLevel to INFO</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_ownership_var_log_audit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>System Audit Logs Must Be Owned By Root</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_info_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_ownership_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_systemmap_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns System.map Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-harden_ssh_client_crypto_policy_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Harden SSH client Crypto Policy</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_aide_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Install AIDE</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_devkmem_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable /dev/kmem virtual device support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_aide_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_devkmem_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_ipsec_secrets_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /etc/ipsec.secrets File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_retpoline_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Avoid speculative indirect branches in kernel</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_ipsec_secrets_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_retpoline_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-selinux_state_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure SELinux State is Enforcing</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /var/log/syslog File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-selinux_state_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify /boot/grub/grub.cfg Group Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_var_nosuid_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add nosuid Option to /var</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_var_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_crypttab_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /etc/crypttab File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_modify_ldt_syscall_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable the LDT (local descriptor table)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_crypttab_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_modify_ldt_syscall_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /var/log/messages File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on /var/log/syslog File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_renameat_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects File Deletion Events by User - renameat</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_owner_etc_iptables_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /etc/iptables Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_owner_etc_iptables_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_var_log_nosuid_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add nosuid Option to /var/log</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-aide_verify_acls_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure AIDE to Verify Access Control Lists (ACLs)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_var_log_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-aide_verify_acls_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that Shared Library Files Have Root Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_tftp_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Remove tftp Daemon</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_tftp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-account_use_centralized_automated_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Use Centralized and Automated Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Kernel Parameter for Accepting ICMP Redirects by Default on IPv6 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-account_use_centralized_automated_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable poison of pages after freeing</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-display_login_attempts_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure PAM Displays Last Logon/Access Notification</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-display_login_attempts_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns group File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_security_writable_hooks_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable mutable hooks</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that System Executables Have Restrictive Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Kernel panic on oops</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_user_cfg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify /boot/grub/user.cfg User Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_sudoers_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /etc/sudoers File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_sudoers_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_dhcp_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall DHCP Server Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_custom_logfile_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Sudo Logfile Exists - sudo logfile</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_dhcp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_custom_logfile_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Accepting Default Router in Router Advertisements on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_syn_cookies_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable TCP/IP syncookie support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_syn_cookies_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_compat_brk_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable compatibility with brk()</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_home_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /home Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_compat_brk_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_home_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_devkmem_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable /dev/kmem virtual device support</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_stackprotector_strong_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Strong Stack Protector</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_devkmem_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_stackprotector_strong_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_proc_kcore_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable support for /proc/kkcore</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_proc_kcore_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_usr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /usr Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on all IPv6 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_usr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_modify_ldt_syscall_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable the LDT (local descriptor table)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_minimum_age_login_defs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Password Minimum Age</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_modify_ldt_syscall_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_ungroupowned_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure All Files Are Owned by a Group</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_ipsec_conf_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions On /etc/ipsec.conf File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_ungroupowned_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_ipsec_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_rsyslog_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure rsyslog is Installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_MFEhiplsm_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Install the Host Intrusion Prevention System (HIPS) Module</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_rsyslog_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_MFEhiplsm_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_all_shadowed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify All Account Password Hashes are Shadowed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_empty_passwords_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH Access via Empty Passwords</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_all_shadowed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns Backup shadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_chrony_keys_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /etc/chrony.keys File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_chrony_keys_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_ip_local_port_range_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Kernel Parameter to Increase Local Port Range</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_root_password_login_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH root Login with a Password (Insecure)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_ip_local_port_range_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_root_password_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_enable_iommu_force_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>IOMMU configuration directive</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount2_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount2</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_enable_iommu_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-aide_periodic_cron_checking_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Periodic Execution of AIDE</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on all IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-aide_periodic_cron_checking_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on /var/log/syslog File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_hardened_usercopy_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Harden memory copies between kernel and userspace</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_hardened_usercopy_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_mds_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Microarchitectural Data Sampling mitigation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_sysrq_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disallow magic SysRq key</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_mds_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_sysrq_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable PubkeyAuthentication Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-no_files_unowned_by_user_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure All Files Are Owned by a User</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-no_files_unowned_by_user_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_auditd_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable auditd Service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_files_groupownership_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Log Files Are Owned By Appropriate Group</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_auditd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_files_groupownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_tmp_noexec_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add noexec Option to /tmp</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudoers_no_command_negation_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Don't define allowed commands in sudoers by means of exclusion</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_tmp_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudoers_no_command_negation_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-security_patches_up_to_date_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Software Patches Installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_vsyscall_none_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable vsyscall mapping</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-security_patches_up_to_date_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_vsyscall_none_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_mce_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Force kernel panic on uncorrected MCEs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Limit sampling frequency of the Perf system</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_mce_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_slab_nomerge_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable merging of slabs with similar size</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chmod_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chmod</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_no_uid_except_zero_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Only Root Has UID 0</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_no_uid_except_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-dir_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that System Executable Directories Have Restrictive Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-coredump_disable_backtraces_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable core dump backtraces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-dir_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-coredump_disable_backtraces_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /var/log/syslog File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /var/log/messages File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-no_files_unowned_by_user_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure All Files Are Owned by a User</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-no_all_squash_exports_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure All-Squashing Disabled On All Exports</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-no_files_unowned_by_user_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-no_all_squash_exports_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_randstruct_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Randomize layout of sensitive kernel structures</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns Backup shadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_randstruct_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_systemmap_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns System.map Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Prevent Routing External Traffic to Local Loopback on All IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fremovexattr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fremovexattr</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Unsuccessful Access Attempts to Files - creat</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_add_ignore_dot_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure sudo Ignores Commands In Current Dir - sudo ignore_dot</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_add_env_reset_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure sudo Runs In A Minimal Environment - sudo env_reset</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_add_ignore_dot_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_add_env_reset_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_sched_stack_end_check_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Detect stack corruption on calls to schedule()</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_delete_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on Kernel Module Unloading - delete_module</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_sched_stack_end_check_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Accepting ICMP Redirects for All IPv6 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-no_rsh_trust_files_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Remove Rsh Trust Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-no_rsh_trust_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on group File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_page_poison_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable page allocator poisoning</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_page_poison_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Sending and Accepting Shared Media Redirects for All IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_pti_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Kernel Page-Table Isolation (KPTI)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_pti_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Accepting Prefix Information in Router Advertisements on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Emulate Privileged Access Never (PAN)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on Backup shadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_verbose_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set SSH Daemon LogLevel to VERBOSE</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_stackprotector_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Stack Protector buffer overlow detection</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_ipsec_secrets_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions On /etc/ipsec.secrets File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_stackprotector_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_ipsec_secrets_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns Backup gshadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_rng_core_default_quality_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure the confidence in TPM for entropy</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_var_tmp_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /var/tmp Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_rsh_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall rsh Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_var_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_rsh_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Kernel Parameter for Sending ICMP Redirects on all IPv4 Interfaces by Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_lastlog_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Attempts to Alter Logon and Logout Events - lastlog</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_ocredit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Special Characters</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sebool_polyinstantiation_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure the polyinstantiation_enabled SELinux Boolean</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_ocredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sebool_polyinstantiation_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that Shared Library Files Have Restrictive Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_base_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Randomize the address of the kernel image (KASLR)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_base_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_syn_cookies_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable TCP/IP syncookie support</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_audispd_syslog_plugin_activated_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd to use audispd's syslog plugin</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_syn_cookies_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns passwd File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Auto Configuration on All IPv6 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Accepting Default Router in Router Advertisements on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_interval_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Interval For Counting Failed Password Attempts</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable module signature verification</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_interval_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_efi_user_cfg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify /boot/grub2/user.cfg Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_warn_age_login_defs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Password Warning Age</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_efi_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_var_tmp_nosuid_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add nosuid Option to /var/tmp</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_var_tmp_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns Backup shadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-dir_perms_world_writable_root_owned_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure All World-Writable Directories Are Owned by root User</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-dir_perms_world_writable_root_owned_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-apparmor_configured_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure AppArmor is Active and Configured</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns gshadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-apparmor_configured_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns Backup passwd File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on shadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_randomize_va_space_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Randomized Layout of Virtual Address Space</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_pam_pwquality_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Install pam_pwquality Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_pam_pwquality_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_user_cfg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify /boot/grub/user.cfg Group Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_ptys_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable legacy (BSD) PTY support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_ptys_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Accepting Default Router in Router Advertisements on All IPv6 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_pam_pwquality_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Install pam_pwquality Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_unix_remember_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Limit Password Reuse</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_pam_pwquality_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_unix_remember_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Unsuccessful Access Attempts to Files - open_by_handle_at</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_systemmap_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns System.map Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns Backup group File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_chronyd_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>The Chronyd service is enabled</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_chronyd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns shadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Kernel Parameter for Accepting Secure ICMP Redirects on all IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_user_known_hosts_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH Support for User Known Hosts</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_renameat_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects File Deletion Events by User - renameat</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-ensure_logrotate_activated_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Logrotate Runs Periodically</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchownat_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchownat</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-ensure_logrotate_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Kernel Parameter to Use Reverse Path Filtering on all IPv4 Interfaces by Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_auditd_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable auditd Service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_auditd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Default iptables Policy for Incoming Packets</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_vm_mmap_min_addr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Prevent applications from mapping low portion of virtual memory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_vm_mmap_min_addr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns Backup group File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_shells_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on /etc/shells File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_shells_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_idle_timeout_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set SSH Client Alive Interval</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_selinux_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions On /etc/selinux Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_idle_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_selinux_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on shadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_fs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable kernel debugfs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_fs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sebool_polyinstantiation_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure the polyinstantiation_enabled SELinux Boolean</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_all_shadowed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify All Account Password Hashes are Shadowed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sebool_polyinstantiation_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_all_shadowed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_tmp_nosuid_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add nosuid Option to /tmp</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_force_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Require modules to be validly signed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_tmp_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_removexattr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - removexattr</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Unsuccessful Access Attempts to Files - open_by_handle_at</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_slab_freelist_hardened_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Harden slab freelist metadata</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_binfmt_misc_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable kernel support for MISC binaries</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_slab_freelist_hardened_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_binfmt_misc_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_max_sessions_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set SSH MaxSessions limit</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_wx_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Warn on W+X mappings found at boot</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_max_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_wx_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_owner_etc_iptables_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /etc/iptables Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rmdir_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects File Deletion Events by User - rmdir</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_owner_etc_iptables_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure System to Forward All Mail For The Root Account</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_cron_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Install the cron service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_cron_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-no_netrc_files_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify No netrc Files Exist</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-no_netrc_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlink_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects File Deletion Events by User - unlink</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_admin_space_left_action_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd admin_space_left Action on Low Disk Space</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Auto Configuration on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_num_logs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd Number of Logs Retained</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_num_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Access to Network bpf() Syscall From Unprivileged Processes</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_users_home_files_permissions_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>All User Files and Directories In The Home Directory Must Have Mode 0750 Or Less Permissive</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_users_home_files_permissions_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_list_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable checks on linked list manipulation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_list_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_snmpd_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable snmpd Service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_write_logs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Write Audit Logs to the Disk</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_snmpd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_write_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_hardened_usercopy_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Harden memory copies between kernel and userspace</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_gnutls-utils_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure gnutls-utils is installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_hardened_usercopy_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_gnutls-utils_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Kernel Parameter for Accepting ICMP Redirects by Default on IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_networkconfig_modification_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Network Environment</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_insmod_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - insmod</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_insmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_vsyscall_none_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable vsyscall mapping</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_sudo_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - sudo</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_vsyscall_none_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_sudo_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_chrony_keys_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions On /etc/chrony.keys File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_user_cfg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify /boot/grub/user.cfg Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_chrony_keys_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_sshd_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH Server If Possible</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Kernel Parameter for Sending ICMP Redirects on all IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_sshd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Emulate Privileged Access Never (PAN)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_hibernation_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable hibernation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_hibernation_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-display_login_attempts_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure PAM Displays Last Logon/Access Notification</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_config_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on SSH Server config file</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-display_login_attempts_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_config_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Accepting Prefix Information in Router Advertisements on All IPv6 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_systemmap_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on System.map Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_syslogng_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure syslog-ng is Installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_sudo_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Install sudo Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_syslogng_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_sudo_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_ownership_var_log_audit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>System Audit Logs Must Be Owned By Root</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Unsuccessful Access Attempts to Files - openat</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_ownership_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /var/log/messages File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_systemmap_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns System.map Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_sysctld_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions On /etc/sysctl.d Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_tmp_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /tmp Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_sysctld_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_pti_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Kernel Page-Table Isolation (KPTI)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Kernel Parameter for Sending ICMP Redirects on all IPv4 Interfaces by Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_pti_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_owner_etc_ipsecd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /etc/ipsec.d Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_selinux_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /etc/selinux Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_owner_etc_ipsecd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_selinux_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_openssh-server_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Install the OpenSSH Server Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns Backup passwd File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_openssh-server_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Kernel Parameter to Use Reverse Path Filtering on all IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_symlinks_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Kernel Parameter to Enforce DAC on Symlinks</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_sudoers_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /etc/sudoers File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nodev_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add nodev Option to /dev/shm</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_sudoers_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_bug_on_data_corruption_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Trigger a kernel BUG when data corruption is detected</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-set_password_hashing_algorithm_logindefs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Password Hashing Algorithm in /etc/login.defs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_bug_on_data_corruption_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-set_password_hashing_algorithm_logindefs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_empty_passwords_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH Access via Empty Passwords</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_disable_recovery_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Recovery Booting</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_disable_recovery_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Specify module signing key to use</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_aide_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Install AIDE</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_aide_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_sudo_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Install sudo Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_usr_share_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Mandatory Access Controls in usr/share</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_sudo_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudoers_no_command_negation_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Don't define allowed commands in sudoers by means of exclusion</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_home_noexec_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add noexec Option to /home</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudoers_no_command_negation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_home_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_regular_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Kernel Parameter to Enforce DAC on Regular files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_security_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable different security models</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_regular_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_security_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_unauthorized_world_writable_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure No World-Writable Files Exist</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_mce_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Force kernel panic on uncorrected MCEs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_mce_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_efi_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify the UEFI Boot Loader grub.cfg Group Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fsetxattr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fsetxattr</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_efi_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_sg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable checks on scatter-gather (SG) table operations</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_add_requiretty_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo requiretty</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_sg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_add_requiretty_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Accepting Packets Routed Between Local Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd Max Log File Size</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns group File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_max_auth_tries_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set SSH authentication attempt limit</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_max_auth_tries_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_symlinks_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Kernel Parameter to Enforce DAC on Symlinks</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_syslogng_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure syslog-ng is Installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_syslogng_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_stackleak_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Poison kernel stack before returning from syscalls</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-dir_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that Shared Library Directories Have Restrictive Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_stackleak_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-dir_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify /boot/grub/grub.cfg Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_xinetd_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall xinetd Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_xinetd_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_vdsm_nopasswd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Only the VDSM User Can Use sudo NOPASSWD</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_syslogng_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable syslog-ng Service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_syslogng_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nodev_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add nodev Option to /dev/shm</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_var_tmp_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Polyinstantiation of /var/tmp Directories</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_l1tf_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure L1 Terminal Fault mitigations</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_mds_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Microarchitectural Data Sampling mitigation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_l1tf_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_mds_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_talk-server_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall talk-server Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_chrony_keys_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions On /etc/chrony.keys File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_talk-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_chrony_keys_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_rsa_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH Support for Rhosts RSA Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_add_umask_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure sudo umask is appropriate - sudo umask</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_add_umask_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Kernel Parameter to Use TCP RFC 1337 on IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on /var/log Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_remove_no_authenticate_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo !authenticate</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_remove_no_authenticate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_ipsec_secrets_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions On /etc/ipsec.secrets File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure debug-shell service is not enabled during boot</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_ipsec_secrets_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_tallylog_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Attempts to Alter Logon and Logout Events - tallylog</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_hardened_usercopy_fallback_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Do not allow usercopy whitelist violations to fallback to object size</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Maximum Number of Autoconfigured Addresses on All IPv6 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_hardened_usercopy_fallback_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_rsh_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall rsh Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_time_stime_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Attempts to Alter Time Through stime</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_rsh_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_time_stime_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chown_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chown</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_remove_nopasswd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo NOPASSWD</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_remove_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_refcount_full_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Perform full reference count validation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_security_yama_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Yama support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_refcount_full_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_security_yama_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Accepting Router Preference in Router Advertisements on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_space_left_action_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd space_left Action on Low Disk Space</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_tmout_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Interactive Session Timeout</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_ocredit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Special Characters</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_tmout_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_ocredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_dedicated_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure a dedicated group owns sudo</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify /boot/grub/grub.cfg User Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_dedicated_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_strict_kernel_rwx_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Make the kernel text and rodata read-only</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Kernel Parameter to Use TCP Syncookies on Network Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_strict_kernel_rwx_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_tcp_syncookies_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_dmesg_restrict_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Restrict Access to Kernel Message Buffer</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Specify module signing key to use</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_dmesg_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rmdir_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects File Deletion Events by User - rmdir</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /var/log/messages File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Denying Router Solicitations on All IPv6 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_owner_etc_sysctld_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /etc/sysctl.d Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_owner_etc_sysctld_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Limit CPU consumption of the Perf system</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-disallow_bypass_password_sudo_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disallow Configuration to Bypass Password Requirements for Privilege Escalation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-disallow_bypass_password_sudo_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_max_auth_tries_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set SSH authentication attempt limit</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_sendmail_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall Sendmail Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_max_auth_tries_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_sendmail_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_crypttab_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions On /etc/crypttab File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_bug_on_data_corruption_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Trigger a kernel BUG when data corruption is detected</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_crypttab_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_bug_on_data_corruption_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_strictmodes_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Use of Strict Mode Checking</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_l1tf_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure L1 Terminal Fault mitigations</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_strictmodes_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_l1tf_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-securetty_root_login_console_only_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Restrict Virtual Console Root Logins</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_require_authentication_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-securetty_root_login_console_only_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_require_authentication_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_boot_nosuid_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add nosuid Option to /boot</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_boot_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_last_change_is_in_past_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure all users last password change date is in the past</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_unlock_time_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Lockout Time for Failed Password Attempts</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_unlock_time_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Unauthorized Access Attempts to Files (unsuccessful)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_compat_brk_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable compatibility with brk()</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_compat_brk_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Sending and Accepting Shared Media Redirects by Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_slab_nomerge_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable merging of slabs with similar size</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_modprobe_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - modprobe</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /var/log/syslog File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_modprobe_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchown_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchown</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_local_events_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Include Local Events in Audit Logs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_local_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_var_noexec_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add noexec Option to /var</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_security_dmesg_restrict_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Restrict unprivileged access to the kernel syslog</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_var_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_lcredit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Lowercase Characters</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_efi_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify the UEFI Boot Loader grub.cfg Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_lcredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_efi_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on IPv6 Interfaces by Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_remote_tls_cacert_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure CA certificate for rsyslog remote logging</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_remote_tls_cacert_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_sestatus_conf_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions On /etc/sestatus.conf File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_modules_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable loading and unloading of kernel modules</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_sestatus_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_modules_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_ntp_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Install the ntp service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_all_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable automatic signing of all modules</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_ntp_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_all_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-no_rsh_trust_files_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Remove Rsh Trust Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_net_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-no_rsh_trust_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_tftp-server_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall tftp-server Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Accepting Packets Routed Between Local Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_tftp-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_fs_suid_dumpable_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Core Dumps for SUID programs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_max_concurrent_login_sessions_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Limit the Number of Concurrent Login Sessions Allowed Per User</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Kernel Parameter to Ignore Bogus ICMP Error Responses on IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_freq_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set number of records to cause an explicit flush to audit logs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_freq_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_nftables_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions On /etc/nftables Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_nftables_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_module_uvcvideo_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable the uvcvideo module</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_owner_etc_sudoersd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /etc/sudoers.d Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_owner_etc_sudoersd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-aide_verify_ext_attributes_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure AIDE to Verify Extended Attributes</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_logon_fail_delay_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure the Logon Failure Delay is Set Correctly in login.defs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-aide_verify_ext_attributes_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_logon_fail_delay_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_uefi_password_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set the UEFI Boot Loader Password</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_var_tmp_noexec_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add noexec Option to /var/tmp</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_uefi_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_var_tmp_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify User/Group Information</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-prefer_64bit_os_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Prefer to use a 64-bit Operating System when supported</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-prefer_64bit_os_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_spec_store_bypass_disable_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Speculative Store Bypass Mitigation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_logrotate_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure logrotate is Installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_logrotate_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_do_not_permit_user_env_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Do Not Allow SSH Environment Options</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_tcp_forwarding_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH TCP Forwarding</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_var_tmp_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Polyinstantiation of /var/tmp Directories</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_hash_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Specify the hash to use when signing modules</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_hash_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nosuid_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add nosuid Option to /dev/shm</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_root_gid_zero_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Root Has A Primary GID 0</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-dir_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that Shared Library Directories Have Root Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_root_gid_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-dir_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_ipsec_secrets_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /etc/ipsec.secrets File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_var_tmp_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /var/tmp Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_ipsec_secrets_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_var_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_ptys_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable legacy (BSD) PTY support</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-postfix_client_configure_relayhost_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure System to Forward All Mail through a specific host</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_ptys_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-postfix_client_configure_relayhost_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_files_groupownership_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Log Files Are Owned By Appropriate Group</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns passwd File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_files_groupownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set SSH Client Alive Count Max</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_forward_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Default iptables Policy for Forwarded Packets</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_forward_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-timer_logrotate_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable logrotate Timer</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_setroubleshoot-plugins_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall setroubleshoot-plugins Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-timer_logrotate_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_setroubleshoot-plugins_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_sysadmin_actions_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects System Administrator Actions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_var_log_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /var/log Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-no_empty_passwords_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure There Are No Accounts With Blank or Null Passwords</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_faillock_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Attempts to Alter Logon and Logout Events - faillock</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_faillock_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_nss-tools_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure nss-tools is installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_stig_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_nss-tools_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_vsyscall_emulate_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable vsyscall emulation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable seccomp to safely compute untrusted bytecode</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_vsyscall_emulate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_chrony_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>The Chrony package is installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_module_uvcvideo_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable the uvcvideo module</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_chrony_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-aide_build_database_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Build and Test AIDE Database</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-aide_build_database_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-aide_verify_acls_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure AIDE to Verify Access Control Lists (ACLs)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /var/log Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-aide_verify_acls_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_notifiers_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable checks on notifier call chains</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_pid_max_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure maximum number of process identifiers</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_notifiers_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_pid_max_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_unmap_kernel_at_el0_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Unmap kernel when running in userspace (aka KAISER)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_sestatus_conf_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /etc/sestatus.conf File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_finit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading - finit_module</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_sestatus_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-dir_system_commands_root_owned_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that system commands directories have root ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_randomize_va_space_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Randomized Layout of Virtual Address Space</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-dir_system_commands_root_owned_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_rsh-server_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall rsh-server Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns Backup shadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_rsh-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_add_umask_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure sudo umask is appropriate - sudo umask</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_root_login_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH Root Login</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_add_umask_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_root_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_usr_share_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Mandatory Access Controls in usr/share</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_home_nosuid_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add nosuid Option to /home</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_home_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_unlock_time_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Lockout Time for Failed Password Attempts</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_files_ownership_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Log Files Are Owned By Appropriate User</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_unlock_time_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_files_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-dir_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that Shared Library Directories Have Restrictive Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_no_sanity_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable poison without sanity check</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-dir_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-set_password_hashing_algorithm_logindefs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Password Hashing Algorithm in /etc/login.defs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_shells_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /etc/shells File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-set_password_hashing_algorithm_logindefs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_shells_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_use_priv_separation_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Use of Privilege Separation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_interval_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Interval For Counting Failed Password Attempts</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_use_priv_separation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_interval_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_owner_etc_sysctld_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /etc/sysctl.d Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_audit_configuration_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Audit Configuration Files Permissions are 640 or More Restrictive</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_owner_etc_sysctld_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_user_dot_user_ownership_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>User Initialization Files Must Be Owned By the Primary User</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_permissions_var_log_audit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>System Audit Logs Must Have Mode 0750 or Less Permissive</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_user_dot_user_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_permissions_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Kernel Parameter to Use TCP Syncookies on Network Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Kernel panic oops</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_tcp_syncookies_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_ownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Audit Configuration Files Must Be Owned By Root</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_fifos_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Kernel Parameter to Enforce DAC on FIFOs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_ownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_fifos_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_print_last_log_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable SSH Print Last Log</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_sudoersd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions On /etc/sudoers.d Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_print_last_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_sudoersd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_var_log_noexec_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add noexec Option to /var/log</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_minlen_login_defs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Password Minimum Length in login.defs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_var_log_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_password_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Boot Loader Password in grub2</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_ipsec_conf_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /etc/ipsec.conf File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_ipsec_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_dev_shm_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /dev/shm is configured</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_sysctld_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions On /etc/sysctl.d Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_dev_shm_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_sysctld_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-configure_user_data_backups_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Backups of User Data</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_kptr_restrict_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Restrict Exposed Kernel Pointer Addresses Access</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-configure_user_data_backups_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_ucredit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Uppercase Characters</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_kmod_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - kmod</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_ucredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_kmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-snmpd_not_default_password_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Default SNMP Password Is Not Used</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_module_ipv6_option_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable IPv6 Networking Support Automatic Loading</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-snmpd_not_default_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_kerb_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Kerberos Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_removexattr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - removexattr</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_kerb_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_passwd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify User/Group Information - /etc/passwd</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lsetxattr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lsetxattr</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_media_export_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on Exporting to Media (successful)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns Backup gshadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_media_export_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_time_stime_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Attempts to Alter Time Through stime</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Kernel Parameter to Use Reverse Path Filtering on all IPv4 Interfaces by Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_time_stime_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_force_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Require modules to be validly signed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_vm_mmap_min_addr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Prevent applications from mapping low portion of virtual memory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_remote_loghost_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Logs Sent To Remote Host</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_vm_mmap_min_addr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_remote_loghost_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_filter_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable use of Berkeley Packet Filter with seccomp</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_root_path_dirs_no_write_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure that Root's Path Does Not Include World or Group-Writable Directories</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_minclass_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Different Categories</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permission_user_init_files_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure All User Initialization Files Have Mode 0740 Or Less Permissive</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_minclass_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permission_user_init_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_require_authentication_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on group File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_require_authentication_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_var_log_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /var/log Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Rsyslog Authenticates Off-Loaded Audit Records</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_core_bpf_jit_harden_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Harden the operation of the BPF just-in-time compiler</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable IPv6 Addressing on All IPv6 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_core_bpf_jit_harden_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_uefi_password_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set the UEFI Boot Loader Password</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_uefi_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Public Key Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable GSSAPI Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_opt_nosuid_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add nosuid Option to /opt</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_opt_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_sha512_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Sign kernel modules with SHA-512</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_kexec_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable kexec system call</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_kexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_retpoline_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Avoid speculative indirect branches in kernel</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects File Deletion Events by User</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_retpoline_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-dir_system_commands_group_root_owned_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that system commands directories have root as a group owner</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-dir_system_commands_group_root_owned_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_iptables_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify iptables Enabled</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_iptables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_rsyslog-gnutls_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure rsyslog-gnutls is installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_time_watch_localtime_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Attempts to Alter the localtime File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_rsyslog-gnutls_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on IPv4 Interfaces by Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_root_gid_zero_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Root Has A Primary GID 0</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_root_gid_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns shadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-dir_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that System Executable Have Root Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-dir_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_audit_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure the audit Subsystem is Installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_kea_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall kea Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_audit_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_kea_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd Max Log File Size</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_efi_user_cfg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify /boot/grub2/user.cfg User Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_efi_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_retry_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure PAM Enforces Password Requirements - Authentication Retry Prompts Permitted Per-Session</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_default_mmap_min_addr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Low Address Space To Protect From User Allocation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_retry_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_ypbind_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Remove NIS Client</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_dir_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Account Lockouts Must Persist</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_ypbind_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_passwd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify User/Group Information - /etc/passwd</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_time_clock_settime_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Attempts to Alter Time Through clock_settime</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_rsyslog-gnutls_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure rsyslog-gnutls is installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_time_clock_settime_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_rsyslog-gnutls_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_rekey_limit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Force frequent session key renegotiation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_dev_shm_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /dev/shm is configured</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_rekey_limit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_dev_shm_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_chrony_keys_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /etc/chrony.keys File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_lcredit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Lowercase Characters</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_chrony_keys_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_lcredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_deny_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Lock Accounts After Failed Password Attempts</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_var_log_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /var/log Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_deny_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_iptables_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions On /etc/iptables Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-dir_perms_world_writable_sticky_bits_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that All World-Writable Directories Have Sticky Bits Set</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_iptables_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_slub_debug_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable SLUB debugging support</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-selinux_state_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure SELinux State is Enforcing</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_slub_debug_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-selinux_state_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_security_yama_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Yama support</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Kernel Parameter to Use Reverse Path Filtering on all IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_security_yama_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Maximum Number of Autoconfigured Addresses on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_slab_merge_default_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disallow merge of slab caches</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_slab_merge_default_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_bashrc_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure the Default Bash Umask is Set Correctly</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_kerb_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Kerberos Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_bashrc_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_kerb_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure System to Forward All Mail From Postmaster to The Root Account</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_zero_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Use zero for poisoning instead of debugging value</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_iptables_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /etc/iptables Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_sestatus_conf_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /etc/sestatus.conf File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_iptables_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_sestatus_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_sudo_log_events_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Attempts to perform maintenance activities</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_spec_store_bypass_disable_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Speculative Store Bypass Mitigation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_sudo_log_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_efi_user_cfg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify /boot/grub2/user.cfg Group Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_slab_freelist_hardened_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Harden slab freelist metadata</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_efi_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_slab_freelist_hardened_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-chronyd_server_directive_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Chrony is only configured with the server directive</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-configure_user_data_backups_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Backups of User Data</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-chronyd_server_directive_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-configure_user_data_backups_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_custom_logfile_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Sudo Logfile Exists - sudo logfile</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_page_alloc_shuffle_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable randomization of the page allocator</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_custom_logfile_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_page_alloc_shuffle_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_nodev_nonroot_local_partitions_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add nodev Option to Non-Root Local Partitions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_init_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on Kernel Module Loading - init_module</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_nodev_nonroot_local_partitions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_structleak_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Force initialization of variables containing userspace addresses</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_rmmod_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - rmmod</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_structleak_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_rmmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-no_netrc_files_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify No netrc Files Exist</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_iptables_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /etc/iptables Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-no_netrc_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_iptables_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_setxattr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - setxattr</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_dcredit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Digit Characters</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_dcredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Limit sampling frequency of the Perf system</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_set_max_life_root_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Root Account Password Maximum Age</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_set_max_life_root_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_root_password_login_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH root Login with a Password (Insecure)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Auto Configuration on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_root_password_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_slab_merge_default_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disallow merge of slab caches</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-ensure_logrotate_activated_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Logrotate Runs Periodically</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_slab_merge_default_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-ensure_logrotate_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_efi_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify the UEFI Boot Loader grub.cfg Permissions</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_user_known_hosts_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH Support for User Known Hosts</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_efi_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_maxstartups_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure SSH MaxStartups is configured</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_strict_kernel_rwx_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Make the kernel text and rodata read-only</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_maxstartups_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_strict_kernel_rwx_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_local_events_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Include Local Events in Audit Logs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_strict_module_rwx_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Make the module text and rodata read-only</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_local_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_strict_module_rwx_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_ufw_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify ufw Enabled</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_login_defs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure the Default Umask is Set Correctly in login.defs</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_ufw_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_immutable_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Make the auditd Configuration Immutable</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_slub_debug_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable SLUB debugging support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_immutable_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_slub_debug_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │          <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_chrony_keys_ocil:questionnaire:1">
│ │ │ │            <ocil:title>Verify Group Who Owns /etc/chrony.keys File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │              <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_chrony_keys_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-postfix_network_listening_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Postfix Network Listening</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-coredump_disable_storage_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable storing core dump</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-postfix_network_listening_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-coredump_disable_storage_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_home_nosuid_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add nosuid Option to /home</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_tftp-server_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall tftp-server Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_home_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_tftp-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_config_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on SSH Server config file</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-aide_periodic_checking_systemd_timer_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Systemd Timer Execution of AIDE</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_config_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-aide_periodic_checking_systemd_timer_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_rsyslog_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable rsyslog Service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_hardened_usercopy_fallback_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Do not allow usercopy whitelist violations to fallback to object size</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_rsyslog_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_hardened_usercopy_fallback_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Accepting ICMP Redirects for All IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Sending and Accepting Shared Media Redirects by Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-disallow_bypass_password_sudo_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disallow Configuration to Bypass Password Requirements for Privilege Escalation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_add_noexec_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Privileged Escalated Commands Cannot Execute Other Commands - sudo NOEXEC</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-disallow_bypass_password_sudo_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_add_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_gnutls-utils_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure gnutls-utils is installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns shadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_gnutls-utils_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-disable_host_auth_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Host-Based Authentication</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_crypttab_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /etc/crypttab File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-disable_host_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_crypttab_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_enable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Encrypted X11 Forwarding</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_nftables_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /etc/nftables Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_nftables_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_strict_module_rwx_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Make the module text and rodata read-only</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_ip_forward_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Kernel Parameter for IP Forwarding on IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_strict_module_rwx_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_ip_forward_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_root_login_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH Root Login</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_last_change_is_in_past_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure all users last password change date is in the past</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_root_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_rng_core_default_quality_argument_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure the confidence in TPM for entropy</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_efi_user_cfg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify /boot/grub2/user.cfg Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_efi_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_var_nosuid_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add nosuid Option to /var</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_ipsecd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions On /etc/ipsec.d Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_var_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_ipsecd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_root_path_dirs_no_write_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure that Root's Path Does Not Include World or Group-Writable Directories</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_compression_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Compression Or Set Compression to delayed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_compression_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_sysctld_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /etc/sysctl.d Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_slab_freelist_random_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Randomize slab freelist</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_sysctld_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_slab_freelist_random_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_dir_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Account Lockouts Must Persist</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify User/Group Information - /etc/group</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +          </ocil:actions>
│ │ │ │ +        </ocil:questionnaire>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_tmp_nosuid_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add nosuid Option to /tmp</ocil:title>
│ │ │ │ +          <ocil:actions>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_tmp_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │          <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_ocil:questionnaire:1">
│ │ │ │            <ocil:title>Configure Response Mode of ARP Requests for All IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │              <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-restrict_serial_port_logins_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Restrict Serial Port Root Logins</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_add_ignore_dot_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure sudo Ignores Commands In Current Dir - sudo ignore_dot</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-restrict_serial_port_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_add_ignore_dot_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on Backup gshadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_rsa_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH Support for Rhosts RSA Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_login_grace_time_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure SSH LoginGraceTime is configured</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-security_patches_up_to_date_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure Software Patches Installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_login_grace_time_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-security_patches_up_to_date_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_module_rds_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable RDS Support</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_audit_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure the audit Subsystem is Installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_module_rds_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_audit_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount2_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount2</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_boot_noexec_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add noexec Option to /boot</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_boot_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_srv_nosuid_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add nosuid Option to /srv</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify /boot/grub/grub.cfg Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_srv_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Kernel Parameter for Accepting Secure Redirects By Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Access to Network bpf() Syscall From Unprivileged Processes</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-coredump_disable_backtraces_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable core dump backtraces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_no_uid_except_zero_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Only Root Has UID 0</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-coredump_disable_backtraces_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_no_uid_except_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_remote_tls_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure TLS for rsyslog remote logging</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set SSH Client Alive Count Max</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_remote_tls_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_hibernation_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable hibernation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_hibernation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_remote_tls_cacert_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure CA certificate for rsyslog remote logging</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_sudo_log_events_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Attempts to perform maintenance activities</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_remote_tls_cacert_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_sudo_log_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_systemd-journald_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable systemd-journald Service</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_owner_etc_selinux_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /etc/selinux Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_systemd-journald_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_owner_etc_selinux_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify /boot/grub/grub.cfg User Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-rsyslog_files_permissions_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure System Log Files Have Correct Permissions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-rsyslog_files_permissions_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Kernel Parameter for Accepting ICMP Redirects by Default on IPv6 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Mandatory Access Controls</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_logon_fail_delay_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure the Logon Failure Delay is Set Correctly in login.defs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_action_mail_acct_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd mail_acct Action on Low Disk Space</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_logon_fail_delay_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_ntp_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable the NTP Daemon</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify /boot/grub/grub.cfg Group Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_ntp_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Mandatory Access Controls</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_print_last_log_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable SSH Print Last Log</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_print_last_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_compression_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Compression Or Set Compression to delayed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_home_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure that User Home Directories are not Group-Writable or World-Readable</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_compression_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_home_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-aide_scan_notification_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Notification of Post-AIDE Scan Details</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchown_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchown</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-aide_scan_notification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Unsuccessful Access Attempts to Files - openat</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_owner_etc_ipsecd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /etc/ipsec.d Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_owner_etc_ipsecd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /var/log Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_sg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable checks on scatter-gather (SG) table operations</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_sg_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_default_mmap_min_addr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Low Address Space To Protect From User Allocation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlink_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects File Deletion Events by User - unlink</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_xinetd_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall xinetd Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_ipsec_secrets_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /etc/ipsec.secrets File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_xinetd_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_ipsec_secrets_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_login_defs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure the Default Umask is Set Correctly in login.defs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_talk_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall talk Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_talk_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_shells_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /etc/shells File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_pam_apparmor_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Install the pam_apparmor Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_shells_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_pam_apparmor_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_efi_user_cfg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify /boot/grub2/user.cfg User Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_page_table_isolation_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Remove the kernel mapping in user mode</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_efi_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_page_table_isolation_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_acpi_custom_method_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Do not allow ACPI methods to be inserted/replaced at run time</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-account_unique_name_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure All Accounts on the System Have Unique Names</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-account_unique_name_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_dcredit_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Digit Characters</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_vmap_stack_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>User a virtually-mapped stack</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_dcredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_vmap_stack_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_no_sanity_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable poison without sanity check</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_set_maxstartups_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure SSH MaxStartups is configured</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_set_maxstartups_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_var_log_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /var/log Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_var_tmp_nosuid_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add nosuid Option to /var/tmp</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_var_tmp_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-no_direct_root_logins_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Direct root Logins Not Allowed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set number of Password Hashing Rounds - password-auth</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-no_direct_root_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_unix_rounds_password_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_boot_nosuid_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add nosuid Option to /boot</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-securetty_root_login_console_only_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Restrict Virtual Console Root Logins</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_boot_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-securetty_root_login_console_only_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-aide_build_database_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Build and Test AIDE Database</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_srv_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /srv Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-aide_build_database_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_srv_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_openssh-server_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Remove the OpenSSH Server Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_ownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Audit Configuration Files Must Be Owned By Root</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_openssh-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_ownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_module_ipv6_option_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable IPv6 Networking Support Automatic Loading</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Unsuccessful Access Attempts to Files - open</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_minlen_login_defs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Password Minimum Length in login.defs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_tmp_noexec_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add noexec Option to /tmp</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_tmp_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on gshadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Accepting Default Router in Router Advertisements on All IPv6 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_rmmod_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - rmmod</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable IPv6 Addressing on IPv6 Interfaces by Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_rmmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_boot_noexec_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add noexec Option to /boot</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_telnet_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Remove telnet Clients</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_boot_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_telnet_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_compat_vdso_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable the 32-bit vDSO</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_sestatus_conf_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns /etc/sestatus.conf File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_compat_vdso_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_sestatus_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_gshadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify User/Group Information - /etc/gshadow</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_nodev_nonroot_local_partitions_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add nodev Option to Non-Root Local Partitions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_nodev_nonroot_local_partitions_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_tmp_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Polyinstantiation of /tmp Directories</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_nss-tools_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure nss-tools is installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_nss-tools_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_ipsec_conf_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions On /etc/ipsec.conf File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Accepting Prefix Information in Router Advertisements on All IPv6 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_ipsec_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_vsyscall_xonly_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable vsyscall emulate execution only</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on IPv6 Interfaces by Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_vsyscall_xonly_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-chronyd_specify_remote_server_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>A remote time server for Chrony is configured</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-gnome_gdm_disable_xdmcp_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable XDMCP in GDM</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-chronyd_specify_remote_server_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_add_requiretty_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo requiretty</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_ip6tables_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify ip6tables Enabled if Using IPv6</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_add_requiretty_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_ip6tables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_files_ownership_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Log Files Are Owned By Appropriate User</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rename_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects File Deletion Events by User - rename</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_files_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_sudoers_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /etc/sudoers File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudo_dedicated_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure a dedicated group owns sudo</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_sudoers_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudo_dedicated_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on Backup passwd File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_rsyslog_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable rsyslog Service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_rsyslog_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_sudoersd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /etc/sudoers.d Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-restrict_serial_port_logins_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Restrict Serial Port Root Logins</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_sudoersd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-restrict_serial_port_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>zero-init everything passed by reference</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_etc_shells_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Who Owns /etc/shells File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_etc_shells_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-gid_passwd_group_same_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>All GIDs referenced in /etc/passwd must be defined in /etc/group</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_var_log_audit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /var/log/audit Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-gid_passwd_group_same_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_pam_apparmor_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Install the pam_apparmor Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_slub_debug_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable SLUB/SLAB allocator poisoning</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_pam_apparmor_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_slub_debug_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_nftables_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions On /etc/nftables Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_chrony_installed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>The Chrony package is installed</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_nftables_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_chrony_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Unsuccessful Access Attempts to Files - creat</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_minclass_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Different Categories</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_minclass_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-coredump_disable_storage_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable storing core dump</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_stackprotector_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Stack Protector buffer overlow detection</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-coredump_disable_storage_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_stackprotector_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_MFEhiplsm_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Install the Host Intrusion Prevention System (HIPS) Module</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmodat_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmodat</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_MFEhiplsm_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_efi_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify the UEFI Boot Loader grub.cfg User Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_perf_event_paranoid_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disallow kernel profiling by unprivileged users</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_efi_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_perf_event_paranoid_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_vmap_stack_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>User a virtually-mapped stack</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Unauthorized Access Attempts to Files (unsuccessful)</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_vmap_stack_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_hardlinks_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable Kernel Parameter to Enforce DAC on Hardlinks</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_users_home_files_ownership_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>All User Files and Directories In The Home Directory Must Have a Valid Owner</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_users_home_files_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_slab_freelist_random_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Randomize slab freelist</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_net-snmp_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall net-snmp Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_slab_freelist_random_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_net-snmp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmodat_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmodat</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_snmpd_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable snmpd Service</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_snmpd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_poweroff_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - poweroff</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_openssh-server_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Remove the OpenSSH Server Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_openssh-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_ipsecd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /etc/ipsec.d Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lchown_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lchown</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_ipsecd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lsetxattr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lsetxattr</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Accepting Router Preference in Router Advertisements on All IPv6 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudoers_no_root_target_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Don't target root user in the sudoers file</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_opt_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /opt Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudoers_no_root_target_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_opt_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_overflow_action_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Appropriate Action Must be Setup When the Internal Audit Event Queue is Full</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_fortify_source_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Harden common str/mem functions against buffer overflows</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_overflow_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_fortify_source_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_home_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure that User Home Directories are not Group-Writable or World-Readable</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sudoers_explicit_command_args_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Explicit arguments in sudo specifications</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_home_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sudoers_explicit_command_args_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_security_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable different security models</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_user_cfg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify /boot/grub/user.cfg User Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_security_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_admin_space_left_action_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure auditd admin_space_left Action on Low Disk Space</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_telnet-server_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall telnet-server Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_telnet-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_lastlog_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Attempts to Alter Logon and Logout Events - lastlog</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify User Who Owns Backup group File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-gnome_gdm_disable_xdmcp_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable XDMCP in GDM</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_shutdown_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - shutdown</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_pid_max_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure maximum number of process identifiers</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_sysadmin_actions_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects System Administrator Actions</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_pid_max_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Unsuccessful Access Attempts to Files - truncate</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_password_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Boot Loader Password in grub2</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_nosmep_argument_absent_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure SMEP is not disabled during boot</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_efi_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify the UEFI Boot Loader grub.cfg Group Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_efi_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_zero_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Use zero for poisoning instead of debugging value</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Kernel Parameter to Use TCP RFC 1337 on IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-dir_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that System Executable Have Root Ownership</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure Maximum Number of Autoconfigured Addresses on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-dir_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_iptables_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify iptables Enabled</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_modprobe_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - modprobe</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_iptables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_modprobe_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_verbose_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set SSH Daemon LogLevel to VERBOSE</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chown_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chown</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_sudoersd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions On /etc/sudoers.d Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_var_noexec_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add noexec Option to /var</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_sudoersd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_var_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_max_concurrent_login_sessions_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Limit the Number of Concurrent Login Sessions Allowed Per User</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_sendmail_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall Sendmail Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_setxattr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - setxattr</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_sendmail_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_security_dmesg_restrict_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Restrict unprivileged access to the kernel syslog</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_ucredit_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Uppercase Characters</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_ucredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_nftables_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /etc/nftables Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_hardlinks_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Kernel Parameter to Enforce DAC on Hardlinks</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_nftables_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Kernel Parameter to Ignore Bogus ICMP Error Responses on IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Prevent Routing External Traffic to Local Loopback on All IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_ip_local_port_range_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Kernel Parameter to Increase Local Port Range</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_ip_local_port_range_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_add_noexec_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Privileged Escalated Commands Cannot Execute Other Commands - sudo NOEXEC</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-aide_verify_ext_attributes_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure AIDE to Verify Extended Attributes</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_add_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-aide_verify_ext_attributes_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_sudoers_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions On /etc/sudoers File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_reboot_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - reboot</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_sudoers_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_reboot_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_ia32_emulation_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable IA32 emulation</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_srv_nosuid_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add nosuid Option to /srv</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_ia32_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_srv_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_chronyd_or_ntpd_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable the NTP Daemon</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_do_not_permit_user_env_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Do Not Allow SSH Environment Options</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_chronyd_or_ntpd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-directory_owner_etc_nftables_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /etc/nftables Directory</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify that Shared Library Files Have Root Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-directory_owner_etc_nftables_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_setroubleshoot-plugins_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Uninstall setroubleshoot-plugins Package</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_yama_ptrace_scope_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Restrict usage of ptrace to descendant processes</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_setroubleshoot-plugins_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_yama_ptrace_scope_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_fortify_source_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Harden common str/mem functions against buffer overflows</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Unsuccessful Access Attempts to Files - truncate</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_fortify_source_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_remove_nopasswd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo NOPASSWD</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-no_empty_passwords_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure There Are No Accounts With Blank or Null Passwords</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_remove_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_insmod_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - insmod</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH Support for .rhosts Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_insmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_ipsec_conf_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /etc/ipsec.conf File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_owner_sshd_config_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Owner on SSH Server config file</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_ipsec_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_owner_sshd_config_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-service_chronyd_enabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>The Chronyd service is enabled</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_randstruct_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Randomize layout of sensitive kernel structures</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-service_chronyd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_randstruct_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_time_adjtimex_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record attempts to alter time through adjtimex</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify User/Group Information - /etc/shadow</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_time_adjtimex_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_pam_minlen_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Length</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on Backup gshadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_pam_minlen_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lchown_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lchown</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lremovexattr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lremovexattr</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-mount_option_home_noexec_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Add noexec Option to /home</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable poison of pages after freeing</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-mount_option_home_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /var/log/syslog File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_opt_nosuid_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add nosuid Option to /opt</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_opt_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchownat_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchownat</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify User/Group Information</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_panic_timeout_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Kernel panic timeout</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_bashrc_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure the Default Bash Umask is Set Correctly</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_panic_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_bashrc_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-postfix_client_configure_relayhost_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure System to Forward All Mail through a specific host</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-timer_logrotate_enabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable logrotate Timer</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-postfix_client_configure_relayhost_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-timer_logrotate_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Unsuccessful Access Attempts to Files - ftruncate</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nosuid_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Add nosuid Option to /dev/shm</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_srv_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /srv Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_credentials_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable checks on credential management</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_srv_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_credentials_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_etc_ipsec_conf_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns /etc/ipsec.conf File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_sched_stack_end_check_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Detect stack corruption on calls to schedule()</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_etc_ipsec_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_sched_stack_end_check_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects File Deletion Events by User - unlinkat</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_ypbind_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Remove NIS Client</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_ypbind_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sshd_disable_tcp_forwarding_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable SSH TCP Forwarding</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_module_tipc_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable TIPC Support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_module_tipc_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on Backup group File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on passwd File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_module_tipc_disabled_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable TIPC Support</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Set Default iptables Policy for Incoming Packets</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_module_tipc_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable IPv6 Addressing on IPv6 Interfaces by Default</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_dmesg_restrict_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Restrict Access to Kernel Message Buffer</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_dmesg_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_password_warn_age_login_defs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Password Warning Age</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_ipsecd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /etc/ipsec.d Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_ipsecd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Kernel Parameter for Accepting ICMP Redirects by Default on IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns Backup passwd File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_logrotate_installed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure logrotate is Installed</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-package_dhcp_removed_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Uninstall DHCP Server Package</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_logrotate_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-package_dhcp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_base_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Randomize the address of the kernel image (KASLR)</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_module_rds_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable RDS Support</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_base_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_module_rds_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_init_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - init</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_sha512_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Sign kernel modules with SHA-512</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on passwd File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_refcount_full_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Perform full reference count validation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_refcount_full_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-set_ip6tables_default_rule_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Set Default ip6tables Policy for Incoming Packets</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-set_ip6tables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_ipv6_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable the IPv6 protocol</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_time_adjtimex_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record attempts to alter time through adjtimex</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_time_adjtimex_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_tmp_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /tmp Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-postfix_network_listening_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Postfix Network Listening</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-postfix_network_listening_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_kernel_yama_ptrace_scope_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Restrict usage of ptrace to descendant processes</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_vsyscall_xonly_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable vsyscall emulate execution only</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_kernel_yama_ptrace_scope_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_vsyscall_xonly_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-package_tftp_removed_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Remove tftp Daemon</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-service_sshd_disabled_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable SSH Server If Possible</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-package_tftp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-service_sshd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Disable Kernel Parameter for Accepting Secure ICMP Redirects on all IPv4 Interfaces</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_ungroupowned_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure All Files Are Owned by a Group</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_ungroupowned_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-harden_ssh_client_crypto_policy_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Harden SSH client Crypto Policy</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns Backup gshadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-rsyslog_remote_loghost_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure Logs Sent To Remote Host</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fremovexattr_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fremovexattr</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-rsyslog_remote_loghost_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_sestatus_conf_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns /etc/sestatus.conf File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_sestatus_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_hash_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Specify the hash to use when signing modules</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-disable_host_auth_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Host-Based Authentication</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_hash_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-disable_host_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Group Who Owns Backup gshadow File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Generate some entropy during boot and runtime</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_latent_entropy_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_groupownership_system_commands_dirs_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify that system commands files are group owned by root or a system account</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns Backup group File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_groupownership_system_commands_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_messages_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify Permissions on /var/log/messages File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_var_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /var Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_var_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_page_table_isolation_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Remove the kernel mapping in user mode</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-kernel_config_ipv6_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable the IPv6 protocol</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_page_table_isolation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-kernel_config_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-partition_for_opt_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure /opt Located On Separate Partition</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_sysctld_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns /etc/sysctl.d Directory</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-partition_for_opt_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_sysctld_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Verify User Who Owns Backup passwd File</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-auditd_log_format_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Resolve information before writing to audit logs</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Permissions on Backup passwd File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-auditd_log_format_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Unsuccessful Access Attempts to Files - open</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_spectre_v2_argument_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enforce Spectre v2 mitigation</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_spectre_v2_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_gshadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify User/Group Information - /etc/gshadow</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fsetxattr_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fsetxattr</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify Group Who Owns shadow File</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-logind_session_timeout_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Configure Logind to terminate idle sessions after certain time of inactivity</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_networkconfig_modification_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Events that Modify the System's Network Environment</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-logind_session_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-sudo_add_env_reset_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure sudo Runs In A Minimal Environment - sudo env_reset</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Disable Accepting ICMP Redirects for All IPv4 Interfaces</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-sudo_add_env_reset_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_profile_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure the Default Umask is Set Correctly in /etc/profile</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-partition_for_boot_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure /boot Located On Separate Partition</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_profile_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-partition_for_boot_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Ensure debug-shell service is not enabled during boot</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-audit_rules_time_clock_settime_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Record Attempts to Alter Time Through clock_settime</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-audit_rules_time_clock_settime_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │ -        <ocil:questionnaire id="ocil:ssg-kernel_config_debug_credentials_ocil:questionnaire:1">
│ │ │ │ -          <ocil:title>Enable checks on credential management</ocil:title>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-file_groupowner_user_cfg_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Verify /boot/grub/user.cfg Group Ownership</ocil:title>
│ │ │ │            <ocil:actions>
│ │ │ │ -            <ocil:test_action_ref>ocil:ssg-kernel_config_debug_credentials_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-file_groupowner_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +          </ocil:actions>
│ │ │ │ +        </ocil:questionnaire>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-grub2_nosmep_argument_absent_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Ensure SMEP is not disabled during boot</ocil:title>
│ │ │ │ +          <ocil:actions>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +          </ocil:actions>
│ │ │ │ +        </ocil:questionnaire>
│ │ │ │ +        <ocil:questionnaire id="ocil:ssg-sshd_enable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ +          <ocil:title>Enable Encrypted X11 Forwarding</ocil:title>
│ │ │ │ +          <ocil:actions>
│ │ │ │ +            <ocil:test_action_ref>ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │            </ocil:actions>
│ │ │ │          </ocil:questionnaire>
│ │ │ │        </ocil:questionnaires>
│ │ │ │        <ocil:test_actions>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_sudoers_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_sudoers_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-aide_periodic_checking_systemd_timer_action:testaction:1" question_ref="ocil:ssg-aide_periodic_checking_systemd_timer_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-account_use_centralized_automated_auth_action:testaction:1" question_ref="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_crypttab_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_crypttab_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-dir_system_commands_group_root_owned_action:testaction:1" question_ref="ocil:ssg-dir_system_commands_group_root_owned_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_0_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_regular_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_regular_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_net-snmp_removed_action:testaction:1" question_ref="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_sestatus_conf_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_sestatus_conf_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_limit_user_access_action:testaction:1" question_ref="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_settimeofday_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_sshd_config_action:testaction:1" question_ref="ocil:ssg-file_owner_sshd_config_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_use_priv_separation_action:testaction:1" question_ref="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-selinux_not_disabled_action:testaction:1" question_ref="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_deny_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_deny_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_notifiers_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_disable_recovery_action:testaction:1" question_ref="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_user_dot_group_ownership_action:testaction:1" question_ref="ocil:ssg-accounts_user_dot_group_ownership_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_selinux_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_selinux_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_idle_timeout_action:testaction:1" question_ref="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_minimum_age_login_defs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-no_direct_root_logins_action:testaction:1" question_ref="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_stackprotector_strong_action:testaction:1" question_ref="ocil:ssg-kernel_config_stackprotector_strong_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_ypserv_removed_action:testaction:1" question_ref="ocil:ssg-package_ypserv_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_rekey_limit_action:testaction:1" question_ref="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1" question_ref="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_proc_kcore_action:testaction:1" question_ref="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_setroubleshoot-server_removed_action:testaction:1" question_ref="ocil:ssg-package_setroubleshoot-server_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_telnet_removed_action:testaction:1" question_ref="ocil:ssg-package_telnet_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-no_all_squash_exports_action:testaction:1" question_ref="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-gid_passwd_group_same_action:testaction:1" question_ref="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_timeout_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_home_action:testaction:1" question_ref="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-dir_perms_world_writable_root_owned_action:testaction:1" question_ref="ocil:ssg-dir_perms_world_writable_root_owned_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_log_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_var_log_nosuid_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_perf_event_paranoid_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_perf_event_paranoid_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_remote_tls_action:testaction:1" question_ref="ocil:ssg-rsyslog_remote_tls_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_permissions_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_ipsec_secrets_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_ipsec_secrets_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_shells_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_shells_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_sudoersd_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_sudoersd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_sysrq_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_sysrq_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlinkat_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_page_alloc_shuffle_argument_action:testaction:1" question_ref="ocil:ssg-grub2_page_alloc_shuffle_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-dir_system_commands_root_owned_action:testaction:1" question_ref="ocil:ssg-dir_system_commands_root_owned_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-prefer_64bit_os_action:testaction:1" question_ref="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_all_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_core_bpf_jit_harden_action:testaction:1" question_ref="ocil:ssg-sysctl_net_core_bpf_jit_harden_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_kptr_restrict_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_fifos_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_fifos_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_sessions_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_settimeofday_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_chronyd_or_ntpd_enabled_action:testaction:1" question_ref="ocil:ssg-service_chronyd_or_ntpd_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_opasswd_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_opasswd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_talk-server_removed_action:testaction:1" question_ref="ocil:ssg-package_talk-server_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_tmp_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_var_tmp_noexec_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_rsyslog_installed_action:testaction:1" question_ref="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_binfmt_misc_action:testaction:1" question_ref="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_ip_forward_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_ip_forward_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_cron_installed_action:testaction:1" question_ref="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_use_pty_action:testaction:1" question_ref="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_user_dot_user_ownership_action:testaction:1" question_ref="ocil:ssg-accounts_user_dot_user_ownership_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_memory_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_memory_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_vsyscall_emulate_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_vsyscall_emulate_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_log_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_var_log_noexec_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_efi_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_efi_user_cfg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pam_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_tmp_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1" question_ref="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_media_export_action:testaction:1" question_ref="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_postfix_installed_action:testaction:1" question_ref="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_sudoersd_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_sudoersd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_root_target_action:testaction:1" question_ref="ocil:ssg-sudoers_no_root_target_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_setroubleshoot-server_removed_action:testaction:1" question_ref="ocil:ssg-package_setroubleshoot-server_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_stackleak_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_stackleak_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_bug_action:testaction:1" question_ref="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_filter_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_cron_enabled_action:testaction:1" question_ref="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_iptables_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_iptables_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_slub_debug_argument_action:testaction:1" question_ref="ocil:ssg-grub2_slub_debug_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1" question_ref="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-chronyd_specify_remote_server_action:testaction:1" question_ref="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_user_dot_group_ownership_action:testaction:1" question_ref="ocil:ssg-accounts_user_dot_group_ownership_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_allow_only_protocol2_action:testaction:1" question_ref="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_kmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_kmod_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-apparmor_configured_action:testaction:1" question_ref="ocil:ssg-apparmor_configured_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_shadow_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_vdsm_nopasswd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_bug_action:testaction:1" question_ref="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_freq_action:testaction:1" question_ref="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pam_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-aide_periodic_cron_checking_action:testaction:1" question_ref="ocil:ssg-aide_periodic_cron_checking_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_systemmap_action:testaction:1" question_ref="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_enable_iommu_force_action:testaction:1" question_ref="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_use_pty_action:testaction:1" question_ref="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_group_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_systemd-journald_enabled_action:testaction:1" question_ref="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_sudoers_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_sudoers_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_write_logs_action:testaction:1" question_ref="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_login_grace_time_action:testaction:1" question_ref="ocil:ssg-sshd_set_login_grace_time_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_strictmodes_action:testaction:1" question_ref="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_fs_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_immutable_action:testaction:1" question_ref="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-account_unique_name_action:testaction:1" question_ref="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-snmpd_not_default_password_action:testaction:1" question_ref="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_action:testaction:1" question_ref="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_log_format_action:testaction:1" question_ref="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_tmout_action:testaction:1" question_ref="ocil:ssg-accounts_tmout_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_selinux_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_selinux_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_memory_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_memory_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_forward_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_groupownership_audit_configuration_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_shells_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_shells_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_usr_action:testaction:1" question_ref="ocil:ssg-partition_for_usr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_permissions_user_cfg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_wx_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_wx_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-logind_session_timeout_action:testaction:1" question_ref="ocil:ssg-logind_session_timeout_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_sshd_config_action:testaction:1" question_ref="ocil:ssg-file_groupowner_sshd_config_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_ipsecd_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_ipsecd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_cron_enabled_action:testaction:1" question_ref="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ia32_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_ia32_emulation_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_kea_removed_action:testaction:1" question_ref="ocil:ssg-package_kea_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_ypserv_removed_action:testaction:1" question_ref="ocil:ssg-package_ypserv_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_modules_disabled_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_modules_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_opasswd_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_opasswd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_installed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_vdso_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-selinux_not_disabled_action:testaction:1" question_ref="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_retry_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_retry_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_postfix_installed_action:testaction:1" question_ref="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_crypttab_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_crypttab_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_sudo_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_sudo_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_unix_remember_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_unix_remember_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_ufw_enabled_action:testaction:1" question_ref="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_audit_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_list_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_users_home_files_groupownership_action:testaction:1" question_ref="ocil:ssg-accounts_users_home_files_groupownership_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_page_poison_argument_action:testaction:1" question_ref="ocil:ssg-grub2_page_poison_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_no_authenticate_action:testaction:1" question_ref="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_ip6tables_enabled_action:testaction:1" question_ref="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_minlen_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_minlen_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_num_logs_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_ipsec_conf_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_ipsec_conf_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1" question_ref="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_users_home_files_permissions_action:testaction:1" question_ref="ocil:ssg-accounts_users_home_files_permissions_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_groupownership_audit_configuration_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_ntp_installed_action:testaction:1" question_ref="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_efi_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_owner_efi_grub2_cfg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_rsh-server_removed_action:testaction:1" question_ref="ocil:ssg-package_rsh-server_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_selinux_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_selinux_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-aide_scan_notification_action:testaction:1" question_ref="ocil:ssg-aide_scan_notification_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_allow_only_protocol2_action:testaction:1" question_ref="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-set_ip6tables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_users_home_files_ownership_action:testaction:1" question_ref="ocil:ssg-accounts_users_home_files_ownership_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_system_commands_dirs_action:testaction:1" question_ref="ocil:ssg-file_groupownership_system_commands_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_profile_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_spectre_v2_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_0_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudoers_explicit_command_args_action:testaction:1" question_ref="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-chronyd_server_directive_action:testaction:1" question_ref="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_ntp_enabled_action:testaction:1" question_ref="ocil:ssg-service_ntp_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_var_log_audit_action:testaction:1" question_ref="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_structleak_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_structleak_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_overflow_action_action:testaction:1" question_ref="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_kexec_action:testaction:1" question_ref="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_set_max_life_root_action:testaction:1" question_ref="ocil:ssg-accounts_password_set_max_life_root_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_faillock_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_init_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_telnet-server_removed_action:testaction:1" question_ref="ocil:ssg-package_telnet-server_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_limit_user_access_action:testaction:1" question_ref="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_info_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_info_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permission_user_init_files_action:testaction:1" question_ref="ocil:ssg-file_permission_user_init_files_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_nftables_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_nftables_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1" question_ref="ocil:ssg-file_permissions_unauthorized_world_writable_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_reboot_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_syslogng_enabled_action:testaction:1" question_ref="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_talk_removed_action:testaction:1" question_ref="ocil:ssg-package_talk_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_crypttab_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_crypttab_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_users_home_files_groupownership_action:testaction:1" question_ref="ocil:ssg-accounts_users_home_files_groupownership_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_sshd_config_action:testaction:1" question_ref="ocil:ssg-file_groupowner_sshd_config_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_var_log_audit_action:testaction:1" question_ref="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1" question_ref="ocil:ssg-harden_ssh_client_crypto_policy_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_boot_action:testaction:1" question_ref="ocil:ssg-partition_for_boot_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_devkmem_action:testaction:1" question_ref="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_info_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_info_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_retpoline_action:testaction:1" question_ref="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_systemmap_action:testaction:1" question_ref="ocil:ssg-file_groupowner_systemmap_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_aide_installed_action:testaction:1" question_ref="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_var_nosuid_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_ipsec_secrets_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_ipsec_secrets_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_modify_ldt_syscall_action:testaction:1" question_ref="ocil:ssg-kernel_config_modify_ldt_syscall_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-selinux_state_action:testaction:1" question_ref="ocil:ssg-selinux_state_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_grub2_cfg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_iptables_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_iptables_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_crypttab_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_crypttab_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-aide_verify_acls_action:testaction:1" question_ref="ocil:ssg-aide_verify_acls_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_tftp_removed_action:testaction:1" question_ref="ocil:ssg-package_tftp_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_log_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_var_log_nosuid_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-display_login_attempts_action:testaction:1" question_ref="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-account_use_centralized_automated_auth_action:testaction:1" question_ref="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_sudoers_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_sudoers_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_custom_logfile_action:testaction:1" question_ref="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_syn_cookies_action:testaction:1" question_ref="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_owner_user_cfg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_home_action:testaction:1" question_ref="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_dhcp_removed_action:testaction:1" question_ref="ocil:ssg-package_dhcp_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_stackprotector_strong_action:testaction:1" question_ref="ocil:ssg-kernel_config_stackprotector_strong_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_proc_kcore_action:testaction:1" question_ref="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_brk_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_brk_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_devkmem_action:testaction:1" question_ref="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_minimum_age_login_defs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_ipsec_conf_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_ipsec_conf_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_usr_action:testaction:1" question_ref="ocil:ssg-partition_for_usr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_MFEhiplsm_installed_action:testaction:1" question_ref="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_modify_ldt_syscall_action:testaction:1" question_ref="ocil:ssg-kernel_config_modify_ldt_syscall_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_empty_passwords_action:testaction:1" question_ref="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_ungroupowned_action:testaction:1" question_ref="ocil:ssg-file_permissions_ungroupowned_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_chrony_keys_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_chrony_keys_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_rsyslog_installed_action:testaction:1" question_ref="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_password_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_all_shadowed_action:testaction:1" question_ref="ocil:ssg-accounts_password_all_shadowed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_ip_local_port_range_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_ip_local_port_range_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hardened_usercopy_action:testaction:1" question_ref="ocil:ssg-kernel_config_hardened_usercopy_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_enable_iommu_force_action:testaction:1" question_ref="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_sysrq_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_sysrq_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-aide_periodic_cron_checking_action:testaction:1" question_ref="ocil:ssg-aide_periodic_cron_checking_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-no_files_unowned_by_user_action:testaction:1" question_ref="ocil:ssg-no_files_unowned_by_user_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_groupownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_groupownership_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_mds_argument_action:testaction:1" question_ref="ocil:ssg-grub2_mds_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_command_negation_action:testaction:1" question_ref="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_vsyscall_none_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_vsyscall_none_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_auditd_enabled_action:testaction:1" question_ref="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_tmp_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_tmp_noexec_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-security_patches_up_to_date_action:testaction:1" question_ref="ocil:ssg-security_patches_up_to_date_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_mce_argument_action:testaction:1" question_ref="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_backtraces_action:testaction:1" question_ref="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1" question_ref="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_no_uid_except_zero_action:testaction:1" question_ref="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-no_all_squash_exports_action:testaction:1" question_ref="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-no_files_unowned_by_user_action:testaction:1" question_ref="ocil:ssg-no_files_unowned_by_user_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_randstruct_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_randstruct_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_env_reset_action:testaction:1" question_ref="ocil:ssg-sudo_add_env_reset_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_systemmap_action:testaction:1" question_ref="ocil:ssg-file_owner_systemmap_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-no_rsh_trust_files_action:testaction:1" question_ref="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_ignore_dot_action:testaction:1" question_ref="ocil:ssg-sudo_add_ignore_dot_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_page_poison_argument_action:testaction:1" question_ref="ocil:ssg-grub2_page_poison_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_sched_stack_end_check_action:testaction:1" question_ref="ocil:ssg-kernel_config_sched_stack_end_check_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_pti_argument_action:testaction:1" question_ref="ocil:ssg-grub2_pti_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_action:testaction:1" question_ref="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_verbose_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_ipsec_secrets_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_ipsec_secrets_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1" question_ref="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_rsh_removed_action:testaction:1" question_ref="ocil:ssg-package_rsh_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_stackprotector_action:testaction:1" question_ref="ocil:ssg-kernel_config_stackprotector_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sebool_polyinstantiation_enabled_action:testaction:1" question_ref="ocil:ssg-sebool_polyinstantiation_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_tmp_action:testaction:1" question_ref="ocil:ssg-partition_for_var_tmp_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_base_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1" question_ref="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_ocredit_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_ocredit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_syn_cookies_action:testaction:1" question_ref="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_interval_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_interval_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-dir_perms_world_writable_root_owned_action:testaction:1" question_ref="ocil:ssg-dir_perms_world_writable_root_owned_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_efi_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_permissions_efi_user_cfg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_tmp_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_var_tmp_nosuid_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_pam_pwquality_installed_action:testaction:1" question_ref="ocil:ssg-package_pam_pwquality_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-apparmor_configured_action:testaction:1" question_ref="ocil:ssg-apparmor_configured_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_ptys_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_ptys_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_unix_remember_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_unix_remember_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_user_cfg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_systemmap_action:testaction:1" question_ref="ocil:ssg-file_owner_systemmap_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_chronyd_enabled_action:testaction:1" question_ref="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_pam_pwquality_installed_action:testaction:1" question_ref="ocil:ssg-package_pam_pwquality_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_auditd_enabled_action:testaction:1" question_ref="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_vm_mmap_min_addr_action:testaction:1" question_ref="ocil:ssg-sysctl_vm_mmap_min_addr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-ensure_logrotate_activated_action:testaction:1" question_ref="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_shells_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_shells_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_selinux_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_selinux_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_fs_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_all_shadowed_action:testaction:1" question_ref="ocil:ssg-accounts_password_all_shadowed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_idle_timeout_action:testaction:1" question_ref="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_force_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sebool_polyinstantiation_enabled_action:testaction:1" question_ref="ocil:ssg-sebool_polyinstantiation_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_binfmt_misc_action:testaction:1" question_ref="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_tmp_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_tmp_nosuid_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_wx_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_wx_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slab_freelist_hardened_action:testaction:1" question_ref="ocil:ssg-kernel_config_slab_freelist_hardened_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_cron_installed_action:testaction:1" question_ref="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_sessions_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-no_netrc_files_action:testaction:1" question_ref="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_iptables_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_iptables_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_num_logs_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_users_home_files_permissions_action:testaction:1" question_ref="ocil:ssg-accounts_users_home_files_permissions_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_list_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_write_logs_action:testaction:1" question_ref="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_gnutls-utils_installed_action:testaction:1" question_ref="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_snmpd_disabled_action:testaction:1" question_ref="ocil:ssg-service_snmpd_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_insmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_insmod_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hardened_usercopy_action:testaction:1" question_ref="ocil:ssg-kernel_config_hardened_usercopy_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_sudo_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_sudo_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_permissions_user_cfg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_vsyscall_none_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_vsyscall_none_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hibernation_action:testaction:1" question_ref="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_chrony_keys_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_chrony_keys_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_config_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_config_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_sshd_disabled_action:testaction:1" question_ref="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_systemmap_action:testaction:1" question_ref="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_action:testaction:1" question_ref="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_sudo_installed_action:testaction:1" question_ref="ocil:ssg-package_sudo_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-display_login_attempts_action:testaction:1" question_ref="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_systemmap_action:testaction:1" question_ref="ocil:ssg-file_groupowner_systemmap_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_syslogng_installed_action:testaction:1" question_ref="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_tmp_action:testaction:1" question_ref="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_var_log_audit_action:testaction:1" question_ref="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_messages_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_selinux_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_selinux_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_sysctld_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_sysctld_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_pti_argument_action:testaction:1" question_ref="ocil:ssg-grub2_pti_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_symlinks_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_ipsecd_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_ipsecd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nodev_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_installed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-set_password_hashing_algorithm_logindefs_action:testaction:1" question_ref="ocil:ssg-set_password_hashing_algorithm_logindefs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_disable_recovery_action:testaction:1" question_ref="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_sudoers_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_sudoers_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_aide_installed_action:testaction:1" question_ref="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_bug_on_data_corruption_action:testaction:1" question_ref="ocil:ssg-kernel_config_bug_on_data_corruption_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_empty_passwords_action:testaction:1" question_ref="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_home_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_home_noexec_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_key_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_sudo_installed_action:testaction:1" question_ref="ocil:ssg-package_sudo_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_mce_argument_action:testaction:1" question_ref="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_command_negation_action:testaction:1" question_ref="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_regular_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_regular_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_requiretty_action:testaction:1" question_ref="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1" question_ref="ocil:ssg-file_permissions_unauthorized_world_writable_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_efi_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_efi_grub2_cfg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_auth_tries_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_sg_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_sg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_syslogng_installed_action:testaction:1" question_ref="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_xinetd_removed_action:testaction:1" question_ref="ocil:ssg-package_xinetd_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_symlinks_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_syslogng_enabled_action:testaction:1" question_ref="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_stackleak_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_stackleak_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_permissions_grub2_cfg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_mds_argument_action:testaction:1" question_ref="ocil:ssg-grub2_mds_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_vdsm_nopasswd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_chrony_keys_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_chrony_keys_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nodev_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_umask_action:testaction:1" question_ref="ocil:ssg-sudo_add_umask_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_l1tf_argument_action:testaction:1" question_ref="ocil:ssg-grub2_l1tf_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_talk-server_removed_action:testaction:1" question_ref="ocil:ssg-package_talk-server_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_no_authenticate_action:testaction:1" question_ref="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_ipsec_secrets_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_ipsec_secrets_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_stime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hardened_usercopy_fallback_action:testaction:1" question_ref="ocil:ssg-kernel_config_hardened_usercopy_fallback_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_yama_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_rsh_removed_action:testaction:1" question_ref="ocil:ssg-package_rsh_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chown_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_ocredit_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_ocredit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_refcount_full_action:testaction:1" question_ref="ocil:ssg-kernel_config_refcount_full_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_owner_grub2_cfg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_tmout_action:testaction:1" question_ref="ocil:ssg-accounts_tmout_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_key_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_dedicated_group_action:testaction:1" question_ref="ocil:ssg-sudo_dedicated_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_messages_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_strict_kernel_rwx_action:testaction:1" question_ref="ocil:ssg-kernel_config_strict_kernel_rwx_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_sysctld_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_sysctld_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_dmesg_restrict_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_dmesg_restrict_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-disallow_bypass_password_sudo_action:testaction:1" question_ref="ocil:ssg-disallow_bypass_password_sudo_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_sendmail_removed_action:testaction:1" question_ref="ocil:ssg-package_sendmail_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_bug_on_data_corruption_action:testaction:1" question_ref="ocil:ssg-kernel_config_bug_on_data_corruption_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_l1tf_argument_action:testaction:1" question_ref="ocil:ssg-grub2_l1tf_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_auth_tries_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_require_authentication_action:testaction:1" question_ref="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_crypttab_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_crypttab_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_boot_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_boot_nosuid_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_strictmodes_action:testaction:1" question_ref="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_unlock_time_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_unlock_time_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-securetty_root_login_console_only_action:testaction:1" question_ref="ocil:ssg-securetty_root_login_console_only_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_brk_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_brk_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1" question_ref="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1" question_ref="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_syslog_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_local_events_action:testaction:1" question_ref="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_dmesg_restrict_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_modprobe_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_modprobe_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_efi_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_permissions_efi_grub2_cfg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_remote_tls_cacert_action:testaction:1" question_ref="ocil:ssg-rsyslog_remote_tls_cacert_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_var_noexec_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_modules_disabled_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_modules_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_lcredit_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_lcredit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_all_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_sestatus_conf_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_sestatus_conf_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_ntp_installed_action:testaction:1" question_ref="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1" question_ref="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-no_rsh_trust_files_action:testaction:1" question_ref="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_freq_action:testaction:1" question_ref="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_tftp-server_removed_action:testaction:1" question_ref="ocil:ssg-package_tftp-server_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_nftables_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_nftables_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_sudoersd_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_sudoersd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_logon_fail_delay_action:testaction:1" question_ref="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_private_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_tmp_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_var_tmp_noexec_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-prefer_64bit_os_action:testaction:1" question_ref="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-aide_verify_ext_attributes_action:testaction:1" question_ref="ocil:ssg-aide_verify_ext_attributes_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_logrotate_installed_action:testaction:1" question_ref="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_uefi_password_action:testaction:1" question_ref="ocil:ssg-grub2_uefi_password_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_hash_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1" question_ref="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_tmp_action:testaction:1" question_ref="ocil:ssg-partition_for_var_tmp_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nosuid_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_relayhost_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_gid_zero_action:testaction:1" question_ref="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_ipsec_secrets_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_ipsec_secrets_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_ptys_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_ptys_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_forward_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_groupownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_groupownership_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_setroubleshoot-plugins_removed_action:testaction:1" question_ref="ocil:ssg-package_setroubleshoot-plugins_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_faillock_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-timer_logrotate_enabled_action:testaction:1" question_ref="ocil:ssg-timer_logrotate_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1" question_ref="ocil:ssg-audit_rules_sysadmin_actions_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_nss-tools_installed_action:testaction:1" question_ref="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-aide_build_database_action:testaction:1" question_ref="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_vsyscall_emulate_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_vsyscall_emulate_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_chrony_installed_action:testaction:1" question_ref="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_pid_max_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_pid_max_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1" question_ref="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-aide_verify_acls_action:testaction:1" question_ref="ocil:ssg-aide_verify_acls_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_notifiers_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_sestatus_conf_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_sestatus_conf_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-dir_system_commands_root_owned_action:testaction:1" question_ref="ocil:ssg-dir_system_commands_root_owned_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_home_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_home_nosuid_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_rsh-server_removed_action:testaction:1" question_ref="ocil:ssg-package_rsh-server_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_ownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_ownership_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_umask_action:testaction:1" question_ref="ocil:ssg-sudo_add_umask_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_shells_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_shells_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_unlock_time_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_unlock_time_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_interval_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_interval_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-set_password_hashing_algorithm_logindefs_action:testaction:1" question_ref="ocil:ssg-set_password_hashing_algorithm_logindefs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_var_log_audit_action:testaction:1" question_ref="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_use_priv_separation_action:testaction:1" question_ref="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_sysctld_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_sysctld_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_fifos_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_fifos_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_user_dot_user_ownership_action:testaction:1" question_ref="ocil:ssg-accounts_user_dot_user_ownership_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_sudoersd_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_sudoersd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_ipsec_conf_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_ipsec_conf_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_print_last_log_action:testaction:1" question_ref="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_sysctld_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_sysctld_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_log_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_var_log_noexec_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_kptr_restrict_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_password_action:testaction:1" question_ref="ocil:ssg-grub2_password_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_kmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_kmod_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_dev_shm_action:testaction:1" question_ref="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_ipv6_option_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-configure_user_data_backups_action:testaction:1" question_ref="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_ucredit_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_ucredit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lsetxattr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-snmpd_not_default_password_action:testaction:1" question_ref="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_kerb_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_passwd_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_passwd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_private_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_media_export_action:testaction:1" question_ref="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_remote_loghost_action:testaction:1" question_ref="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_stime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1" question_ref="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_force_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permission_user_init_files_action:testaction:1" question_ref="ocil:ssg-file_permission_user_init_files_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_vm_mmap_min_addr_action:testaction:1" question_ref="ocil:ssg-sysctl_vm_mmap_min_addr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_filter_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_minclass_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_minclass_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_require_authentication_action:testaction:1" question_ref="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_uefi_password_action:testaction:1" question_ref="ocil:ssg-grub2_uefi_password_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_core_bpf_jit_harden_action:testaction:1" question_ref="ocil:ssg-sysctl_net_core_bpf_jit_harden_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_kexec_action:testaction:1" question_ref="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_opt_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_opt_nosuid_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_iptables_enabled_action:testaction:1" question_ref="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_retpoline_action:testaction:1" question_ref="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-dir_system_commands_group_root_owned_action:testaction:1" question_ref="ocil:ssg-dir_system_commands_group_root_owned_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_gid_zero_action:testaction:1" question_ref="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_rsyslog-gnutls_installed_action:testaction:1" question_ref="ocil:ssg-package_rsyslog-gnutls_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_kea_removed_action:testaction:1" question_ref="ocil:ssg-package_kea_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_efi_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_owner_efi_user_cfg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1" question_ref="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_audit_installed_action:testaction:1" question_ref="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_passwd_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_passwd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_retry_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_retry_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_rsyslog-gnutls_installed_action:testaction:1" question_ref="ocil:ssg-package_rsyslog-gnutls_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_ypbind_removed_action:testaction:1" question_ref="ocil:ssg-package_ypbind_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_dev_shm_action:testaction:1" question_ref="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_lcredit_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_lcredit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_clock_settime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_rekey_limit_action:testaction:1" question_ref="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1" question_ref="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_chrony_keys_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_chrony_keys_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-selinux_state_action:testaction:1" question_ref="ocil:ssg-selinux_state_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_deny_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_deny_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_iptables_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_iptables_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slab_merge_default_action:testaction:1" question_ref="ocil:ssg-kernel_config_slab_merge_default_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slub_debug_action:testaction:1" question_ref="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_kerb_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_yama_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_zero_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_sestatus_conf_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_sestatus_conf_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_bashrc_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_bashrc_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slab_freelist_hardened_action:testaction:1" question_ref="ocil:ssg-kernel_config_slab_freelist_hardened_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_iptables_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_iptables_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-configure_user_data_backups_action:testaction:1" question_ref="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_sudo_log_events_action:testaction:1" question_ref="ocil:ssg-audit_sudo_log_events_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_page_alloc_shuffle_argument_action:testaction:1" question_ref="ocil:ssg-grub2_page_alloc_shuffle_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_efi_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_efi_user_cfg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-chronyd_server_directive_action:testaction:1" question_ref="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_rmmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_rmmod_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_custom_logfile_action:testaction:1" question_ref="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_iptables_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_iptables_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_nodev_nonroot_local_partitions_action:testaction:1" question_ref="ocil:ssg-mount_option_nodev_nonroot_local_partitions_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_dcredit_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_dcredit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_structleak_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_structleak_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_set_max_life_root_action:testaction:1" question_ref="ocil:ssg-accounts_password_set_max_life_root_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-no_netrc_files_action:testaction:1" question_ref="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-ensure_logrotate_activated_action:testaction:1" question_ref="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_password_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_strict_kernel_rwx_action:testaction:1" question_ref="ocil:ssg-kernel_config_strict_kernel_rwx_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slab_merge_default_action:testaction:1" question_ref="ocil:ssg-kernel_config_slab_merge_default_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_strict_module_rwx_action:testaction:1" question_ref="ocil:ssg-kernel_config_strict_module_rwx_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_efi_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_permissions_efi_grub2_cfg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_maxstartups_action:testaction:1" question_ref="ocil:ssg-sshd_set_maxstartups_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slub_debug_action:testaction:1" question_ref="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_local_events_action:testaction:1" question_ref="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_chrony_keys_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_chrony_keys_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_ufw_enabled_action:testaction:1" question_ref="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_storage_action:testaction:1" question_ref="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_immutable_action:testaction:1" question_ref="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_tftp-server_removed_action:testaction:1" question_ref="ocil:ssg-package_tftp-server_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_chrony_keys_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_chrony_keys_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-aide_periodic_checking_systemd_timer_action:testaction:1" question_ref="ocil:ssg-aide_periodic_checking_systemd_timer_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-postfix_network_listening_disabled_action:testaction:1" question_ref="ocil:ssg-postfix_network_listening_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hardened_usercopy_fallback_action:testaction:1" question_ref="ocil:ssg-kernel_config_hardened_usercopy_fallback_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_home_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_home_nosuid_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_config_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_config_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_noexec_action:testaction:1" question_ref="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_rsyslog_enabled_action:testaction:1" question_ref="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_crypttab_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_crypttab_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-disallow_bypass_password_sudo_action:testaction:1" question_ref="ocil:ssg-disallow_bypass_password_sudo_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_nftables_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_nftables_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_gnutls-utils_installed_action:testaction:1" question_ref="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_ip_forward_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_ip_forward_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-disable_host_auth_action:testaction:1" question_ref="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1" question_ref="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_efi_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_permissions_efi_user_cfg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_strict_module_rwx_action:testaction:1" question_ref="ocil:ssg-kernel_config_strict_module_rwx_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_ipsecd_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_ipsecd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_compression_action:testaction:1" question_ref="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1" question_ref="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slab_freelist_random_action:testaction:1" question_ref="ocil:ssg-kernel_config_slab_freelist_random_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_var_nosuid_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_group_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1" question_ref="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_tmp_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_tmp_nosuid_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_sysctld_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_sysctld_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_ignore_dot_action:testaction:1" question_ref="ocil:ssg-sudo_add_ignore_dot_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-restrict_serial_port_logins_action:testaction:1" question_ref="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-security_patches_up_to_date_action:testaction:1" question_ref="ocil:ssg-security_patches_up_to_date_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_audit_installed_action:testaction:1" question_ref="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_login_grace_time_action:testaction:1" question_ref="ocil:ssg-sshd_set_login_grace_time_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_boot_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_boot_noexec_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_rds_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_permissions_grub2_cfg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_srv_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_srv_nosuid_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_no_uid_except_zero_action:testaction:1" question_ref="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_backtraces_action:testaction:1" question_ref="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_remote_tls_action:testaction:1" question_ref="ocil:ssg-rsyslog_remote_tls_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_sudo_log_events_action:testaction:1" question_ref="ocil:ssg-audit_sudo_log_events_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hibernation_action:testaction:1" question_ref="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_selinux_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_selinux_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_remote_tls_cacert_action:testaction:1" question_ref="ocil:ssg-rsyslog_remote_tls_cacert_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_permissions_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_systemd-journald_enabled_action:testaction:1" question_ref="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_owner_grub2_cfg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_grub2_cfg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_logon_fail_delay_action:testaction:1" question_ref="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_print_last_log_action:testaction:1" question_ref="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_ntp_enabled_action:testaction:1" question_ref="ocil:ssg-service_ntp_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_home_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_compression_action:testaction:1" question_ref="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_ipsecd_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_ipsecd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-aide_scan_notification_action:testaction:1" question_ref="ocil:ssg-aide_scan_notification_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_sg_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_sg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_ipsec_secrets_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_ipsec_secrets_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1" question_ref="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_talk_removed_action:testaction:1" question_ref="ocil:ssg-package_talk_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_xinetd_removed_action:testaction:1" question_ref="ocil:ssg-package_xinetd_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_pam_apparmor_installed_action:testaction:1" question_ref="ocil:ssg-package_pam_apparmor_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_table_isolation_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_shells_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_shells_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-account_unique_name_action:testaction:1" question_ref="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_efi_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_owner_efi_user_cfg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_vmap_stack_action:testaction:1" question_ref="ocil:ssg-kernel_config_vmap_stack_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1" question_ref="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_maxstartups_action:testaction:1" question_ref="ocil:ssg-sshd_set_maxstartups_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_dcredit_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_dcredit_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_tmp_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_var_tmp_nosuid_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-securetty_root_login_console_only_action:testaction:1" question_ref="ocil:ssg-securetty_root_login_console_only_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-no_direct_root_logins_action:testaction:1" question_ref="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_srv_action:testaction:1" question_ref="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_boot_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_boot_nosuid_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-aide_build_database_action:testaction:1" question_ref="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_removed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_tmp_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_tmp_noexec_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_ipv6_option_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_telnet_removed_action:testaction:1" question_ref="ocil:ssg-package_telnet_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_rmmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_rmmod_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_sestatus_conf_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_sestatus_conf_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_boot_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_boot_noexec_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_nodev_nonroot_local_partitions_action:testaction:1" question_ref="ocil:ssg-mount_option_nodev_nonroot_local_partitions_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_vdso_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_nss-tools_installed_action:testaction:1" question_ref="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_gshadow_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_gshadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_tmp_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_ipsec_conf_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_ipsec_conf_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1" question_ref="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_vsyscall_xonly_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_vsyscall_xonly_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_ip6tables_enabled_action:testaction:1" question_ref="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-chronyd_specify_remote_server_action:testaction:1" question_ref="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_requiretty_action:testaction:1" question_ref="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudo_dedicated_group_action:testaction:1" question_ref="ocil:ssg-sudo_dedicated_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_ownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_ownership_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_rsyslog_enabled_action:testaction:1" question_ref="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_sudoers_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_sudoers_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-restrict_serial_port_logins_action:testaction:1" question_ref="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_shells_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_shells_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_sudoersd_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_sudoersd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_audit_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_slub_debug_argument_action:testaction:1" question_ref="ocil:ssg-grub2_slub_debug_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-gid_passwd_group_same_action:testaction:1" question_ref="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_chrony_installed_action:testaction:1" question_ref="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_pam_apparmor_installed_action:testaction:1" question_ref="ocil:ssg-package_pam_apparmor_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_minclass_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_minclass_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_nftables_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_nftables_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_stackprotector_action:testaction:1" question_ref="ocil:ssg-kernel_config_stackprotector_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_storage_action:testaction:1" question_ref="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_perf_event_paranoid_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_perf_event_paranoid_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_MFEhiplsm_installed_action:testaction:1" question_ref="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_efi_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_owner_efi_grub2_cfg_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_users_home_files_ownership_action:testaction:1" question_ref="ocil:ssg-accounts_users_home_files_ownership_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_vmap_stack_action:testaction:1" question_ref="ocil:ssg-kernel_config_vmap_stack_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_net-snmp_removed_action:testaction:1" question_ref="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_hardlinks_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_snmpd_disabled_action:testaction:1" question_ref="ocil:ssg-service_snmpd_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slab_freelist_random_action:testaction:1" question_ref="ocil:ssg-kernel_config_slab_freelist_random_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_removed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_ipsecd_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_ipsecd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_opt_action:testaction:1" question_ref="ocil:ssg-partition_for_opt_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lsetxattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_fortify_source_action:testaction:1" question_ref="ocil:ssg-kernel_config_fortify_source_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_root_target_action:testaction:1" question_ref="ocil:ssg-sudoers_no_root_target_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sudoers_explicit_command_args_action:testaction:1" question_ref="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_overflow_action_action:testaction:1" question_ref="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_owner_user_cfg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_home_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_telnet-server_removed_action:testaction:1" question_ref="ocil:ssg-package_telnet-server_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1" question_ref="ocil:ssg-audit_rules_sysadmin_actions_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1" question_ref="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_password_action:testaction:1" question_ref="ocil:ssg-grub2_password_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_pid_max_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_pid_max_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_efi_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_efi_grub2_cfg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_zero_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_modprobe_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_modprobe_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chown_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_iptables_enabled_action:testaction:1" question_ref="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_var_noexec_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_verbose_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_sudoersd_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_sudoersd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1" question_ref="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_ucredit_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_ucredit_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_sendmail_removed_action:testaction:1" question_ref="ocil:ssg-package_sendmail_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_hardlinks_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_dmesg_restrict_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_nftables_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_nftables_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_ip_local_port_range_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_ip_local_port_range_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-aide_verify_ext_attributes_action:testaction:1" question_ref="ocil:ssg-aide_verify_ext_attributes_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_reboot_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_noexec_action:testaction:1" question_ref="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_srv_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_srv_nosuid_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_sudoers_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_sudoers_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1" question_ref="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ia32_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_ia32_emulation_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_chronyd_or_ntpd_enabled_action:testaction:1" question_ref="ocil:ssg-service_chronyd_or_ntpd_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_yama_ptrace_scope_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_yama_ptrace_scope_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_nftables_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_nftables_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_setroubleshoot-plugins_removed_action:testaction:1" question_ref="ocil:ssg-package_setroubleshoot-plugins_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_fortify_source_action:testaction:1" question_ref="ocil:ssg-kernel_config_fortify_source_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_sshd_config_action:testaction:1" question_ref="ocil:ssg-file_owner_sshd_config_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_insmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_insmod_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_randstruct_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_randstruct_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_ipsec_conf_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_ipsec_conf_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_shadow_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-service_chronyd_enabled_action:testaction:1" question_ref="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_adjtimex_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_minlen_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_minlen_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_opt_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_opt_nosuid_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_home_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_home_noexec_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_syslog_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_bashrc_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_bashrc_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-timer_logrotate_enabled_action:testaction:1" question_ref="ocil:ssg-timer_logrotate_enabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_timeout_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nosuid_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_relayhost_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_credentials_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_sched_stack_end_check_action:testaction:1" question_ref="ocil:ssg-kernel_config_sched_stack_end_check_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_srv_action:testaction:1" question_ref="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_ypbind_removed_action:testaction:1" question_ref="ocil:ssg-package_ypbind_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_ipsec_conf_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_ipsec_conf_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_tipc_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlinkat_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_dmesg_restrict_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_dmesg_restrict_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_tipc_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_ipsecd_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_ipsecd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-package_dhcp_removed_action:testaction:1" question_ref="ocil:ssg-package_dhcp_removed_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_rds_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_logrotate_installed_action:testaction:1" question_ref="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_base_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_refcount_full_action:testaction:1" question_ref="ocil:ssg-kernel_config_refcount_full_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_init_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_adjtimex_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-set_ip6tables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-postfix_network_listening_disabled_action:testaction:1" question_ref="ocil:ssg-postfix_network_listening_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ipv6_action:testaction:1" question_ref="ocil:ssg-kernel_config_ipv6_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_vsyscall_xonly_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_vsyscall_xonly_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_tmp_action:testaction:1" question_ref="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-service_sshd_disabled_action:testaction:1" question_ref="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_yama_ptrace_scope_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_yama_ptrace_scope_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_ungroupowned_action:testaction:1" question_ref="ocil:ssg-file_permissions_ungroupowned_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-package_tftp_removed_action:testaction:1" question_ref="ocil:ssg-package_tftp_removed_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1" question_ref="ocil:ssg-harden_ssh_client_crypto_policy_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_remote_loghost_action:testaction:1" question_ref="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-disable_host_auth_action:testaction:1" question_ref="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_sestatus_conf_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_sestatus_conf_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_hash_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_action:testaction:1" question_ref="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_system_commands_dirs_action:testaction:1" question_ref="ocil:ssg-file_groupownership_system_commands_dirs_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ipv6_action:testaction:1" question_ref="ocil:ssg-kernel_config_ipv6_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_sysctld_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_sysctld_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_table_isolation_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_opt_action:testaction:1" question_ref="ocil:ssg-partition_for_opt_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_spectre_v2_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-auditd_log_format_action:testaction:1" question_ref="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_gshadow_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_gshadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-logind_session_timeout_action:testaction:1" question_ref="ocil:ssg-logind_session_timeout_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-partition_for_boot_action:testaction:1" question_ref="ocil:ssg-partition_for_boot_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_env_reset_action:testaction:1" question_ref="ocil:ssg-sudo_add_env_reset_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_clock_settime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_profile_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_user_cfg_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │ -        <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_credentials_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │ +        <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │            <ocil:when_true>
│ │ │ │              <ocil:result>PASS</ocil:result>
│ │ │ │            </ocil:when_true>
│ │ │ │            <ocil:when_false>
│ │ │ │              <ocil:result>FAIL</ocil:result>
│ │ │ │            </ocil:when_false>
│ │ │ │          </ocil:boolean_question_test_action>
│ │ │ │        </ocil:test_actions>
│ │ │ │        <ocil:questions>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 takes the appropriate action when the audit storage volume is full.
│ │ │ │ -
│ │ │ │ -Check that Debian 12 takes the appropriate action when the audit storage volume is full with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep disk_full_action /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -disk_full_action = 
│ │ │ │ -
│ │ │ │ -If the value of the "disk_full_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full.
│ │ │ │ -      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECURITY_WRITABLE_HOOKS /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-aide_periodic_checking_systemd_timer_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the operating system routinely checks the baseline configuration for unauthorized changes.
│ │ │ │ -
│ │ │ │ -To determine that periodic AIDE execution has been scheduled, run the following command:
│ │ │ │ -$ systemctl list-timers should display aidecheck.timer or similar
│ │ │ │ -that starts a service to run AIDE check.
│ │ │ │ -      Is it the case that AIDE is not configured to scan periodically?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_crypttab_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/crypttab,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/crypttab
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/crypttab does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure ClientAliveInterval is set correctly, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep ClientAliveCountMax /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -ClientAliveCountMax 0
│ │ │ │ -
│ │ │ │ -In this case, the SSH timeout occurs precisely when
│ │ │ │ -the ClientAliveInterval is set.
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the snmp package is installed:
│ │ │ │ -$ dpkg -l  snmp
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure sshd limits the users who can log in, run the following:
│ │ │ │ -pre&gt;$ sudo grep -rPi '^\h*(allow|deny)(users|groups)\h+\H+(\h+.*)?$' /etc/ssh/sshd_config*
│ │ │ │ -If properly configured, the output should be a list of usernames and/or
│ │ │ │ -groups allowed to log in to this system.
│ │ │ │ -      Is it the case that sshd does not limit the users who can log in?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_sshd_config_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/ssh/sshd_config,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_sudoers_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/sudoers,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/ssh/sshd_config
│ │ │ │ +$ ls -lL /etc/sudoers
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/ssh/sshd_config does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/sudoers does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Ensure that Debian 12 does not disable SELinux.
│ │ │ │ -
│ │ │ │ -Check if "SELinux" is active and in "enforcing" or "permissive" mode with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo getenforce
│ │ │ │ -Enforcing
│ │ │ │ --OR-
│ │ │ │ -Permissive
│ │ │ │ -      Is it the case that SELinux is disabled?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │ +          <ocil:question_text>Make sure that the kernel is not disabling SMAP with the following
│ │ │ │ +commands.
│ │ │ │ +grep -q nosmap /boot/config-`uname -r`
│ │ │ │ +If the command returns a line, it means that SMAP is being disabled.
│ │ │ │ +      Is it the case that the kernel is configured to disable SMAP?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 is configured to notify the SA and/or ISSO (at a minimum) in the event of an audit processing failure with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep action_mail_acct /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -action_mail_acct = 
│ │ │ │ -      Is it the case that the value of the "action_mail_acct" keyword is not set to "&lt;sub idref="var_auditd_action_mail_acct" /&gt;" and/or other accounts for security personnel, the "action_mail_acct" keyword is missing, or the retuned line is commented out, ask the system administrator to indicate how they and the ISSO are notified of an audit process failure. If there is no evidence of the proper personnel being notified of an audit processing failure?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that the system is integrated with a centralized authentication mechanism
│ │ │ │ +such as as Active Directory, Kerberos, Directory Server, etc. that has
│ │ │ │ +automated account mechanisms in place.
│ │ │ │ +      Is it the case that the system is not using a centralized authentication mechanism, or it is not automated?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify the number of rounds for the password hashing algorithm is configured, run the following command:
│ │ │ │ -$ sudo grep rounds /etc/pam.d/common-password
│ │ │ │ -The output should show the following match:
│ │ │ │ - 
│ │ │ │ -password [sucess=1 default=ignore] pam_unix.so sha512 rounds=
│ │ │ │ -      Is it the case that rounds is not set to &lt;sub idref="var_password_pam_unix_rounds" /&gt; or is commented out?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-dir_system_commands_group_root_owned_question:question:1">
│ │ │ │ +          <ocil:question_text>System commands are stored in the following directories:
│ │ │ │ +/bin 
│ │ │ │ +/sbin 
│ │ │ │ +/usr/bin 
│ │ │ │ +/usr/sbin 
│ │ │ │ +/usr/local/bin 
│ │ │ │ +/usr/local/sbin
│ │ │ │ +For each of these directories, run the following command to find directories not
│ │ │ │ +owned by root:
│ │ │ │ +$ sudo find -L $DIR ! -group root -type d -exec chgrp root {} \;
│ │ │ │ +      Is it the case that any of these directories are not group owned by root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that GRUB_DISABLE_RECOVERY is set to true in /etc/default/grub to disable recovery boot.
│ │ │ │ -Run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_regular_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the fs.protected_regular kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl fs.protected_regular
│ │ │ │ +2.
│ │ │ │  
│ │ │ │ -$ sudo grep GRUB_DISABLE_RECOVERY /etc/default/grub
│ │ │ │ -      Is it the case that GRUB_DISABLE_RECOVERY is not set to true or is missing?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_owner_etc_selinux_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/selinux,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_sestatus_conf_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/sestatus.conf,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/selinux
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/selinux does not have an owner of root?</ocil:question_text>
│ │ │ │ +$ ls -l /etc/sestatus.conf
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0644
│ │ │ │ +      Is it the case that /etc/sestatus.conf does not have unix mode 0644?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_minimum_age_login_defs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 enforces 24 hours/one day as the minimum password lifetime for new user accounts.
│ │ │ │ -
│ │ │ │ -Check for the value of "PASS_MIN_DAYS" in "/etc/login.defs" with the following command:
│ │ │ │ -
│ │ │ │ -$ grep -i pass_min_days /etc/login.defs
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +settimeofday system call, run the following command:
│ │ │ │ +$ sudo grep "settimeofday" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -PASS_MIN_DAYS 
│ │ │ │ -      Is it the case that the "PASS_MIN_DAYS" parameter value is not "&lt;sub idref="var_accounts_minimum_age_login_defs" /&gt;" or greater, or is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating /etc/issue.net is returned, then the required value is set.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │ +          <ocil:question_text>To check if UsePrivilegeSeparation is enabled or set correctly, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep UsePrivilegeSeparation /etc/ssh/sshd_config
│ │ │ │ +If configured properly, output should be .
│ │ │ │ +      Is it the case that it is commented out or is not enabled?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_deny_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 is configured to lock an account after 
│ │ │ │ +unsuccessful logon attempts with the command:
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +$ grep 'deny =' /etc/security/faillock.conf
│ │ │ │ +deny = .
│ │ │ │ +      Is it the case that the "deny" option is not set to "&lt;sub idref="var_accounts_passwords_pam_faillock_deny" /&gt;"
│ │ │ │ +or less (but not "0"), is missing or commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_stackprotector_strong_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_STACKPROTECTOR_STRONG /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEBUG_NOTIFIERS /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchmod system call, run the following command:
│ │ │ │ -$ sudo grep "fchmod" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /var/log/messages,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /var/log/messages
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /var/log/messages does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_ypserv_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the ypserv package is installed:
│ │ │ │ -$ dpkg -l  ypserv
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_user_dot_group_ownership_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify the local initialization files of all local interactive users are group-
│ │ │ │ +owned by the appropriate user, inspect the primary group of the respective
│ │ │ │ +users in /etc/passwd and verify all initialization files under the
│ │ │ │ +respective users home directory. Check the group owner of all local interactive users
│ │ │ │ +initialization files.
│ │ │ │ +      Is it the case that they are not?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_UNMAP_KERNEL_AT_EL0 /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to see what the timeout interval is:
│ │ │ │ +$ sudo grep ClientAliveInterval /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +ClientAliveInterval 
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure root may not directly login to the system over physical consoles,
│ │ │ │ +run the following command:
│ │ │ │ +cat /etc/securetty
│ │ │ │ +If any output is returned, this is a finding.
│ │ │ │ +      Is it the case that the /etc/securetty file is not empty?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PROC_KCORE /boot/config.*
│ │ │ │ +    $ grep CONFIG_GCC_PLUGIN_STRUCTLEAK_BYREF_ALL /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_telnet_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>The telnet package can be removed with the following command:  $ apt-get remove telnet
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify all squashing has been disabled, run the following command:
│ │ │ │ -$ grep all_squash /etc/exports
│ │ │ │ -      Is it the case that there is output?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.default.router_solicitations kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.default.router_solicitations
│ │ │ │ -0.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │ -          <ocil:question_text>Make sure that the kernel is not disabling SMAP with the following
│ │ │ │ -commands.
│ │ │ │ -grep -q nosmap /boot/config-`uname -r`
│ │ │ │ -If the command returns a line, it means that SMAP is being disabled.
│ │ │ │ -      Is it the case that the kernel is configured to disable SMAP?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/group,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/group
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/group does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /home with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "poweroff" command with the following command:
│ │ │ │  
│ │ │ │ -$ mountpoint /home
│ │ │ │ +$ sudo auditctl -l | grep poweroff
│ │ │ │  
│ │ │ │ -      Is it the case that "/home is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-dir_perms_world_writable_root_owned_question:question:1">
│ │ │ │ -          <ocil:question_text>The following command will discover and print world-writable directories that
│ │ │ │ -are not owned by root. Run it once for each local partition PART:
│ │ │ │ -$ sudo find PART -xdev -type d -perm -0002 -uid +0 -print
│ │ │ │ -      Is it the case that there are world-writable directories not owned by root?</ocil:question_text>
│ │ │ │ +-a always,exit -F path=/poweroff -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-poweroff
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_perf_event_paranoid_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.perf_event_paranoid kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.perf_event_paranoid
│ │ │ │ -2.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │ +          <ocil:question_text>To check if RekeyLimit is set correctly, run the
│ │ │ │ +following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.all.autoconf kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.all.autoconf
│ │ │ │ -0.
│ │ │ │ +$ sudo grep RekeyLimit /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │ -          <ocil:question_text>The file permissions for all log files written by rsyslog should
│ │ │ │ -be set to 640, or more restrictive. These log files are determined by the
│ │ │ │ -second part of each Rule line in /etc/rsyslog.conf and typically
│ │ │ │ -all appear in /var/log. To see the permissions of a given log
│ │ │ │ -file, run the following command:
│ │ │ │ -$ ls -l LOGFILE
│ │ │ │ -The permissions should be 640, or more restrictive.
│ │ │ │ -      Is it the case that the permissions are not correct?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/passwd,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/passwd
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/passwd does not have a group owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_shells_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/shells,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/shells
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0644
│ │ │ │ -      Is it the case that /etc/shells does not have unix mode 0644?</ocil:question_text>
│ │ │ │ +If configured properly, output should be
│ │ │ │ +RekeyLimit  
│ │ │ │ +      Is it the case that it is commented out or is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_sysrq_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.sysrq kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.shared_media kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl kernel.sysrq
│ │ │ │ +$ sysctl net.ipv4.conf.all.shared_media
│ │ │ │  0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_page_alloc_shuffle_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include page_alloc.shuffle=1, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*page_alloc.shuffle=1.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that randomization of the page allocator is not enabled in the kernel?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_setroubleshoot-server_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the setroubleshoot-server package is installed:
│ │ │ │ +$ dpkg -l  setroubleshoot-server
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │ -          <ocil:question_text>To check if the installed Operating System is 64-bit, run the following command:
│ │ │ │ -$ uname -m
│ │ │ │ -The output should be one of the following: x86_64, aarch64, ppc64le or s390x.
│ │ │ │ -If the output is i686 or i386 the operating system is 32-bit.
│ │ │ │ -Check if the installed CPU supports 64-bit operating systems by running the following command:
│ │ │ │ -$ lscpu | grep "CPU op-mode"
│ │ │ │ -If the output contains 64bit, the CPU supports 64-bit operating systems.
│ │ │ │ -      Is it the case that the installed operating sytem is 32-bit but the CPU supports operation in 64-bit?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ +/bin
│ │ │ │ +/sbin
│ │ │ │ +/usr/bin
│ │ │ │ +/usr/sbin
│ │ │ │ +/usr/local/bin
│ │ │ │ +/usr/local/sbin
│ │ │ │ +To find system executables directories that are group-writable or
│ │ │ │ +world-writable, run the following command for each directory DIR
│ │ │ │ +which contains system executables:
│ │ │ │ +$ sudo find -L DIR -perm /022 -type d
│ │ │ │ +      Is it the case that any of these files are group-writable or world-writable?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure all GIDs referenced in /etc/passwd are defined in /etc/group,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo pwck -qr
│ │ │ │ +There should be no output.
│ │ │ │ +      Is it the case that GIDs referenced in /etc/passwd are returned as not defined in /etc/group?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_ALL /boot/config.*
│ │ │ │ +    $ grep CONFIG_PANIC_TIMEOUT /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    For each kernel installed, a line with value "" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_kptr_restrict_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.kptr_restrict kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.kptr_restrict
│ │ │ │ -The output of the command should indicate either:
│ │ │ │ -kernel.kptr_restrict = 1
│ │ │ │ -or:
│ │ │ │ -kernel.kptr_restrict = 2
│ │ │ │ -The output of the command should not indicate:
│ │ │ │ -kernel.kptr_restrict = 0
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 takes the appropriate action when an audit processing failure occurs.
│ │ │ │  
│ │ │ │ -The preferable way how to assure the runtime compliance is to have
│ │ │ │ -correct persistent configuration, and rebooting the system.
│ │ │ │ +Check that Debian 12 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │  
│ │ │ │ -The persistent kernel parameter configuration is performed by specifying the appropriate
│ │ │ │ -assignment in any file located in the /etc/sysctl.d directory.
│ │ │ │ -Verify that there is not any existing incorrect configuration by executing the following command:
│ │ │ │ -$ grep -r '^\s*kernel.kptr_restrict\s*=' /etc/sysctl.conf /etc/sysctl.d
│ │ │ │ -The command should not find any assignments other than:
│ │ │ │ -kernel.kptr_restrict = 1
│ │ │ │ -or:
│ │ │ │ -kernel.kptr_restrict = 2
│ │ │ │ +$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -Conflicting assignments are not allowed.
│ │ │ │ -      Is it the case that the kernel.kptr_restrict is not set to 1 or 2 or is configured to be 0?</ocil:question_text>
│ │ │ │ +disk_error_action = HALT
│ │ │ │ +
│ │ │ │ +If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ +      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_fifos_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the fs.protected_fifos kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.perf_cpu_time_max_percent kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl fs.protected_fifos
│ │ │ │ -2.
│ │ │ │ +$ sysctl kernel.perf_cpu_time_max_percent
│ │ │ │ +1.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -settimeofday system call, run the following command:
│ │ │ │ -$ sudo grep "settimeofday" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_var_log_nosuid_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the nosuid option is configured for the /var/log mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/var/log\s'
│ │ │ │ +    . . . /var/log . . . nosuid . . .
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/var/log" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_opasswd_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/security/opasswd" with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep -E '(/etc/security/opasswd)'
│ │ │ │ +$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ --w /etc/security/opasswd -p wa -k identity
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_var_tmp_noexec_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the noexec option is configured for the /var/tmp mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/var/tmp\s'
│ │ │ │ -    . . . /var/tmp . . . noexec . . .
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-rsyslog_remote_tls_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that rsyslog's Forwarding Output Module is configured
│ │ │ │ +to use TLS for logging to remote server, run the following command:
│ │ │ │ +$ grep omfwd /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ +The output should include record similar to
│ │ │ │ +action(type="omfwd" protocol="tcp" Target="&lt;remote system&gt;" port="6514"
│ │ │ │ +    StreamDriver="gtls" StreamDriverMode="1" StreamDriverAuthMode="x509/name" streamdriver.CheckExtendedKeyPurpose="on")
│ │ │ │  
│ │ │ │ -      Is it the case that the "/var/tmp" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │ +where the &lt;remote system&gt; present in the configuration line above must be a valid IP address or a host name of the remote logging server.
│ │ │ │ +      Is it the case that omfwd is not configured with gtls and AuthMode?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_BINFMT_MISC /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_ipsec_secrets_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/ipsec.secrets,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ipsec.secrets
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ipsec.secrets does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_ip_forward_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.ip_forward kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.ip_forward
│ │ │ │ -0.
│ │ │ │ -The ability to forward packets is only appropriate for routers.
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/gshadow,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/gshadow
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /etc/gshadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the cron package is installed:
│ │ │ │ -$ dpkg -l  cron
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_sudoersd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/sudoers.d,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/sudoers.d
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/sudoers.d does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's GSSAPIAuthentication option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +unlinkat system call, run the following command:
│ │ │ │ +$ sudo grep "unlinkat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -$ sudo grep -i GSSAPIAuthentication /etc/ssh/sshd_config
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-dir_system_commands_root_owned_question:question:1">
│ │ │ │ +          <ocil:question_text>System commands are stored in the following directories:
│ │ │ │ +/bin 
│ │ │ │ +/sbin 
│ │ │ │ +/usr/bin 
│ │ │ │ +/usr/sbin 
│ │ │ │ +/usr/local/bin 
│ │ │ │ +/usr/local/sbin
│ │ │ │ +For each of these directories, run the following command to find directories not
│ │ │ │ +owned by root:
│ │ │ │ +$ sudo find -L $DIR ! -user root -type d
│ │ │ │ +      Is it the case that any of these directories are not owned by root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │  If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │ -
│ │ │ │ -$ grep nullok /etc/pam.d/system-auth /etc/pam.d/password-auth
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_core_bpf_jit_harden_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.core.bpf_jit_harden kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.core.bpf_jit_harden
│ │ │ │ +2.
│ │ │ │  
│ │ │ │ -If this produces any output, it may be possible to log into accounts
│ │ │ │ -with empty passwords. Remove any instances of the nullok option to
│ │ │ │ -prevent logins with empty passwords.
│ │ │ │ -      Is it the case that NULL passwords can be used?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_randomize_memory_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_RANDOMIZE_MEMORY /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_X86_VSYSCALL_EMULATION /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's GSSAPIAuthentication option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 takes the appropriate action when the audit files have reached maximum size.
│ │ │ │  
│ │ │ │ -$ sudo grep -i GSSAPIAuthentication /etc/ssh/sshd_config
│ │ │ │ +Check that Debian 12 takes the appropriate action when the audit files have reached maximum size with the following command:
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +max_log_file_action = 
│ │ │ │ +      Is it the case that the value of the "max_log_file_action" option is not "ROTATE", "SINGLE", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full. If there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's UsePAM option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to see what the max sessions number is:
│ │ │ │ +$ sudo grep MaxSessions /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +MaxSessions 
│ │ │ │ +      Is it the case that MaxSessions is not configured or not configured correctly?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_chronyd_or_ntpd_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +chrony service:
│ │ │ │ +$ sudo systemctl is-active chrony
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │  
│ │ │ │ -$ sudo grep -i UsePAM /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +Run the following command to determine the current status of the
│ │ │ │ +ntpd service:
│ │ │ │ +$ sudo systemctl is-active ntpd
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_talk-server_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the talk-server package is installed:
│ │ │ │ +$ dpkg -l  talk-server
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify the audispd's syslog plugin is active, run the following command:
│ │ │ │ -$ sudo grep active /etc/audit/plugins.d/syslog.conf
│ │ │ │ -If the plugin is active, the output will show yes.
│ │ │ │ -      Is it the case that it is not activated?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the rsyslog package is installed: $ dpkg -l  rsyslog
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.all.router_solicitations kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv6.conf.all.router_solicitations
│ │ │ │ +0.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -lremovexattr system call, run the following command:
│ │ │ │ -$ sudo grep "lremovexattr" /etc/audit/audit.*
│ │ │ │ +fchmod system call, run the following command:
│ │ │ │ +$ sudo grep "fchmod" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_owner_etc_sudoersd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/sudoers.d,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/sudoers.d
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/sudoers.d does not have an owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if use_pty has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults.*\buse_pty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that use_pty is not enabled in sudo?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_setroubleshoot-server_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the setroubleshoot-server package is installed:
│ │ │ │ -$ dpkg -l  setroubleshoot-server
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_user_dot_user_ownership_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify all local initialization files for interactive users are owned by the
│ │ │ │ +primary user, run the following command:
│ │ │ │ +$ sudo ls -al /home/USER/.*
│ │ │ │ +The user initialization files should be owned by USER.
│ │ │ │ +      Is it the case that they are not?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "shutdown" command with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep shutdown
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.drop_gratuitous_arp kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.drop_gratuitous_arp
│ │ │ │ +1.
│ │ │ │  
│ │ │ │ --a always,exit -F path=/shutdown -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-shutdown
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_vsyscall_emulate_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_BUG /boot/config.*
│ │ │ │ +    $ grep CONFIG_LEGACY_VSYSCALL_EMULATE /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -cron service:
│ │ │ │ -$ sudo systemctl is-active cron
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_var_log_noexec_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the noexec option is configured for the /var/log mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/var/log\s'
│ │ │ │ +    . . . /var/log . . . noexec . . .
│ │ │ │ +
│ │ │ │ +      Is it the case that the "/var/log" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_slub_debug_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include slub_debug=, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*slub_debug=.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that SLUB/SLAB poisoning is not enabled?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_efi_user_cfg_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /boot/grub2/user.cfg,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /boot/grub2/user.cfg
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /boot/grub2/user.cfg does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -rmdir system call, run the following command:
│ │ │ │ -$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -unlink system call, run the following command:
│ │ │ │ -$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -unlinkat system call, run the following command:
│ │ │ │ -$ sudo grep "unlinkat" /etc/audit/audit.*
│ │ │ │ +init_module system call, run the following command:
│ │ │ │ +$ sudo grep "init_module" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  To determine if the system is configured to audit calls to the
│ │ │ │ -rename system call, run the following command:
│ │ │ │ -$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │ +finit_module system call, run the following command:
│ │ │ │ +$ sudo grep "finit_module" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  To determine if the system is configured to audit calls to the
│ │ │ │ -renameat system call, run the following command:
│ │ │ │ -$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │ +delete_module system call, run the following command:
│ │ │ │ +$ sudo grep "delete_module" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_user_dot_group_ownership_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify the local initialization files of all local interactive users are group-
│ │ │ │ -owned by the appropriate user, inspect the primary group of the respective
│ │ │ │ -users in /etc/passwd and verify all initialization files under the
│ │ │ │ -respective users home directory. Check the group owner of all local interactive users
│ │ │ │ -initialization files.
│ │ │ │ -      Is it the case that they are not?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_kmod_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "kmod" command with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep kmod
│ │ │ │ -
│ │ │ │ --a always,exit -F path=/usr/bin/kmod -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-kmod
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_polyinstantiated_tmp_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to ensure that /tmp is configured as a
│ │ │ │ +polyinstantiated directory:
│ │ │ │ +$ sudo grep /tmp /etc/security/namespace.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +/tmp     /tmp/tmp-inst/            level      root,adm
│ │ │ │ +      Is it the case that is not configured?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -chmod system call, run the following command:
│ │ │ │ -$ sudo grep "chmod" /etc/audit/audit.*
│ │ │ │ +mount system call, run the following command:
│ │ │ │ +$ sudo grep "mount" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_shadow_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/passwd with the following command:
│ │ │ │ -
│ │ │ │ -$  sudo auditctl -l | grep -E '(/etc/shadow)'
│ │ │ │ -
│ │ │ │ --w /etc/shadow -p wa -k identity
│ │ │ │ -      Is it the case that command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 notifies the SA and ISSO (at a minimum) when allocated audit record storage volume reaches 75 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -w space_left_action /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -space_left_action = 
│ │ │ │ -
│ │ │ │ -If the value of the "space_left_action" is not set to "", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ -      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the postfix package is installed: $ dpkg -l  postfix
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that Audit Daemon is configured to flush to disk after
│ │ │ │ -every  records, run the following command:
│ │ │ │ -$ sudo grep freq /etc/audit/auditd.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -freq = 
│ │ │ │ -      Is it the case that freq isn't set to &lt;sub idref="var_auditd_freq" /&gt;?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudoers_no_root_target_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the users are allowed to run commands as root, run the following commands:
│ │ │ │ +$ sudo grep -PR '^\s*((?!root\b)[\w]+)\s*(\w+)\s*=\s*(.*,)?\s*[^\(\s]' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +and
│ │ │ │ +$ sudo grep -PR '^\s*((?!root\b)[\w]+)\s*(\w+)\s*=\s*(.*,)?\s*\([\w\s]*\b(root|ALL)\b[\w\s]*\)' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +Both commands should return no output.
│ │ │ │ +      Is it the case that /etc/sudoers file contains rules that allow non-root users to run commands as root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_stackleak_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_GCC_PLUGIN_STACKLEAK /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /boot/System.map*,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/shadow-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /boot/System.map*
│ │ │ │ +$ ls -l /etc/shadow-
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /boot/System.map* does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if use_pty has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults.*\buse_pty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that use_pty is not enabled in sudo?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_group_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/group" with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep -E '(/etc/group)'
│ │ │ │ -
│ │ │ │ --w /etc/group -p wa -k identity
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.all.max_addresses kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.all.max_addresses
│ │ │ │ -1.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /etc/shadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PANIC_ON_OOPS /boot/config.*
│ │ │ │ +    $ grep CONFIG_SECCOMP_FILTER /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that Audit Daemon is configured to write logs to the disk, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep write_logs /etc/audit/auditd.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -write_logs = yes
│ │ │ │ -      Is it the case that write_logs isn't set to yes?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /var/log,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_iptables_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/iptables,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /var/log
│ │ │ │ +$ ls -l /etc/iptables
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │ -drwxr-xr-x
│ │ │ │ -      Is it the case that /var/log does not have unix mode drwxr-xr-x?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │ -          <ocil:question_text>To properly set the permissions of /etc/audit/, run the command:
│ │ │ │ -$ sudo chmod 0640 /etc/audit/
│ │ │ │ -
│ │ │ │ -To properly set the permissions of /etc/audit/rules.d/, run the command:
│ │ │ │ -$ sudo chmod 0640 /etc/audit/rules.d/
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +0700
│ │ │ │ +      Is it the case that /etc/iptables does not have unix mode 0700?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_FS /boot/config.*
│ │ │ │ +    $ grep CONFIG_ACPI_CUSTOM_METHOD /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify all accounts have unique names, run the following command:
│ │ │ │ -$ sudo getent passwd | awk -F: '{ print $1}' | uniq -d
│ │ │ │ -No output should be returned.
│ │ │ │ -      Is it the case that a line is returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command and verify remote server is configured properly:
│ │ │ │ +# grep -E "^(server|pool)" /etc/chrony/chrony.conf
│ │ │ │ +      Is it the case that a remote time server is not configured?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -delete_module system call, run the following command:
│ │ │ │ -$ sudo grep "delete_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │ +          <ocil:question_text>To check which SSH protocol version is allowed, check version of openssh-server with following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +$ dpkg -s openssh-server | grep Version
│ │ │ │ +
│ │ │ │ +Versions equal to or higher than 7.4 only allow Protocol 2.
│ │ │ │ +If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ +$ sudo grep Protocol /etc/ssh/sshd_config
│ │ │ │ +If configured properly, output should be Protocol 2
│ │ │ │ +      Is it the case that it is commented out or is not set correctly to Protocol 2?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /var with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the ftruncate system call.
│ │ │ │  
│ │ │ │ -$ mountpoint /var
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that "/var is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.send_redirects kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.send_redirects
│ │ │ │ -0.
│ │ │ │ +$ sudo grep -r ftruncate /etc/audit/rules.d
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_selinux_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/selinux,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/selinux
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/selinux does not have a group owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to ensure the default FORWARD policy is DROP:
│ │ │ │ -grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ -The output should be similar to the following:
│ │ │ │ -$ sudo grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ -:FORWARD DROP [0:0
│ │ │ │ -      Is it the case that the default policy for the FORWARD chain is not set to DROP?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_shells_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/shells,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/shells
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/shells does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.arp_filter kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.arp_filter
│ │ │ │ -.
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +$ sudo grep ftruncate /etc/audit/audit.rules
│ │ │ │ +
│ │ │ │ +The output should be the following:
│ │ │ │ +
│ │ │ │ +-a always,exit -F arch=b32 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_user_cfg_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /boot/grub/user.cfg,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /boot/grub/user.cfg
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /boot/grub/user.cfg does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-apparmor_configured_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +apparmor service:
│ │ │ │ +$ sudo systemctl is-active apparmor
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that it is not?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_wx_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_vdsm_nopasswd_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if NOPASSWD has been configured for the vdsm user for sudo,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo grep -ri nopasswd /etc/sudoers.d/
│ │ │ │ +The command should return output only for the vdsm user.
│ │ │ │ +      Is it the case that nopasswd is set for any users beyond vdsm?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_WX /boot/config.*
│ │ │ │ +    $ grep CONFIG_BUG /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_sshd_config_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/ssh/sshd_config,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ssh/sshd_config does not have a group owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_ipsecd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/ipsec.d,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/ipsec.d
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0700
│ │ │ │ -      Is it the case that /etc/ipsec.d does not have unix mode 0700?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's UsePAM option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i UsePAM /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/gshadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/gshadow
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -shadow
│ │ │ │ -      Is it the case that /etc/gshadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-aide_periodic_cron_checking_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the operating system routinely checks the baseline configuration for unauthorized changes.
│ │ │ │ +
│ │ │ │ +To determine that periodic AIDE execution has been scheduled, run the following command:
│ │ │ │ +$ grep aide /etc/crontab
│ │ │ │ +The output should return something similar to the following:
│ │ │ │ +05 4 * * * root /usr/sbin/aide --check
│ │ │ │ +
│ │ │ │ +NOTE: The usage of special cron times, such as @daily or @weekly, is acceptable.
│ │ │ │ +      Is it the case that AIDE is not configured to scan periodically?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_kea_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the kea package is installed:
│ │ │ │ -$ dpkg -l  kea
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include iommu=force, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*iommu=force.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that I/OMMU is not activated?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_modules_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.modules_disabled kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.arp_filter kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl kernel.modules_disabled
│ │ │ │ -1.
│ │ │ │ +$ sysctl net.ipv4.conf.all.arp_filter
│ │ │ │ +.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the system commands contained in the following directories are owned by "root" with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin ! -user root -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system commands are found to not be owned by root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +systemd-journald service:
│ │ │ │ +$ sudo systemctl is-active systemd-journald
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the systemd-journald service is not running?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_source_route kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_sudoers_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/sudoers,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/sudoers
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0440
│ │ │ │ +      Is it the case that /etc/sudoers does not have unix mode 0440?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.default.router_solicitations kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.all.accept_source_route
│ │ │ │ +$ sysctl net.ipv6.conf.default.router_solicitations
│ │ │ │  0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit attempts to
│ │ │ │ -alter time via the /etc/localtime file, run the following
│ │ │ │ -command:
│ │ │ │ -$ sudo auditctl -l | grep "watch=/etc/localtime"
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -      Is it the case that the system is not configured to audit time changes?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_login_grace_time_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure LoginGraceTime is set correctly, run the following command:
│ │ │ │ +$ sudo grep LoginGraceTime /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +LoginGraceTime 
│ │ │ │ +If the option is set to a number greater than 0, then the unauthenticated session will be disconnected
│ │ │ │ +after the configured number seconds.
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 takes the appropriate action when an audit processing failure occurs.
│ │ │ │ -
│ │ │ │ -Check that Debian 12 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's StrictModes option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │ +$ sudo grep -i StrictModes /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -disk_error_action = HALT
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ -      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the postfix package is installed: $ dpkg -l  postfix
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/gshadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/gshadow
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/gshadow does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the operating system authenticates the remote logging server for off-loading audit logs with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i '$ActionSendStreamDriverAuthMode' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ -The output should be
│ │ │ │ -$/etc/rsyslog.conf:$ActionSendStreamDriverAuthMode x509/name
│ │ │ │ -      Is it the case that $ActionSendStreamDriverAuthMode in /etc/rsyslog.conf is not set to x509/name?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │ +          <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ +$ sudo postconf alias_maps
│ │ │ │ +Query the Postfix alias maps for an alias for the postmaster user:
│ │ │ │ +$ sudo postmap -q postmaster hash:/etc/aliases
│ │ │ │ +The output should return root.
│ │ │ │ +      Is it the case that the alias is not set or is not root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_sudo_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "sudo" command with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the audit system prevents unauthorized changes with the following command:
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep sudo
│ │ │ │ +$ sudo grep "^\s*[^#]" /etc/audit/audit.rules | tail -1
│ │ │ │ +-e 2
│ │ │ │  
│ │ │ │ --a always,exit -F path=/usr/bin/sudo -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-sudo
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the audit system is not set to be immutable by adding the "-e 2" option to the end of "/etc/audit/audit.rules"?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_unix_remember_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify the password reuse setting is compliant, run the following command:
│ │ │ │ -$ grep remember /etc/pam.d/common-password
│ │ │ │ -The output should show the following at the end of the line:
│ │ │ │ -remember=
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -In newer systems, the pam_pwhistory PAM module options can also be set in
│ │ │ │ -"/etc/security/pwhistory.conf" file. Use the following command to verify:
│ │ │ │ -$ grep remember /etc/security/pwhistory.conf
│ │ │ │ -remember = 
│ │ │ │ -
│ │ │ │ -The pam_pwhistory remember option must be configured only in one file.
│ │ │ │ -      Is it the case that the value of remember is not equal to or greater than the expected value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure the default password is not set, run the following command:
│ │ │ │ +$ sudo grep -v "^#" /etc/snmp/snmpd.conf| grep -E 'public|private'
│ │ │ │ +There should be no output.
│ │ │ │ +      Is it the case that the default SNMP passwords public and private have not been changed or removed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /var/log/audit with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/group-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/group-
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/group- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that Audit Daemon is configured to resolve all uid, gid, syscall,
│ │ │ │ +architecture, and socket address information before writing the event to disk,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo grep log_format /etc/audit/auditd.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +log_format = ENRICHED
│ │ │ │ +      Is it the case that log_format isn't set to ENRICHED?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_tmout_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to ensure the TMOUT value is configured for all users
│ │ │ │ +on the system:
│ │ │ │  
│ │ │ │ -$ mountpoint /var/log/audit
│ │ │ │ +$ sudo grep TMOUT /etc/profile /etc/profile.d/*.sh
│ │ │ │  
│ │ │ │ -      Is it the case that "/var/log/audit is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +The output should return the following:
│ │ │ │ +TMOUT=
│ │ │ │ +      Is it the case that value of TMOUT is not less than or equal to expected setting?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_randomize_memory_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_LIST /boot/config.*
│ │ │ │ +    $ grep CONFIG_RANDOMIZE_MEMORY /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_page_poison_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include page_poison=1, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*page_poison=1.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that page allocator poisoning is not enabled?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>If IPv6 is disabled, this is not applicable.
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -Run the following command to determine the current status of the
│ │ │ │ -ip6tables service:
│ │ │ │ -$ sudo systemctl is-active ip6tables
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ -determine how many logs the system is configured to retain after rotation:
│ │ │ │ -$ sudo grep num_logs /etc/audit/auditd.conf
│ │ │ │ -num_logs = 5
│ │ │ │ -      Is it the case that the system log file retention has not been properly configured?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │ -          <ocil:question_text>To find world-writable directories that lack the sticky bit, run the following command:
│ │ │ │ -$ sudo find / -type d \( -perm -0002 -a ! -perm -1000 \) -print 2&gt;/dev/null
│ │ │ │ -fixtext: |-
│ │ │ │ -Configure all world-writable directories to have the sticky bit set to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │ -
│ │ │ │ -Set the sticky bit on all world-writable directories using the command, replace "[World-Writable Directory]" with any directory path missing the sticky bit:
│ │ │ │ -
│ │ │ │ -$ chmod a+t [World-Writable Directory]
│ │ │ │ -srg_requirement:
│ │ │ │ -A sticky bit must be set on all Debian 12 public directories to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │ -      Is it the case that any world-writable directories are missing the sticky bit?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_users_home_files_permissions_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify all files and directories contained in interactive user home
│ │ │ │ -directory, excluding local initialization files, have a mode of 0750,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo ls -lLR /home/USER
│ │ │ │ -      Is it the case that home directory files or folders have incorrect permissions?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-file_groupownership_audit_configuration_question:question:1">
│ │ │ │            <ocil:question_text>To properly set the group owner of /etc/audit/, run the command:
│ │ │ │  $ sudo chgrp root /etc/audit/
│ │ │ │  
│ │ │ │  To properly set the group owner of /etc/audit/rules.d/, run the command:
│ │ │ │  $ sudo chgrp root /etc/audit/rules.d/
│ │ │ │        Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_ra_rtr_pref kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.all.accept_ra_rtr_pref
│ │ │ │ -0.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the system-wide shared library files contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 -perm /022 -type f -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system-wide shared library file is found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_usr_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /usr with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep audit /etc/security/faillock.conf
│ │ │ │ +$ mountpoint /usr
│ │ │ │  
│ │ │ │ -audit
│ │ │ │ -      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_selinux_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/selinux,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/selinux
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0755
│ │ │ │ -      Is it the case that /etc/selinux does not have unix mode 0755?</ocil:question_text>
│ │ │ │ +      Is it the case that "/usr is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │ -          <ocil:question_text>To check which SSH protocol version is allowed, check version of openssh-server with following command:
│ │ │ │ -
│ │ │ │ -$ dpkg -s openssh-server | grep Version
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the system commands contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │  
│ │ │ │ -Versions equal to or higher than 7.4 only allow Protocol 2.
│ │ │ │ -If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ -$ sudo grep Protocol /etc/ssh/sshd_config
│ │ │ │ -If configured properly, output should be Protocol 2
│ │ │ │ -      Is it the case that it is commented out or is not set correctly to Protocol 2?</ocil:question_text>
│ │ │ │ +$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin -perm /022 -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system commands are found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_users_home_files_ownership_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify all files and directories in a local interactive user's
│ │ │ │ -home directory have a valid owner, run the following command:
│ │ │ │ -$ sudo ls -lLR /home/USER
│ │ │ │ -      Is it the case that the user ownership is incorrect?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-logind_session_timeout_question:question:1">
│ │ │ │ +          <ocil:question_text>Display the contents of the file /etc/systemd/logind.conf:
│ │ │ │ +cat /etc/systemd/logind.conf
│ │ │ │ +Ensure that there is a section [login] which contains the
│ │ │ │ +configuration StopIdleSessionSec=.
│ │ │ │ +      Is it the case that the option is not configured?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -finit_module system call, run the following command:
│ │ │ │ -$ sudo grep "finit_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include spectre_v2=on, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*spectre_v2=on.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that spectre_v2 mitigation is not enforced?</ocil:question_text>
│ │ │ │ +$ grep nullok /etc/pam.d/system-auth /etc/pam.d/password-auth
│ │ │ │ +
│ │ │ │ +If this produces any output, it may be possible to log into accounts
│ │ │ │ +with empty passwords. Remove any instances of the nullok option to
│ │ │ │ +prevent logins with empty passwords.
│ │ │ │ +      Is it the case that NULL passwords can be used?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if arguments that commands can be executed with are restricted, run the following command:
│ │ │ │ -$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+(?:[ \t]+[^,\s]+)+[ \t]*,)*(\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+[ \t]*(?:,|$))' /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that /etc/sudoers file contains user specifications that allow execution of commands with any arguments?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +cron service:
│ │ │ │ +$ sudo systemctl is-active cron
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_ia32_emulation_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_GCC_PLUGIN_LATENT_ENTROPY /boot/config.*
│ │ │ │ +    $ grep CONFIG_IA32_EMULATION /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -init_module system call, run the following command:
│ │ │ │ -$ sudo grep "init_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_ypserv_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the ypserv package is installed:
│ │ │ │ +$ dpkg -l  ypserv
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the audit log directories have a correct mode or less permissive mode.
│ │ │ │ -
│ │ │ │ -Find the location of the audit logs:
│ │ │ │ -
│ │ │ │ -$ sudo grep "^log_file" /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -Find the group that owns audit logs:
│ │ │ │ -
│ │ │ │ -$ sudo grep "^log_group" /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -Run the following command to check the mode of the system audit logs:
│ │ │ │ -
│ │ │ │ -$ sudo stat -c "%a %n" [audit_log_directory]
│ │ │ │ -
│ │ │ │ -Replace "[audit_log_directory]" to the correct audit log directory path, by default this location is "/var/log/audit".
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_opasswd_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/security/opasswd" with the following command:
│ │ │ │  
│ │ │ │ +$ sudo auditctl -l | grep -E '(/etc/security/opasswd)'
│ │ │ │  
│ │ │ │ -If the log_group is "root" or is not set, the correct permissions are 0700, otherwise they are 0750.
│ │ │ │ -      Is it the case that audit logs have a more permissive mode?</ocil:question_text>
│ │ │ │ +-w /etc/security/opasswd -p wa -k identity
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 takes the appropriate action when an audit processing failure occurs.
│ │ │ │ -
│ │ │ │ -Check that Debian 12 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the openssh-server package is installed: $ dpkg -l  openssh-server
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_COMPAT_VDSO /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Ensure that Debian 12 does not disable SELinux.
│ │ │ │  
│ │ │ │ -disk_error_action = 
│ │ │ │ +Check if "SELinux" is active and in "enforcing" or "permissive" mode with the following command:
│ │ │ │  
│ │ │ │ -If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ -      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ +$ sudo getenforce
│ │ │ │ +Enforcing
│ │ │ │ +-OR-
│ │ │ │ +Permissive
│ │ │ │ +      Is it the case that SELinux is disabled?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -rename system call, run the following command:
│ │ │ │ -$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_retry_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 is configured to limit the "pwquality" retry option to .
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's IgnoreRhosts option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i IgnoreRhosts /etc/ssh/sshd_config
│ │ │ │ +Check for the use of the "pwquality" retry option in the PAM files with the following command:
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +$ grep pam_pwquality /etc/pam.d/common-password
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +
│ │ │ │ +password requisite pam_pwquality.so retry=
│ │ │ │ +      Is it the case that the value of "retry" is set to "0" or greater than "&lt;sub idref="var_password_pam_retry" /&gt;", or is missing?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_KEXEC /boot/config.*
│ │ │ │ +    $ grep CONFIG_X86_VSYSCALL_EMULATION /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_set_max_life_root_question:question:1">
│ │ │ │ -          <ocil:question_text>Check whether the maximum time period for root account password is restricted to  days with the following commands:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/gshadow,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/gshadow
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +shadow
│ │ │ │ +      Is it the case that /etc/gshadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_crypttab_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/crypttab,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/crypttab
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0600
│ │ │ │ +      Is it the case that /etc/crypttab does not have unix mode 0600?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_redirects kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv6.conf.all.accept_redirects
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -$ sudo awk -F: '$1 == "root" {print $1 " " $5}' /etc/shadow
│ │ │ │ -      Is it the case that any results are returned that are not associated with a system account?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/security/opasswd" with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +ufw service:
│ │ │ │ +$ sudo systemctl is-active ufw
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the service is not enabled?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/passwd,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/passwd
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/passwd does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_users_home_files_groupownership_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify all files and directories in interactive user home directory are
│ │ │ │ +group-owned by a group the user is a member of, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo ls -lLR /home/USER
│ │ │ │ +      Is it the case that the group ownership is incorrect?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if !authenticate has not been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -r \!authenticate /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that !authenticate is specified in the sudo config files?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_minlen_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 enforces a minimum -character password length with the following command:
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep 
│ │ │ │ +$ grep minlen /etc/security/pwquality.conf
│ │ │ │  
│ │ │ │ --w  -p wa -k logins
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +minlen = 
│ │ │ │ +      Is it the case that the command does not return a "minlen" value of "&lt;sub idref="var_password_pam_minlen" /&gt;" or greater, does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_telnet-server_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the telnet-server package is installed:
│ │ │ │ -$ dpkg -l  telnet-server
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_ipsec_conf_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/ipsec.conf,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ipsec.conf
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ipsec.conf does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.panic_on_oops kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │ +          <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ +$ sudo postconf alias_maps
│ │ │ │ +Query the Postfix alias maps for an alias for the root user:
│ │ │ │ +$ sudo postmap -q root hash:/etc/aliases
│ │ │ │ +The output should return an alias.
│ │ │ │ +      Is it the case that the alias is not set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.default.accept_source_route kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl kernel.panic_on_oops
│ │ │ │ -1.
│ │ │ │ +$ sysctl net.ipv4.conf.default.accept_source_route
│ │ │ │ +0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permission_user_init_files_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that all user initialization files have a mode of 0740 or
│ │ │ │ -less permissive, run the following command:
│ │ │ │ -$ sudo find /home -type f -name '\.*' \( -perm -0002 -o -perm -0020 \)
│ │ │ │ -There should be no output.
│ │ │ │ -      Is it the case that they are not 0740 or more permissive?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the ntp package is installed: $ dpkg -l  ntp
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.accept_source_route kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.accept_source_route
│ │ │ │ -0.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_efi_grub2_cfg_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /boot/grub2/grub.cfg,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /boot/grub2/grub.cfg
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /boot/grub2/grub.cfg does not have an owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_rsh-server_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the rsh-server package is installed:
│ │ │ │ +$ dpkg -l  rsh-server
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-aide_scan_notification_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine that periodic AIDE execution has been scheduled, run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +$ grep aide /etc/crontab
│ │ │ │ +The output should return something similar to the following:
│ │ │ │ +05 4 * * * root /usr/sbin/aide --check | /bin/mail -s "$(hostname) - AIDE Integrity Check" root@localhost
│ │ │ │ +The email address that the notifications are sent to can be changed by overriding
│ │ │ │ +.
│ │ │ │ +      Is it the case that AIDE has not been configured or has not been configured to notify personnel of scan details?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "reboot" command with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │ +          <ocil:question_text>If IPv6 is disabled, this is not applicable.
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep reboot
│ │ │ │ +Inspect the file /etc/sysconfig/ip6tables to determine
│ │ │ │ +the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ +$ sudo grep ":INPUT" /etc/sysconfig/ip6tables
│ │ │ │ +      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupownership_system_commands_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the system commands contained in the following directories are group-owned by "root", or a required system account, with the following command:
│ │ │ │  
│ │ │ │ --a always,exit -F path=/reboot -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-reboot
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/local/bin /usr/local/sbin ! -group root -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system commands are returned and is not group-owned by a required system account?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the umask setting is configured correctly in the /etc/profile file
│ │ │ │ +or scripts within /etc/profile.d directory with the following command:
│ │ │ │ +$ grep "umask" /etc/profile*
│ │ │ │ +umask 
│ │ │ │ +      Is it the case that the value for the "umask" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;",
│ │ │ │ +or the "umask" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure ClientAliveInterval is set correctly, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep ClientAliveCountMax /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +ClientAliveCountMax 0
│ │ │ │ +
│ │ │ │ +In this case, the SSH timeout occurs precisely when
│ │ │ │ +the ClientAliveInterval is set.
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command and verify that time sources are only configured with server directive:
│ │ │ │ +# grep -E "^(server|pool)" /etc/chrony/chrony.conf
│ │ │ │ +A line with the appropriate server should be returned, any line returned starting with pool is a finding.
│ │ │ │ +      Is it the case that an authoritative remote time server is not configured or configured with pool directive?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_ntp_enabled_question:question:1">
│ │ │ │            <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -syslog-ng service:
│ │ │ │ -$ sudo systemctl is-active syslog-ng
│ │ │ │ +ntp service:
│ │ │ │ +$ sudo systemctl is-active ntp
│ │ │ │  If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the "syslog-ng" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_talk_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the talk package is installed:
│ │ │ │ -$ dpkg -l  talk
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/group,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/group
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/group does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.drop_gratuitous_arp kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_ra_rtr_pref kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.drop_gratuitous_arp
│ │ │ │ -1.
│ │ │ │ +$ sysctl net.ipv6.conf.default.accept_ra_rtr_pref
│ │ │ │ +0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_users_home_files_groupownership_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify all files and directories in interactive user home directory are
│ │ │ │ -group-owned by a group the user is a member of, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo ls -lLR /home/USER
│ │ │ │ -      Is it the case that the group ownership is incorrect?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_seccomp_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_structleak_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECCOMP /boot/config.*
│ │ │ │ +    $ grep CONFIG_GCC_PLUGIN_STRUCTLEAK /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │ -          <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the audit system is configured to take an appropriate action when the internal event queue is full:
│ │ │ │ +$ sudo grep -i overflow_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -If the system is configured to prevent the usage of the ipv6 on
│ │ │ │ -network interfaces, it will contain a line of the form:
│ │ │ │ -net.ipv6.conf.all.disable_ipv6 = 1
│ │ │ │ -Such lines may be inside any file in the /etc/sysctl.d directory.
│ │ │ │ -This permits insertion of the IPv6 kernel module (which other parts of the
│ │ │ │ -system expect to be present), but otherwise keeps all network interfaces
│ │ │ │ -from using IPv6. Run the following command to search for such lines in all
│ │ │ │ -files in /etc/sysctl.d:
│ │ │ │ -$ grep -r ipv6 /etc/sysctl.d
│ │ │ │ -      Is it the case that the ipv6 support is disabled on all network interfaces?</ocil:question_text>
│ │ │ │ +The output should contain overflow_action = syslog
│ │ │ │ +
│ │ │ │ +If the value of the "overflow_action" option is not set to syslog,
│ │ │ │ +single, halt or the line is commented out, ask the System Administrator
│ │ │ │ +to indicate how the audit logs are off-loaded to a different system or media.
│ │ │ │ +      Is it the case that auditd overflow action is not set correctly?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/ssh/*.pub,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/ssh/*.pub
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ssh/*.pub does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/tallylog" with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo auditctl -l | grep /var/log/tallylog
│ │ │ │ +
│ │ │ │ +-w /var/log/tallylog -p wa -k logins
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the system-wide shared library directories are owned by "root" with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.default.secure_redirects kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.default.secure_redirects
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -$ sudo find /lib /lib64 /usr/lib /usr/lib64 ! -user root -type d -exec stat -c "%n %U" '{}' \;
│ │ │ │ -      Is it the case that any system-wide shared library directory is not owned by root?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_boot_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /boot with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "init" command with the following command:
│ │ │ │  
│ │ │ │ -$ mountpoint /boot
│ │ │ │ +$ sudo auditctl -l | grep init
│ │ │ │  
│ │ │ │ -      Is it the case that "/boot is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +-a always,exit -F path=/init -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-init
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure sshd limits the users who can log in, run the following:
│ │ │ │ +pre&gt;$ sudo grep -rPi '^\h*(allow|deny)(users|groups)\h+\H+(\h+.*)?$' /etc/ssh/sshd_config*
│ │ │ │ +If properly configured, the output should be a list of usernames and/or
│ │ │ │ +groups allowed to log in to this system.
│ │ │ │ +      Is it the case that sshd does not limit the users who can log in?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-sshd_set_loglevel_info_question:question:1">
│ │ │ │            <ocil:question_text>To determine how the SSH daemon's LogLevel option is set, run the following command:
│ │ │ │  
│ │ │ │  $ sudo grep -i LogLevel /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │  If a line indicating INFO is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_systemmap_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /boot/System.map*,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /boot/System.map*
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /boot/System.map* does not have a group owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the aide package is installed: $ dpkg -l  aide
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_ipsec_secrets_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/ipsec.secrets,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_owner_etc_nftables_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/nftables,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/ipsec.secrets
│ │ │ │ +$ ls -lL /etc/nftables
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/ipsec.secrets does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/nftables does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-selinux_state_question:question:1">
│ │ │ │ -          <ocil:question_text>Ensure that Debian 12 verifies correct operation of security functions.
│ │ │ │ -
│ │ │ │ -Check if "SELinux" is active and in "" mode with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo getenforce
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_unauthorized_world_writable_question:question:1">
│ │ │ │ +          <ocil:question_text>To find world-writable files, run the following command:
│ │ │ │ +$ sudo find / -xdev -type f -perm -002
│ │ │ │ +      Is it the case that there is output?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_ra_pinfo kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv6.conf.default.accept_ra_pinfo
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -      Is it the case that SELINUX is not set to enforcing?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_grub2_cfg_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /boot/grub/grub.cfg,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /boot/grub/grub.cfg
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /boot/grub/grub.cfg does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the system commands contained in the following directories are owned by "root" with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin ! -user root -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system commands are found to not be owned by root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_crypttab_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/crypttab,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_crypttab_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/crypttab,
│ │ │ │  run the command:
│ │ │ │  $ ls -lL /etc/crypttab
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/crypttab does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/crypttab does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /var/log/messages,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/ssh/*_key,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /var/log/messages
│ │ │ │ +$ ls -lL /etc/ssh/*_key
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /var/log/messages does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/ssh/*_key does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -renameat system call, run the following command:
│ │ │ │ -$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's GSSAPIAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_var_log_nosuid_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the nosuid option is configured for the /var/log mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/var/log\s'
│ │ │ │ -    . . . /var/log . . . nosuid . . .
│ │ │ │ +$ sudo grep -i GSSAPIAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -      Is it the case that the "/var/log" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the system-wide shared library files are owned by "root" with the following command:
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 ! -user root -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system wide shared library file is not owned by root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that the system is integrated with a centralized authentication mechanism
│ │ │ │ -such as as Active Directory, Kerberos, Directory Server, etc. that has
│ │ │ │ -automated account mechanisms in place.
│ │ │ │ -      Is it the case that the system is not using a centralized authentication mechanism, or it is not automated?</ocil:question_text>
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PAGE_POISONING /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the fs.suid_dumpable kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl fs.suid_dumpable
│ │ │ │ +0.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/group,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_sshd_config_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/ssh/sshd_config,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/group
│ │ │ │ +$ ls -lL /etc/ssh/sshd_config
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/group does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/ssh/sshd_config does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the system commands contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │ +          <ocil:question_text>To properly set the owner of /var/log/audit, run the command:
│ │ │ │ +$ sudo chown root /var/log/audit 
│ │ │ │  
│ │ │ │ -$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin -perm /022 -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system commands are found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_user_cfg_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /boot/grub/user.cfg,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /boot/grub/user.cfg
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /boot/grub/user.cfg does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_dhcp_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the dhcp package is installed:
│ │ │ │ -$ dpkg -l  dhcp
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +To properly set the owner of /var/log/audit/*, run the command:
│ │ │ │ +$ sudo chown root /var/log/audit/* 
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_ra_defrtr kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.default.accept_ra_defrtr
│ │ │ │ -0.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-harden_ssh_client_crypto_policy_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify if the OpenSSH Client uses defined Crypto Policy, run:
│ │ │ │ +$ cat /etc/ssh/ssh_config.d/02-ospp.conf
│ │ │ │ +and verify that the line matches
│ │ │ │ +Match final all
│ │ │ │ +RekeyLimit 512M 1h
│ │ │ │ +GSSAPIAuthentication no
│ │ │ │ +Ciphers aes256-ctr,aes256-cbc,aes128-ctr,aes128-cbc
│ │ │ │ +PubkeyAcceptedKeyTypes ssh-rsa,ecdsa-sha2-nistp384,ecdsa-sha2-nistp256
│ │ │ │ +MACs hmac-sha2-512,hmac-sha2-256
│ │ │ │ +KexAlgorithms ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group14-sha1
│ │ │ │ +      Is it the case that Crypto Policy for OpenSSH Client is not configured according to CC requirements?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_compat_brk_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_COMPAT_BRK /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEVKMEM /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEVKMEM /boot/config.*
│ │ │ │ +    $ grep CONFIG_RETPOLINE /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -init_module system call, run the following command:
│ │ │ │ -$ sudo grep "init_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -finit_module system call, run the following command:
│ │ │ │ -$ sudo grep "finit_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -delete_module system call, run the following command:
│ │ │ │ -$ sudo grep "delete_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /var/log/syslog,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /var/log/syslog
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +syslog
│ │ │ │ +      Is it the case that /var/log/syslog does not have an owner of syslog?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_usr_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /usr with the following command:
│ │ │ │ -
│ │ │ │ -$ mountpoint /usr
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_var_nosuid_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the nosuid option is configured for the /var mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/var\s'
│ │ │ │ +    . . . /var . . . nosuid . . .
│ │ │ │  
│ │ │ │ -      Is it the case that "/usr is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/var" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-kernel_config_modify_ldt_syscall_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │      $ grep CONFIG_MODIFY_LDT_SYSCALL /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_ungroupowned_question:question:1">
│ │ │ │ -          <ocil:question_text>The following command will locate the mount points related to local devices:
│ │ │ │ -$ findmnt -n -l -k -it $(awk '/nodev/ { print $2 }' /proc/filesystems | paste -sd,)
│ │ │ │ -
│ │ │ │ -The following command will show files which do not belong to a valid group:
│ │ │ │ -$ sudo find MOUNTPOINT -xdev -nogroup 2&gt;/dev/null
│ │ │ │ -
│ │ │ │ -Replace MOUNTPOINT by the mount points listed by the fist command.
│ │ │ │ -
│ │ │ │ -No files without a valid group should be located.
│ │ │ │ -      Is it the case that there is output?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the rsyslog package is installed: $ dpkg -l  rsyslog
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_all_shadowed_question:question:1">
│ │ │ │ -          <ocil:question_text>To check that no password hashes are stored in
│ │ │ │ -/etc/passwd, run the following command:
│ │ │ │ -awk '!/\S:x|\*/ {print}' /etc/passwd
│ │ │ │ -If it produces any output, then a password hash is
│ │ │ │ -stored in /etc/passwd.
│ │ │ │ -      Is it the case that any stored hashes are found in /etc/passwd?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_shadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/shadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/shadow-
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -shadow
│ │ │ │ -      Is it the case that /etc/shadow- does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_ip_local_port_range_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.ip_local_port_range kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.ip_local_port_range
│ │ │ │ -32768 65535.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include iommu=force, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*iommu=force.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that I/OMMU is not activated?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-aide_periodic_cron_checking_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the operating system routinely checks the baseline configuration for unauthorized changes.
│ │ │ │ -
│ │ │ │ -To determine that periodic AIDE execution has been scheduled, run the following command:
│ │ │ │ -$ grep aide /etc/crontab
│ │ │ │ -The output should return something similar to the following:
│ │ │ │ -05 4 * * * root /usr/sbin/aide --check
│ │ │ │ -
│ │ │ │ -NOTE: The usage of special cron times, such as @daily or @weekly, is acceptable.
│ │ │ │ -      Is it the case that AIDE is not configured to scan periodically?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │            <ocil:question_text>To check the permissions of /var/log/syslog,
│ │ │ │  run the command:
│ │ │ │  $ ls -l /var/log/syslog
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │  -rw-r-----
│ │ │ │        Is it the case that /var/log/syslog does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_mds_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include mds=, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*mds=.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that MDS mitigations are not configured appropriately?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_owner_etc_iptables_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/iptables,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/iptables
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/iptables does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-aide_verify_acls_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine that AIDE is verifying ACLs, run the following command:
│ │ │ │ +$ grep acl /etc/aide/aide.conf
│ │ │ │ +Verify that the acl option is added to the correct ruleset.
│ │ │ │ +      Is it the case that the acl option is missing or not added to the correct ruleset?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -auditd service:
│ │ │ │ -$ sudo systemctl is-active auditd
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the auditd service is not running?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_tftp_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>The tftp package can be removed with the following command:  $ apt-get remove tftp
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_tmp_noexec_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the noexec option is configured for the /tmp mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/tmp\s'
│ │ │ │ -    . . . /tmp . . . noexec . . .
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_redirects kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv6.conf.default.accept_redirects
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -      Is it the case that the "/tmp" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-security_patches_up_to_date_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 security patches and updates are installed and up to date.
│ │ │ │ -Updates are required to be applied with a frequency determined by organizational policy.
│ │ │ │ -
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify users are provided with feedback on when account accesses last occurred with the following command:
│ │ │ │  
│ │ │ │ +$ sudo grep pam_lastlog /etc/pam.d/postlogin
│ │ │ │  
│ │ │ │ -Typical update frequency may be overridden by Information Assurance Vulnerability Alert (IAVA) notifications from CYBERCOM.
│ │ │ │ -      Is it the case that Debian 12 is in non-compliance with the organizational patching policy?</ocil:question_text>
│ │ │ │ +session [default=1] pam_lastlog.so showfailed
│ │ │ │ +      Is it the case that "pam_lastlog.so" is not properly configured in "/etc/pam.d/postlogin" file?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include mce=0, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*mce=0.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that MCE tolerance is not set to zero?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_SECURITY_WRITABLE_HOOKS /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include slab_nomerge=yes, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*slab_nomerge=yes.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that merging of slabs with similar size is enabled?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.panic_on_oops kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.panic_on_oops
│ │ │ │ +1.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that only the "root" account has a UID "0" assignment with the
│ │ │ │ -following command:
│ │ │ │ -$ awk -F: '$3 == 0 {print $1}' /etc/passwd
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_sudoers_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/sudoers,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/sudoers
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that any accounts other than "root" have a UID of "0"?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/sudoers does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ -/bin
│ │ │ │ -/sbin
│ │ │ │ -/usr/bin
│ │ │ │ -/usr/sbin
│ │ │ │ -/usr/local/bin
│ │ │ │ -/usr/local/sbin
│ │ │ │ -To find system executables directories that are group-writable or
│ │ │ │ -world-writable, run the following command for each directory DIR
│ │ │ │ -which contains system executables:
│ │ │ │ -$ sudo find -L DIR -perm /022 -type d
│ │ │ │ -      Is it the case that any of these files are group-writable or world-writable?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if logfile has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults\s*\blogfile\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that logfile is not enabled in sudo?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /var/log/syslog,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /var/log/syslog
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -syslog
│ │ │ │ -      Is it the case that /var/log/syslog does not have an owner of syslog?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_SYN_COOKIES /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-no_files_unowned_by_user_question:question:1">
│ │ │ │ -          <ocil:question_text>The following command will locate the mount points related to local devices:
│ │ │ │ -$ findmnt -n -l -k -it $(awk '/nodev/ { print $2 }' /proc/filesystems | paste -sd,)
│ │ │ │ -
│ │ │ │ -The following command will show files which do not belong to a valid user:
│ │ │ │ -$ sudo find MOUNTPOINT -xdev -nouser 2&gt;/dev/null
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /home with the following command:
│ │ │ │  
│ │ │ │ -Replace MOUNTPOINT by the mount points listed by the fist command.
│ │ │ │ +$ mountpoint /home
│ │ │ │  
│ │ │ │ -No files without a valid user should be located.
│ │ │ │ -      Is it the case that files exist that are not owned by a valid user?</ocil:question_text>
│ │ │ │ +      Is it the case that "/home is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_randstruct_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_stackprotector_strong_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_GCC_PLUGIN_RANDSTRUCT /boot/config.*
│ │ │ │ +    $ grep CONFIG_STACKPROTECTOR_STRONG /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │ -      Is it the case that the kernel was built with the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_systemmap_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /boot/System.map*,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /boot/System.map*
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /boot/System.map* does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fremovexattr system call, run the following command:
│ │ │ │ -$ sudo grep "fremovexattr" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_add_ignore_dot_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if ignore_dot has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults.*\bignore_dot\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that ignore_dot is not enabled in sudo?</ocil:question_text>
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_sched_stack_end_check_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SCHED_STACK_END_CHECK /boot/config.*
│ │ │ │ +    $ grep CONFIG_PROC_KCORE /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_redirects kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_source_route kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.all.accept_redirects
│ │ │ │ +$ sysctl net.ipv6.conf.all.accept_source_route
│ │ │ │  0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/group,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_minimum_age_login_defs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 enforces 24 hours/one day as the minimum password lifetime for new user accounts.
│ │ │ │ +
│ │ │ │ +Check for the value of "PASS_MIN_DAYS" in "/etc/login.defs" with the following command:
│ │ │ │ +
│ │ │ │ +$ grep -i pass_min_days /etc/login.defs
│ │ │ │ +
│ │ │ │ +PASS_MIN_DAYS 
│ │ │ │ +      Is it the case that the "PASS_MIN_DAYS" parameter value is not "&lt;sub idref="var_accounts_minimum_age_login_defs" /&gt;" or greater, or is commented out?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_ipsec_conf_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/ipsec.conf,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/group
│ │ │ │ +$ ls -l /etc/ipsec.conf
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/group does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +0644
│ │ │ │ +      Is it the case that /etc/ipsec.conf does not have unix mode 0644?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.shared_media kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.shared_media
│ │ │ │ -0.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that McAfee HIPS is installed, run the following command(s):
│ │ │ │ +$ rpm -q MFEhiplsm
│ │ │ │ +      Is it the case that the HBSS HIPS module is not installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PermitEmptyPasswords option is set, run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +$ sudo grep -i PermitEmptyPasswords /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_ra_pinfo kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_chrony_keys_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/chrony.keys,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/chrony.keys
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/chrony.keys does not have an owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating prohibit-password is returned, then the required value is set.
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +umount2 system call, run the following command:
│ │ │ │ +$ sudo grep "umount2" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.accept_source_route kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.default.accept_ra_pinfo
│ │ │ │ +$ sysctl net.ipv4.conf.all.accept_source_route
│ │ │ │  0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/shadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/shadow-
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /etc/shadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_stackprotector_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_hardened_usercopy_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_STACKPROTECTOR /boot/config.*
│ │ │ │ +    $ grep CONFIG_HARDENED_USERCOPY /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/gshadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/gshadow-
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/gshadow- does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_var_tmp_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /var/tmp with the following command:
│ │ │ │ -
│ │ │ │ -$ mountpoint /var/tmp
│ │ │ │ -
│ │ │ │ -      Is it the case that "/var/tmp is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.default.send_redirects kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_sysrq_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.sysrq kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.default.send_redirects
│ │ │ │ +$ sysctl kernel.sysrq
│ │ │ │  0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_ocredit_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 enforces password complexity by requiring that at least one special character with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-no_files_unowned_by_user_question:question:1">
│ │ │ │ +          <ocil:question_text>The following command will locate the mount points related to local devices:
│ │ │ │ +$ findmnt -n -l -k -it $(awk '/nodev/ { print $2 }' /proc/filesystems | paste -sd,)
│ │ │ │  
│ │ │ │ -$ sudo grep ocredit /etc/security/pwquality.conf /etc/security/pwquality.conf.d/*.conf
│ │ │ │ +The following command will show files which do not belong to a valid user:
│ │ │ │ +$ sudo find MOUNTPOINT -xdev -nouser 2&gt;/dev/null
│ │ │ │  
│ │ │ │ -ocredit = 
│ │ │ │ -      Is it the case that value of "ocredit" is a positive number or is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the system-wide shared library files contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │ +Replace MOUNTPOINT by the mount points listed by the fist command.
│ │ │ │  
│ │ │ │ -$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 -perm /022 -type f -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system-wide shared library file is found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │ +No files without a valid user should be located.
│ │ │ │ +      Is it the case that files exist that are not owned by a valid user?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-rsyslog_files_groupownership_question:question:1">
│ │ │ │ +          <ocil:question_text>The group-owner of all log files written by rsyslog should be
│ │ │ │ +adm.
│ │ │ │ +These log files are determined by the second part of each Rule line in
│ │ │ │ +/etc/rsyslog.conf and typically all appear in /var/log.
│ │ │ │ +To see the group-owner of a given log file, run the following command:
│ │ │ │ +$ ls -l LOGFILE
│ │ │ │ +      Is it the case that the group-owner is not correct?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if negation is used to define commands users are allowed to execute using sudo, run the following command:
│ │ │ │ +$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,!\n][^,\n]+,)*\s*(?:\([^\)]+\))?\s*(?!\s*\()(!\S+).*' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that /etc/sudoers file contains rules that define the set of allowed commands using negation?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_vsyscall_none_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SYN_COOKIES /boot/config.*
│ │ │ │ +    $ grep CONFIG_LEGACY_VSYSCALL_NONE /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/passwd,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/passwd
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/passwd does not have an owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.perf_event_max_sample_rate kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.perf_event_max_sample_rate
│ │ │ │ +1.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/ssh/*.pub,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/ssh/*.pub
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/ssh/*.pub does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +chmod system call, run the following command:
│ │ │ │ +$ sudo grep "chmod" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_interval_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure the failed password attempt policy is configured correctly, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ grep fail_interval /etc/security/faillock.conf
│ │ │ │ -The output should show fail_interval = &lt;interval-in-seconds&gt; where interval-in-seconds is  or greater.
│ │ │ │ -      Is it the case that the "fail_interval" option is not set to "&lt;sub idref="var_accounts_passwords_pam_faillock_fail_interval" /&gt;"
│ │ │ │ -or less (but not "0"), the line is commented out, or the line is missing?</ocil:question_text>
│ │ │ │ +$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating /etc/issue is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_efi_user_cfg_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /boot/grub2/user.cfg,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 disables core dump backtraces by issuing the following command:
│ │ │ │ +
│ │ │ │ +$ grep -i process /etc/systemd/coredump.conf
│ │ │ │ +
│ │ │ │ +ProcessSizeMax=0
│ │ │ │ +      Is it the case that the "ProcessSizeMax" item is missing, commented out, or the value is anything other than "0" and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /var/log/messages,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /boot/grub2/user.cfg
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /boot/grub2/user.cfg does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ +$ ls -lL /var/log/messages
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /var/log/messages does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_var_tmp_nosuid_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the nosuid option is configured for the /var/tmp mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/var/tmp\s'
│ │ │ │ -    . . . /var/tmp . . . nosuid . . .
│ │ │ │ -
│ │ │ │ -      Is it the case that the "/var/tmp" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify all squashing has been disabled, run the following command:
│ │ │ │ +$ grep all_squash /etc/exports
│ │ │ │ +      Is it the case that there is output?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_shadow_question:question:1">
│ │ │ │            <ocil:question_text>To check the ownership of /etc/shadow-,
│ │ │ │  run the command:
│ │ │ │  $ ls -lL /etc/shadow-
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │        Is it the case that /etc/shadow- does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-apparmor_configured_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -apparmor service:
│ │ │ │ -$ sudo systemctl is-active apparmor
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that it is not?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/passwd-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/passwd-
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/passwd- does not have a group owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.randomize_va_space kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.randomize_va_space
│ │ │ │ -2.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_user_cfg_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /boot/grub/user.cfg,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /boot/grub/user.cfg
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /boot/grub/user.cfg does not have a group owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_ra_defrtr kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.route_localnet kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.all.accept_ra_defrtr
│ │ │ │ +$ sysctl net.ipv4.conf.all.route_localnet
│ │ │ │  0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_pam_pwquality_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the libpam-pwquality package is installed:
│ │ │ │ -$ dpkg -l  libpam-pwquality
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the open_by_handle_at system call.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the creat system call.
│ │ │ │  
│ │ │ │  If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -r open_by_handle_at /etc/audit/rules.d
│ │ │ │ +$ sudo grep -r creat /etc/audit/rules.d
│ │ │ │  
│ │ │ │  If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep open_by_handle_at /etc/audit/audit.rules
│ │ │ │ +$ sudo grep creat /etc/audit/audit.rules
│ │ │ │  
│ │ │ │  The output should be the following:
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S open_by_handle_at -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S open_by_handle_at -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S open_by_handle_at -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S open_by_handle_at -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │        Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/group-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/group-
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/group- does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_add_env_reset_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if env_reset has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults.*\benv_reset\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that env_reset is not enabled in sudo?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/shadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/shadow
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/shadow does not have an owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +delete_module system call, run the following command:
│ │ │ │ +$ sudo grep "delete_module" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's IgnoreUserKnownHosts option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │ +          <ocil:question_text>The existence of the file /etc/hosts.equiv or a file named
│ │ │ │ +.rhosts inside a user home directory indicates the presence
│ │ │ │ +of an Rsh trust relationship.
│ │ │ │ +      Is it the case that these files exist?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_page_poison_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include page_poison=1, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*page_poison=1.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that page allocator poisoning is not enabled?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_pti_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include pti=on, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*pti=on.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that Kernel page-table isolation is not enabled?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_ARM64_SW_TTBR0_PAN /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_loglevel_verbose_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's LogLevel option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i IgnoreUserKnownHosts /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i LogLevel /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +If a line indicating VERBOSE is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the status and frequency of logrotate, run the following command:
│ │ │ │ -$ sudo grep logrotate /var/log/cron*
│ │ │ │ -If logrotate is configured properly, output should include references to
│ │ │ │ -/etc/cron.daily.
│ │ │ │ -      Is it the case that logrotate is not configured to run daily?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_ipsec_secrets_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/ipsec.secrets,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/ipsec.secrets
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0644
│ │ │ │ +      Is it the case that /etc/ipsec.secrets does not have unix mode 0644?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.default.rp_filter kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.default.rp_filter
│ │ │ │ -1.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the file /etc/sysconfig/iptables to determine
│ │ │ │ -the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ -$ sudo grep ":INPUT" /etc/sysconfig/iptables
│ │ │ │ -      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/group-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/group-
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/group- does not have an owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include rng_core.default_quality=, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*rng_core.default_quality=.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that trust on hardware random number generator is not configured appropriately?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to see what the timeout interval is:
│ │ │ │ -$ sudo grep ClientAliveInterval /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -ClientAliveInterval 
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_rsh_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>The rsh package can be removed with the following command:  $ apt-get remove rsh
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/shadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/shadow
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /etc/shadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/lastlog" with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo auditctl -l | grep /var/log/lastlog
│ │ │ │ +
│ │ │ │ +-w /var/log/lastlog -p wa -k logins
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-sebool_polyinstantiation_enabled_question:question:1">
│ │ │ │            <ocil:question_text>Run the following command to get the current configured value for polyinstantiation_enabled
│ │ │ │  SELinux boolean:
│ │ │ │  $ getsebool polyinstantiation_enabled
│ │ │ │  The expected cofiguration is .
│ │ │ │  "on" means true, and "off" means false
│ │ │ │        Is it the case that polyinstantiation_enabled is not set as expected?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_tmp_nosuid_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the nosuid option is configured for the /tmp mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/tmp\s'
│ │ │ │ -    . . . /tmp . . . nosuid . . .
│ │ │ │ -
│ │ │ │ -      Is it the case that the "/tmp" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -removexattr system call, run the following command:
│ │ │ │ -$ sudo grep "removexattr" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_slab_freelist_hardened_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SLAB_FREELIST_HARDENED /boot/config.*
│ │ │ │ +    $ grep CONFIG_RANDOMIZE_BASE /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to see what the max sessions number is:
│ │ │ │ -$ sudo grep MaxSessions /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -MaxSessions 
│ │ │ │ -      Is it the case that MaxSessions is not configured or not configured correctly?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_owner_etc_iptables_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/iptables,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/iptables
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/iptables does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │ -          <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ -$ sudo postconf alias_maps
│ │ │ │ -Query the Postfix alias maps for an alias for the root user:
│ │ │ │ -$ sudo postmap -q root hash:/etc/aliases
│ │ │ │ -The output should return an alias.
│ │ │ │ -      Is it the case that the alias is not set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating /etc/issue is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -unlink system call, run the following command:
│ │ │ │ -$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify the audispd's syslog plugin is active, run the following command:
│ │ │ │ +$ sudo grep active /etc/audit/plugins.d/syslog.conf
│ │ │ │ +If the plugin is active, the output will show yes.
│ │ │ │ +      Is it the case that it is not activated?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.default.autoconf kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.all.autoconf kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.default.autoconf
│ │ │ │ +$ sysctl net.ipv6.conf.all.autoconf
│ │ │ │  0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.unprivileged_bpf_disabled kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_ra_defrtr kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl kernel.unprivileged_bpf_disabled
│ │ │ │ -1.
│ │ │ │ +$ sysctl net.ipv6.conf.default.accept_ra_defrtr
│ │ │ │ +0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 takes the appropriate action when the audit files have reached maximum size.
│ │ │ │ -
│ │ │ │ -Check that Debian 12 takes the appropriate action when the audit files have reached maximum size with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -max_log_file_action = 
│ │ │ │ -      Is it the case that the value of the "max_log_file_action" option is not "ROTATE", "SINGLE", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full. If there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_MODULE_SIG /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_snmpd_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>To check that the snmpd service is disabled in system boot configuration,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo systemctl is-enabled snmpd
│ │ │ │ -Output should indicate the snmpd service has either not been installed,
│ │ │ │ -or has been disabled at all runlevels, as shown in the example below:
│ │ │ │ -$ sudo systemctl is-enabled snmpd disabled
│ │ │ │ -
│ │ │ │ -Run the following command to verify snmpd is not active (i.e. not running) through current runtime configuration:
│ │ │ │ -$ sudo systemctl is-active snmpd
│ │ │ │ -
│ │ │ │ -If the service is not running the command will return the following output:
│ │ │ │ -inactive
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the password warning age, run the command:
│ │ │ │ +$ grep PASS_WARN_AGE /etc/login.defs
│ │ │ │ +The DoD requirement is 7.
│ │ │ │ +      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_full_action_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 takes the appropriate action when the audit storage volume is full.
│ │ │ │  
│ │ │ │ -The service will also be masked, to check that the snmpd is masked, run the following command:
│ │ │ │ -$ sudo systemctl show snmpd | grep "LoadState\|UnitFileState"
│ │ │ │ +Check that Debian 12 takes the appropriate action when the audit storage volume is full with the following command:
│ │ │ │  
│ │ │ │ -If the service is masked the command will return the following outputs:
│ │ │ │ +$ sudo grep disk_full_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -LoadState=masked
│ │ │ │ +disk_full_action = 
│ │ │ │  
│ │ │ │ -UnitFileState=masked
│ │ │ │ -      Is it the case that the "snmpd" is loaded and not masked?</ocil:question_text>
│ │ │ │ +If the value of the "disk_full_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full.
│ │ │ │ +      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_hardened_usercopy_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-dir_perms_world_writable_root_owned_question:question:1">
│ │ │ │ +          <ocil:question_text>The following command will discover and print world-writable directories that
│ │ │ │ +are not owned by root. Run it once for each local partition PART:
│ │ │ │ +$ sudo find PART -xdev -type d -perm -0002 -uid +0 -print
│ │ │ │ +      Is it the case that there are world-writable directories not owned by root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/gshadow,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/gshadow
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/gshadow does not have an owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/shadow,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/shadow
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /etc/shadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_pam_pwquality_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the libpam-pwquality package is installed:
│ │ │ │ +$ dpkg -l  libpam-pwquality
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_ptys_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_HARDENED_USERCOPY /boot/config.*
│ │ │ │ +    $ grep CONFIG_LEGACY_PTYS /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_question:question:1">
│ │ │ │            <ocil:question_text>Verify the operating system encrypts audit records off-loaded onto a different system
│ │ │ │  or media from the system being audited with the following commands:
│ │ │ │  
│ │ │ │  $ sudo grep -i '$DefaultNetstreamDriver' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │  
│ │ │ │  The output should be:
│ │ │ │  
│ │ │ │  /etc/rsyslog.conf:$DefaultNetstreamDriver gtls
│ │ │ │        Is it the case that rsyslogd DefaultNetstreamDriver not set to gtls?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit changes to its network configuration,
│ │ │ │ -run the following command:
│ │ │ │ -auditctl -l | grep -E '(/etc/issue|/etc/issue.net|/etc/hosts|/etc/sysconfig/network)'
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_unix_remember_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify the password reuse setting is compliant, run the following command:
│ │ │ │ +$ grep remember /etc/pam.d/common-password
│ │ │ │ +The output should show the following at the end of the line:
│ │ │ │ +remember=
│ │ │ │  
│ │ │ │ -If the system is configured to watch for network configuration changes, a line should be returned for
│ │ │ │ -each file specified (and perm=wa should be indicated for each).
│ │ │ │ -      Is it the case that the system is not configured to audit changes of the network configuration?</ocil:question_text>
│ │ │ │ +
│ │ │ │ +In newer systems, the pam_pwhistory PAM module options can also be set in
│ │ │ │ +"/etc/security/pwhistory.conf" file. Use the following command to verify:
│ │ │ │ +$ grep remember /etc/security/pwhistory.conf
│ │ │ │ +remember = 
│ │ │ │ +
│ │ │ │ +The pam_pwhistory remember option must be configured only in one file.
│ │ │ │ +      Is it the case that the value of remember is not equal to or greater than the expected value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_vsyscall_none_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_systemmap_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /boot/System.map*,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /boot/System.map*
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /boot/System.map* does not have an owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +chronyd service:
│ │ │ │ +$ sudo systemctl is-active chronyd
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the chronyd process is not running?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.secure_redirects kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.secure_redirects
│ │ │ │ +0.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +renameat system call, run the following command:
│ │ │ │ +$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +fchownat system call, run the following command:
│ │ │ │ +$ sudo grep "fchownat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +auditd service:
│ │ │ │ +$ sudo systemctl is-active auditd
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the auditd service is not running?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_vm_mmap_min_addr_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the vm.mmap_min_addr kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl vm.mmap_min_addr
│ │ │ │ +65536.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_shells_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/shells,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/shells
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0644
│ │ │ │ +      Is it the case that /etc/shells does not have unix mode 0644?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_selinux_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/selinux,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/selinux
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0755
│ │ │ │ +      Is it the case that /etc/selinux does not have unix mode 0755?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_LEGACY_VSYSCALL_NONE /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEBUG_FS /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_chrony_keys_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/chrony.keys,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/chrony.keys
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0640
│ │ │ │ -      Is it the case that /etc/chrony.keys does not have unix mode 0640?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_all_shadowed_question:question:1">
│ │ │ │ +          <ocil:question_text>To check that no password hashes are stored in
│ │ │ │ +/etc/passwd, run the following command:
│ │ │ │ +awk '!/\S:x|\*/ {print}' /etc/passwd
│ │ │ │ +If it produces any output, then a password hash is
│ │ │ │ +stored in /etc/passwd.
│ │ │ │ +      Is it the case that any stored hashes are found in /etc/passwd?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>To check that the sshd service is disabled in system boot configuration,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo systemctl is-enabled sshd
│ │ │ │ -Output should indicate the sshd service has either not been installed,
│ │ │ │ -or has been disabled at all runlevels, as shown in the example below:
│ │ │ │ -$ sudo systemctl is-enabled sshd disabled
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_FORCE /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the open_by_handle_at system call.
│ │ │ │  
│ │ │ │ -Run the following command to verify sshd is not active (i.e. not running) through current runtime configuration:
│ │ │ │ -$ sudo systemctl is-active sshd
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │ -If the service is not running the command will return the following output:
│ │ │ │ -inactive
│ │ │ │ +$ sudo grep -r open_by_handle_at /etc/audit/rules.d
│ │ │ │  
│ │ │ │ -The service will also be masked, to check that the sshd is masked, run the following command:
│ │ │ │ -$ sudo systemctl show sshd | grep "LoadState\|UnitFileState"
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │  
│ │ │ │ -If the service is masked the command will return the following outputs:
│ │ │ │ +$ sudo grep open_by_handle_at /etc/audit/audit.rules
│ │ │ │  
│ │ │ │ -LoadState=masked
│ │ │ │ +The output should be the following:
│ │ │ │  
│ │ │ │ -UnitFileState=masked
│ │ │ │ -      Is it the case that the "sshd" is loaded and not masked?</ocil:question_text>
│ │ │ │ +-a always,exit -F arch=b32 -S open_by_handle_at -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S open_by_handle_at -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S open_by_handle_at -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S open_by_handle_at -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_ARM64_SW_TTBR0_PAN /boot/config.*
│ │ │ │ +    $ grep CONFIG_BINFMT_MISC /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_wx_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_DEBUG_WX /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify users are provided with feedback on when account accesses last occurred with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep pam_lastlog /etc/pam.d/postlogin
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +rmdir system call, run the following command:
│ │ │ │ +$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -session [default=1] pam_lastlog.so showfailed
│ │ │ │ -      Is it the case that "pam_lastlog.so" is not properly configured in "/etc/pam.d/postlogin" file?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_ra_pinfo kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.all.accept_ra_pinfo
│ │ │ │ -0.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the cron package is installed:
│ │ │ │ +$ dpkg -l  cron
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the syslog-ng-core package is installed: $ dpkg -l  syslog-ng-core
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the system for the existence of any .netrc files,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo find /home -xdev -name .netrc
│ │ │ │ +      Is it the case that any .netrc files exist?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │ -          <ocil:question_text>To properly set the owner of /var/log/audit, run the command:
│ │ │ │ -$ sudo chown root /var/log/audit 
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 is configured to take action in the event of allocated audit record storage volume reaches 95 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │  
│ │ │ │ -To properly set the owner of /var/log/audit/*, run the command:
│ │ │ │ -$ sudo chown root /var/log/audit/* 
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +$ sudo grep admin_space_left_action /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +admin_space_left_action = single
│ │ │ │ +
│ │ │ │ +If the value of the "admin_space_left_action" is not set to "single", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ +      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_messages_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /var/log/messages,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /var/log/messages
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /var/log/messages does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ +determine how many logs the system is configured to retain after rotation:
│ │ │ │ +$ sudo grep num_logs /etc/audit/auditd.conf
│ │ │ │ +num_logs = 5
│ │ │ │ +      Is it the case that the system log file retention has not been properly configured?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_sysctld_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/sysctl.d,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/sysctl.d
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0755
│ │ │ │ -      Is it the case that /etc/sysctl.d does not have unix mode 0755?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_users_home_files_permissions_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify all files and directories contained in interactive user home
│ │ │ │ +directory, excluding local initialization files, have a mode of 0750,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo ls -lLR /home/USER
│ │ │ │ +      Is it the case that home directory files or folders have incorrect permissions?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_pti_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include pti=on, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*pti=on.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that Kernel page-table isolation is not enabled?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_DEBUG_LIST /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_owner_etc_ipsecd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/ipsec.d,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/ipsec.d
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ipsec.d does not have an owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that Audit Daemon is configured to write logs to the disk, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep write_logs /etc/audit/auditd.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +write_logs = yes
│ │ │ │ +      Is it the case that write_logs isn't set to yes?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the openssh-server package is installed: $ dpkg -l  openssh-server
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the gnutls-utils package is installed: $ dpkg -l  gnutls-utils
│ │ │ │        Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.rp_filter parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.default.accept_redirects kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.rp_filter
│ │ │ │ -The output of the command should indicate either:
│ │ │ │ -net.ipv4.conf.all.rp_filter = 1
│ │ │ │ -or:
│ │ │ │ -net.ipv4.conf.all.rp_filter = 2
│ │ │ │ -The output of the command should not indicate:
│ │ │ │ -net.ipv4.conf.all.rp_filter = 0
│ │ │ │ +$ sysctl net.ipv4.conf.default.accept_redirects
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -The preferable way how to assure the runtime compliance is to have
│ │ │ │ -correct persistent configuration, and rebooting the system.
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_insmod_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that auditing of privileged command use is configured, run the
│ │ │ │ +following command:
│ │ │ │  
│ │ │ │ -The persistent sysctl parameter configuration is performed by specifying the appropriate
│ │ │ │ -assignment in any file located in the /etc/sysctl.d directory.
│ │ │ │ -Verify that there is not any existing incorrect configuration by executing the following command:
│ │ │ │ -$ grep -r '^\s*net.ipv4.conf.all.rp_filter\s*=' /etc/sysctl.conf /etc/sysctl.d
│ │ │ │ -The command should not find any assignments other than:
│ │ │ │ -net.ipv4.conf.all.rp_filter = 1
│ │ │ │ -or:
│ │ │ │ -net.ipv4.conf.all.rp_filter = 2
│ │ │ │ +   sudo auditctl -l | grep -w '/sbin/insmod'
│ │ │ │  
│ │ │ │ -Conflicting assignments are not allowed.
│ │ │ │ -      Is it the case that the net.ipv4.conf.all.rp_filter is not set to 1 or 2 or is configured to be 0?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_sudoers_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/sudoers,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/sudoers
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/sudoers does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_bug_on_data_corruption_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_BUG_ON_DATA_CORRUPTION /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +If the system is configured to audit the execution of the module management program "insmod",
│ │ │ │ +the command will return a line.
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PermitEmptyPasswords option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_sudo_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "sudo" command with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i PermitEmptyPasswords /etc/ssh/sshd_config
│ │ │ │ +$ sudo auditctl -l | grep sudo
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +-a always,exit -F path=/usr/bin/sudo -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-sudo
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_user_cfg_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /boot/grub/user.cfg,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /boot/grub/user.cfg
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /boot/grub/user.cfg does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.send_redirects kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.send_redirects
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_KEY /boot/config.*
│ │ │ │ +    $ grep CONFIG_HIBERNATION /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_config_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/ssh/sshd_config,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /etc/ssh/sshd_config does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /boot/System.map*,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /boot/System.map*
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /boot/System.map* does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-package_sudo_installed_question:question:1">
│ │ │ │            <ocil:question_text>Run the following command to determine if the sudo package is installed: $ dpkg -l  sudo
│ │ │ │        Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if negation is used to define commands users are allowed to execute using sudo, run the following command:
│ │ │ │ -$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,!\n][^,\n]+,)*\s*(?:\([^\)]+\))?\s*(?!\s*\()(!\S+).*' /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that /etc/sudoers file contains rules that define the set of allowed commands using negation?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_regular_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the fs.protected_regular kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl fs.protected_regular
│ │ │ │ -2.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the openat system call.
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_unauthorized_world_writable_question:question:1">
│ │ │ │ -          <ocil:question_text>To find world-writable files, run the following command:
│ │ │ │ -$ sudo find / -xdev -type f -perm -002
│ │ │ │ -      Is it the case that there is output?</ocil:question_text>
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -r openat /etc/audit/rules.d
│ │ │ │ +
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep openat /etc/audit/audit.rules
│ │ │ │ +
│ │ │ │ +The output should be the following:
│ │ │ │ +
│ │ │ │ +-a always,exit -F arch=b32 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_efi_grub2_cfg_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /boot/grub2/grub.cfg,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_systemmap_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /boot/System.map*,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /boot/grub2/grub.cfg
│ │ │ │ +$ ls -lL /boot/System.map*
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /boot/grub2/grub.cfg does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /boot/System.map* does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_sg_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_SG /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /tmp with the following command:
│ │ │ │ +
│ │ │ │ +$ mountpoint /tmp
│ │ │ │ +
│ │ │ │ +      Is it the case that "/tmp is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.accept_local kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.default.send_redirects kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.accept_local
│ │ │ │ +$ sysctl net.ipv4.conf.default.send_redirects
│ │ │ │  0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/group,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_selinux_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/selinux,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/group
│ │ │ │ +$ ls -lL /etc/selinux
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/selinux does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/passwd-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/passwd-
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/group does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/passwd- does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_symlinks_question:question:1">
│ │ │ │            <ocil:question_text>The runtime status of the fs.protected_symlinks kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │  $ sysctl fs.protected_symlinks
│ │ │ │  1.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_stackleak_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_GCC_PLUGIN_STACKLEAK /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_grub2_cfg_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /boot/grub/grub.cfg, run the command:
│ │ │ │ -$ sudo ls -lL /boot/grub/grub.cfg
│ │ │ │ -If properly configured, the output should indicate the following
│ │ │ │ -permissions: -rw-------
│ │ │ │ -      Is it the case that it does not?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_vdsm_nopasswd_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if NOPASSWD has been configured for the vdsm user for sudo,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo grep -ri nopasswd /etc/sudoers.d/
│ │ │ │ -The command should return output only for the vdsm user.
│ │ │ │ -      Is it the case that nopasswd is set for any users beyond vdsm?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-mount_option_dev_shm_nodev_question:question:1">
│ │ │ │            <ocil:question_text>Verify the nodev option is configured for the /dev/shm mount point,
│ │ │ │      run the following command:
│ │ │ │      $ sudo mount | grep '\s/dev/shm\s'
│ │ │ │      . . . /dev/shm . . . nodev . . .
│ │ │ │  
│ │ │ │        Is it the case that the "/dev/shm" file system does not have the "nodev" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_l1tf_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include l1tf=, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*l1tf=.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that l1tf mitigations are not configured appropriately?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_talk-server_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the talk-server package is installed:
│ │ │ │ -$ dpkg -l  talk-server
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │ -          <ocil:question_text>To check which SSH protocol version is allowed, check version of
│ │ │ │ -openssh-server with following command:
│ │ │ │ -$ rpm -qi openssh-server | grep Version
│ │ │ │ -Versions equal to or higher than 7.4 have deprecated the RhostsRSAAuthentication option.
│ │ │ │ -If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ -To determine how the SSH daemon's RhostsRSAAuthentication option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i RhostsRSAAuthentication /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.tcp_rfc1337 kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.tcp_rfc1337
│ │ │ │ -1.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-set_password_hashing_algorithm_logindefs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that the shadow password suite configuration is set to encrypt password with a FIPS 140-2 approved cryptographic hashing algorithm.
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if !authenticate has not been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -r \!authenticate /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that !authenticate is specified in the sudo config files?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_ipsec_secrets_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/ipsec.secrets,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/ipsec.secrets
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0644
│ │ │ │ -      Is it the case that /etc/ipsec.secrets does not have unix mode 0644?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/tallylog" with the following command:
│ │ │ │ +Check the hashing algorithm that is being used to hash passwords with the following command:
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep /var/log/tallylog
│ │ │ │ +$ sudo grep -i ENCRYPT_METHOD /etc/login.defs
│ │ │ │  
│ │ │ │ --w /var/log/tallylog -p wa -k logins
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_hardened_usercopy_fallback_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_HARDENED_USERCOPY_FALLBACK /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_rsh_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>The rsh package can be removed with the following command:  $ apt-get remove rsh
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +ENCRYPT_METHOD 
│ │ │ │ +      Is it the case that ENCRYPT_METHOD is not set to &lt;sub idref="var_password_hashing_algorithm" /&gt;?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_chown_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -chown system call, run the following command:
│ │ │ │ -$ sudo grep "chown" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that GRUB_DISABLE_RECOVERY is set to true in /etc/default/grub to disable recovery boot.
│ │ │ │ +Run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_refcount_full_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_REFCOUNT_FULL /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +$ sudo grep GRUB_DISABLE_RECOVERY /etc/default/grub
│ │ │ │ +      Is it the case that GRUB_DISABLE_RECOVERY is not set to true or is missing?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_ra_rtr_pref kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.default.accept_ra_rtr_pref
│ │ │ │ -0.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the aide package is installed: $ dpkg -l  aide
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_tmout_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to ensure the TMOUT value is configured for all users
│ │ │ │ -on the system:
│ │ │ │ -
│ │ │ │ -$ sudo grep TMOUT /etc/profile /etc/profile.d/*.sh
│ │ │ │ -
│ │ │ │ -The output should return the following:
│ │ │ │ -TMOUT=
│ │ │ │ -      Is it the case that value of TMOUT is not less than or equal to expected setting?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit changes to its SELinux
│ │ │ │ +configuration files, run the following command:
│ │ │ │ +$ sudo auditctl -l | grep "dir=/usr/share/selinux"
│ │ │ │ +If the system is configured to watch for changes to its SELinux
│ │ │ │ +configuration, a line should be returned (including
│ │ │ │ +perm=wa indicating permissions that are watched).
│ │ │ │ +      Is it the case that the system is not configured to audit attempts to change the MAC policy?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_dedicated_group_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /usr/bin/sudo,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /usr/bin/sudo
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_home_noexec_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the noexec option is configured for the /home mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/home\s'
│ │ │ │ +    . . . /home . . . noexec . . .
│ │ │ │  
│ │ │ │ -      Is it the case that /usr/bin/sudo does not have a group owner of &lt;sub idref="var_sudo_dedicated_group" /&gt;?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/home" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_strict_kernel_rwx_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_STRICT_KERNEL_WRX /boot/config.*
│ │ │ │ +    $ grep CONFIG_SECURITY /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_dmesg_restrict_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.dmesg_restrict kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.dmesg_restrict
│ │ │ │ -1.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include mce=0, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*mce=0.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that MCE tolerance is not set to zero?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -rmdir system call, run the following command:
│ │ │ │ -$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │ +fsetxattr system call, run the following command:
│ │ │ │ +$ sudo grep "fsetxattr" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.all.router_solicitations kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.all.router_solicitations
│ │ │ │ -0.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if requiretty has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults.*\brequiretty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that requiretty is not enabled in sudo?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.perf_cpu_time_max_percent kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.perf_cpu_time_max_percent
│ │ │ │ -1.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ +determine how much data the system will retain in each audit log file:
│ │ │ │ +$ sudo grep max_log_file /etc/audit/auditd.conf
│ │ │ │ +max_log_file = 6
│ │ │ │ +      Is it the case that the system audit data threshold has not been properly configured?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │            <ocil:question_text>To ensure the MaxAuthTries parameter is set, run the following command:
│ │ │ │  $ sudo grep MaxAuthTries /etc/ssh/sshd_config
│ │ │ │  If properly configured, output should be:
│ │ │ │  MaxAuthTries 
│ │ │ │        Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_crypttab_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/crypttab,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the syslog-ng-core package is installed: $ dpkg -l  syslog-ng-core
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>Shared libraries are stored in the following directories:
│ │ │ │ +/lib
│ │ │ │ +/lib64
│ │ │ │ +/usr/lib
│ │ │ │ +/usr/lib64
│ │ │ │ +
│ │ │ │ +To find shared libraries that are group-writable or world-writable,
│ │ │ │ +run the following command for each directory DIR which contains shared libraries:
│ │ │ │ +$ sudo find -L DIR -perm /022 -type d
│ │ │ │ +      Is it the case that any of these files are group-writable or world-writable?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_xinetd_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the xinetd package is installed:
│ │ │ │ +$ dpkg -l  xinetd
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +syslog-ng service:
│ │ │ │ +$ sudo systemctl is-active syslog-ng
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the "syslog-ng" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to ensure that /var/tmp is configured as a
│ │ │ │ +polyinstantiated directory:
│ │ │ │ +$ sudo grep /var/tmp /etc/security/namespace.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +/var/tmp /var/tmp/tmp-inst/    level      root,adm
│ │ │ │ +      Is it the case that is not configured?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_mds_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include mds=, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*mds=.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that MDS mitigations are not configured appropriately?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_chrony_keys_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/chrony.keys,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/crypttab
│ │ │ │ +$ ls -l /etc/chrony.keys
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │ -0600
│ │ │ │ -      Is it the case that /etc/crypttab does not have unix mode 0600?</ocil:question_text>
│ │ │ │ +0640
│ │ │ │ +      Is it the case that /etc/chrony.keys does not have unix mode 0640?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's StrictModes option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i StrictModes /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_add_umask_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if umask has been configured for sudo with the appropriate value,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo grep -ri '^Defaults.*umask=' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that umask is not set with the appropriate value for sudo?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-securetty_root_login_console_only_question:question:1">
│ │ │ │ -          <ocil:question_text>To check for virtual console entries which permit root login, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep ^vc/[0-9] /etc/securetty
│ │ │ │ -If any output is returned, then root logins over virtual console devices is permitted.
│ │ │ │ -      Is it the case that root login over virtual console devices is permitted?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /var/log,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /var/log
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +drwxr-xr-x
│ │ │ │ +      Is it the case that /var/log does not have unix mode drwxr-xr-x?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that the SA and ISSO (at a minimum) are notified when the audit storage volume is full.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │  
│ │ │ │ -Check which action Debian 12 takes when the audit storage volume is full with the following command:
│ │ │ │ +$ sudo grep audit /etc/security/faillock.conf
│ │ │ │  
│ │ │ │ -$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │ -max_log_file_action = 
│ │ │ │ -      Is it the case that the value of the "max_log_file_action" option is set to "ignore", "rotate", or "suspend", or the line is commented out?</ocil:question_text>
│ │ │ │ +audit
│ │ │ │ +      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that the interactive user account passwords last change time is not in the future
│ │ │ │ -The following command should return no output
│ │ │ │ -$ sudo expiration=$(cat /etc/shadow|awk -F ':' '{print $3}');
│ │ │ │ -for edate in ${expiration[@]}; do if [[ $edate &gt; $(( $(date +%s)/86400 )) ]];
│ │ │ │ -then echo "Expiry date in future";
│ │ │ │ -fi; done 
│ │ │ │ -      Is it the case that any interactive user password that has last change time in the future?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │ +          <ocil:question_text>Ensure that debug-shell service is not enabled with the following command:
│ │ │ │ +grep systemd\.debug-shell=1 /boot/grub2/grubenv /etc/default/grub
│ │ │ │ +If the command returns a line, it means that debug-shell service is being enabled.
│ │ │ │ +      Is it the case that the comand returns a line?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that the audit system collects unauthorized file accesses, run the following commands:
│ │ │ │ -$ sudo grep EACCES /etc/audit/audit.rules
│ │ │ │ -$ sudo grep EPERM /etc/audit/audit.rules
│ │ │ │ -      Is it the case that 32-bit and 64-bit system calls to creat, open, openat, open_by_handle_at, truncate, and ftruncate are not audited during EACCES and EPERM?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 generates an audit record for all uses of the "umount" and system call.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +"umount" system call, run the following command:
│ │ │ │ +$ sudo grep "umount" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line like the following.
│ │ │ │ +-a always,exit -F arch=b32 -S umount -F auid&gt;=1000 -F auid!=unset -k privileged-umount
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.default.shared_media kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.all.max_addresses kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.default.shared_media
│ │ │ │ -0.
│ │ │ │ +$ sysctl net.ipv6.conf.all.max_addresses
│ │ │ │ +1.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_modprobe_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that auditing of privileged command use is configured, run the
│ │ │ │ -following command:
│ │ │ │ -
│ │ │ │ -  sudo auditctl -l | grep -w '/sbin/modprobe'
│ │ │ │ -  -w /sbin/modprobe -p x -k modules
│ │ │ │ -
│ │ │ │ -It should return a relevant line in the audit rules.
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchown system call, run the following command:
│ │ │ │ -$ sudo grep "fchown" /etc/audit/audit.*
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │ +          <ocil:question_text>If the system is not configured to audit time changes, this is a finding.
│ │ │ │ +If the system is 64-bit only, this is not applicable
│ │ │ │ +ocil: |
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +stime system call, run the following command:
│ │ │ │ +$ sudo grep "stime" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_var_noexec_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the noexec option is configured for the /var mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/var\s'
│ │ │ │ -    . . . /var . . . noexec . . .
│ │ │ │ -
│ │ │ │ -      Is it the case that the "/var" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if NOPASSWD has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri nopasswd /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that nopasswd is specified in the sudo config files?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_lcredit_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 enforces password complexity by requiring that at least one lower-case character.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_SECURITY_YAMA /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 notifies the SA and ISSO (at a minimum) when allocated audit record storage volume reaches 75 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │  
│ │ │ │ -Check the value for "lcredit" with the following command:
│ │ │ │ +$ sudo grep -w space_left_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -$ sudo grep lcredit /etc/security/pwquality.conf /etc/security/pwquality.conf.d/*.conf
│ │ │ │ +space_left_action = 
│ │ │ │  
│ │ │ │ -/etc/security/pwquality.conf:lcredit = -1
│ │ │ │ -      Is it the case that the value of "lcredit" is a positive number or is commented out?</ocil:question_text>
│ │ │ │ +If the value of the "space_left_action" is not set to "", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ +      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_source_route kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.default.accept_source_route
│ │ │ │ -0.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_ocredit_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 enforces password complexity by requiring that at least one special character with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +$ sudo grep ocredit /etc/security/pwquality.conf /etc/security/pwquality.conf.d/*.conf
│ │ │ │ +
│ │ │ │ +ocredit = 
│ │ │ │ +      Is it the case that value of "ocredit" is a positive number or is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_sestatus_conf_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/sestatus.conf,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_grub2_cfg_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /boot/grub/grub.cfg,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/sestatus.conf
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0644
│ │ │ │ -      Is it the case that /etc/sestatus.conf does not have unix mode 0644?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the ntp package is installed: $ dpkg -l  ntp
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │ -          <ocil:question_text>The existence of the file /etc/hosts.equiv or a file named
│ │ │ │ -.rhosts inside a user home directory indicates the presence
│ │ │ │ -of an Rsh trust relationship.
│ │ │ │ -      Is it the case that these files exist?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_tftp-server_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the tftp-server package is installed:
│ │ │ │ -$ dpkg -l  tftp-server
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the fs.suid_dumpable kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl fs.suid_dumpable
│ │ │ │ -0.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +$ ls -lL /boot/grub/grub.cfg
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /boot/grub/grub.cfg does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.icmp_ignore_bogus_error_responses kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.tcp_syncookies kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.icmp_ignore_bogus_error_responses
│ │ │ │ +$ sysctl net.ipv4.tcp_syncookies
│ │ │ │  1.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupownership_sshd_private_key_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/ssh/*_key,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_KEY /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_messages_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /var/log/messages,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/ssh/*_key
│ │ │ │ +$ ls -lL /var/log/messages
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/ssh/*_key does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /var/log/messages does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>If the device or Debian 12 does not have a camera installed, this requirement is not applicable.
│ │ │ │ -
│ │ │ │ -This requirement is not applicable to mobile devices (smartphones and tablets), where the use of the camera is a local AO decision.
│ │ │ │ -
│ │ │ │ -This requirement is not applicable to dedicated VTC suites located in approved VTC locations that are centrally managed.
│ │ │ │ -
│ │ │ │ -For an external camera, if there is not a method for the operator to manually disconnect the camera at the end of collaborative computing sessions, this is a finding.
│ │ │ │ -
│ │ │ │ -For a built-in camera, the camera must be protected by a camera cover (e.g., laptop camera cover slide) when not in use. If the built-in camera is not protected with a camera cover, or is not physically disabled, this is a finding.
│ │ │ │ -
│ │ │ │ -If the camera is not disconnected, covered, or physically disabled, determine if it is being disabled via software with the following commands:
│ │ │ │ -
│ │ │ │ -Verify the operating system disables the ability to load the uvcvideo kernel module.
│ │ │ │ -
│ │ │ │ -$ sudo grep -r uvcvideo /etc/modprobe.d/* | grep "/bin/true"
│ │ │ │ -
│ │ │ │ -install uvcvideo /bin/true
│ │ │ │ -      Is it the case that the command does not return any output, or the line is commented out, and the collaborative computing device has not been authorized for use?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_owner_etc_sysctld_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/sysctl.d,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/sysctl.d
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/sysctl.d does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-aide_verify_ext_attributes_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine that AIDE is verifying extended file attributes, run the following command:
│ │ │ │ -$ grep xattrs /etc/aide/aide.conf
│ │ │ │ -Verify that the xattrs option is added to the correct ruleset.
│ │ │ │ -      Is it the case that the xattrs option is missing or not added to the correct ruleset?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-disallow_bypass_password_sudo_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the operating system is not configured to bypass password requirements for privilege
│ │ │ │ +escalation. Check the configuration of the "/etc/pam.d/sudo" file with the following command:
│ │ │ │ +$ sudo grep pam_succeed_if /etc/pam.d/sudo
│ │ │ │ +      Is it the case that system is configured to bypass password requirements for privilege escalation?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_uefi_password_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify the boot loader superuser password has been set, run the following command:
│ │ │ │ -$ sudo grep "^[\s]*GRUB2_PASSWORD=grub\.pbkdf2\.sha512.*$" /boot/grub2/user.cfg
│ │ │ │ -The output should be similar to:
│ │ │ │ -GRUB2_PASSWORD=grub.pbkdf2.sha512.10000.C4E08AC72FBFF7E837FD267BFAD7AEB3D42DDC
│ │ │ │ -2C99F2A94DD5E2E75C2DC331B719FE55D9411745F82D1B6CFD9E927D61925F9BBDD1CFAA0080E0
│ │ │ │ -916F7AB46E0D.1302284FCCC52CD73BA3671C6C12C26FF50BA873293B24EE2A96EE3B57963E6D7
│ │ │ │ -0C83964B473EC8F93B07FE749AA6710269E904A9B08A6BBACB00A2D242AD828
│ │ │ │ -      Is it the case that no password is set?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_sendmail_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the sendmail package is installed:
│ │ │ │ +$ dpkg -l  sendmail
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit account changes,
│ │ │ │ -run the following command:
│ │ │ │ -auditctl -l | grep -E '(/etc/passwd|/etc/shadow|/etc/group|/etc/gshadow|/etc/security/opasswd)'
│ │ │ │ -If the system is configured to watch for account changes, lines should be returned for
│ │ │ │ -each file specified (and with perm=wa for each).
│ │ │ │ -      Is it the case that the system is not configured to audit account changes?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_bug_on_data_corruption_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_BUG_ON_DATA_CORRUPTION /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_l1tf_argument_question:question:1">
│ │ │ │            <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │  in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include spec_store_bypass_disable=, then the parameter
│ │ │ │ +If they include l1tf=, then the parameter
│ │ │ │  is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*spec_store_bypass_disable=.*' GRUBENV_FILE_LOCATION
│ │ │ │ +$ sudo grep 'kernelopts.*l1tf=.*' GRUBENV_FILE_LOCATION
│ │ │ │  Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that SSB is not configured appropriately?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PermitUserEnvironment option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i PermitUserEnvironment /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +      Is it the case that l1tf mitigations are not configured appropriately?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to ensure that /var/tmp is configured as a
│ │ │ │ -polyinstantiated directory:
│ │ │ │ -$ sudo grep /var/tmp /etc/security/namespace.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -/var/tmp /var/tmp/tmp-inst/    level      root,adm
│ │ │ │ -      Is it the case that is not configured?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if NOPASSWD or !authenticate have been configured for
│ │ │ │ +sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "nopasswd\|\!authenticate" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that nopasswd and/or !authenticate is enabled in sudo?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_dev_shm_nosuid_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the nosuid option is configured for the /dev/shm mount point,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_boot_nosuid_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the nosuid option is configured for the /boot mount point,
│ │ │ │      run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/dev/shm\s'
│ │ │ │ -    . . . /dev/shm . . . nosuid . . .
│ │ │ │ +    $ sudo mount | grep '\s/boot\s'
│ │ │ │ +    . . . /boot . . . nosuid . . .
│ │ │ │  
│ │ │ │ -      Is it the case that the "/dev/shm" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/boot" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that root's primary group is zero run the following command:
│ │ │ │ -
│ │ │ │ -    grep '^root:' /etc/passwd | cut -d : -f 4
│ │ │ │ -
│ │ │ │ -The command should return:
│ │ │ │ -
│ │ │ │ -0
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_unlock_time_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 is configured to lock an account until released by an administrator
│ │ │ │ +after  unsuccessful logon
│ │ │ │ +attempts with the command:
│ │ │ │  
│ │ │ │ -      Is it the case that root has a primary gid not equal to zero?</ocil:question_text>
│ │ │ │ +$ grep 'unlock_time =' /etc/security/faillock.conf
│ │ │ │ +unlock_time = 
│ │ │ │ +      Is it the case that the "unlock_time" option is not set to "&lt;sub idref="var_accounts_passwords_pam_faillock_unlock_time" /&gt;",
│ │ │ │ +the line is missing, or commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_ipsec_secrets_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/ipsec.secrets,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_compat_brk_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_COMPAT_BRK /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include slab_nomerge=yes, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*slab_nomerge=yes.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that merging of slabs with similar size is enabled?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_syslog_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /var/log/syslog,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/ipsec.secrets
│ │ │ │ +$ ls -lL /var/log/syslog
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ipsec.secrets does not have a group owner of root?</ocil:question_text>
│ │ │ │ +adm
│ │ │ │ +      Is it the case that /var/log/syslog does not have a group owner of adm?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_ptys_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that Audit Daemon is configured to include local events, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep local_events /etc/audit/auditd.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +local_events = yes
│ │ │ │ +      Is it the case that local_events isn't set to yes?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_security_dmesg_restrict_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_LEGACY_PTYS /boot/config.*
│ │ │ │ +    $ grep CONFIG_SECURITY_DMESG_RESTRICT /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-rsyslog_files_groupownership_question:question:1">
│ │ │ │ -          <ocil:question_text>The group-owner of all log files written by rsyslog should be
│ │ │ │ -adm.
│ │ │ │ -These log files are determined by the second part of each Rule line in
│ │ │ │ -/etc/rsyslog.conf and typically all appear in /var/log.
│ │ │ │ -To see the group-owner of a given log file, run the following command:
│ │ │ │ -$ ls -l LOGFILE
│ │ │ │ -      Is it the case that the group-owner is not correct?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_efi_grub2_cfg_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /boot/grub2/grub.cfg, run the command:
│ │ │ │ +$ sudo ls -lL /boot/grub2/grub.cfg
│ │ │ │ +If properly configured, the output should indicate the following
│ │ │ │ +permissions: -rwx------
│ │ │ │ +      Is it the case that it does not?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_full_action_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 takes the appropriate action when the audit storage volume is full.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-rsyslog_remote_tls_cacert_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that rsyslog's Forwarding Output Module has CA certificate
│ │ │ │ +configured for its TLS connections to remote server, run the following command:
│ │ │ │ +$ grep DefaultNetstreamDriverCAFile /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ +The output should include record similar to
│ │ │ │ +global(DefaultNetstreamDriverCAFile="/etc/pki/tls/cert.pem")
│ │ │ │ +where the path to the CA file (/etc/pki/tls/cert.pem in case above) must point to the correct CA certificate.
│ │ │ │ +      Is it the case that CA certificate for rsyslog remote logging via TLS is not set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_modules_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.modules_disabled kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.modules_disabled
│ │ │ │ +1.
│ │ │ │  
│ │ │ │ -Check that Debian 12 takes the appropriate action when the audit storage volume is full with the following command:
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_ALL /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep disk_full_action /etc/audit/auditd.conf
│ │ │ │ +$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -disk_full_action = 
│ │ │ │ +If a line indicating /etc/issue.net is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -If the value of the "disk_full_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full.
│ │ │ │ -      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure ClientAliveInterval is set correctly, run the following command:
│ │ │ │ -$ sudo grep ClientAliveCountMax /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -ClientAliveCountMax 
│ │ │ │ -For SSH earlier than v8.2, a ClientAliveCountMax value of 0 causes a timeout precisely when
│ │ │ │ -the ClientAliveInterval is set.  Starting with v8.2, a value of 0 disables the timeout
│ │ │ │ -functionality completely.
│ │ │ │ -If the option is set to a number greater than 0, then the session will be disconnected after
│ │ │ │ -ClientAliveInterval * ClientAliveCountMax seconds without receiving a keep alive message.
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.accept_local kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.accept_local
│ │ │ │ +0.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-timer_logrotate_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the logrotate timer: $ sudo systemctl is-active logrotate.timer If the timer is running, it should return the following: active
│ │ │ │ -      Is it the case that logrotate timer is not enabled?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 limits the number of concurrent sessions to
│ │ │ │ +"" for all
│ │ │ │ +accounts and/or account types with the following command:
│ │ │ │ +$ grep -r -s maxlogins /etc/security/limits.conf /etc/security/limits.d/*.conf
│ │ │ │ +/etc/security/limits.conf:* hard maxlogins 10
│ │ │ │ +This can be set as a global domain (with the * wildcard) but may be set differently for multiple domains.
│ │ │ │ +      Is it the case that the "maxlogins" item is missing, commented out, or the value is set greater
│ │ │ │ +than "&lt;sub idref="var_accounts_max_concurrent_login_sessions" /&gt;" and
│ │ │ │ +is not documented with the Information System Security Officer (ISSO) as an
│ │ │ │ +operational requirement for all domains that have the "maxlogins" item
│ │ │ │ +assigned'?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_sysadmin_actions_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that auditing is configured for system administrator actions, run the following command:
│ │ │ │ -$ sudo auditctl -l | grep "watch=/etc/sudoers\|watch=/etc/sudoers.d\|-w /etc/sudoers\|-w /etc/sudoers.d"
│ │ │ │ -      Is it the case that there is not output?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that Audit Daemon is configured to flush to disk after
│ │ │ │ +every  records, run the following command:
│ │ │ │ +$ sudo grep freq /etc/audit/auditd.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +freq = 
│ │ │ │ +      Is it the case that freq isn't set to &lt;sub idref="var_auditd_freq" /&gt;?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │ -$ sudo awk -F: '!$2 {print $1}' /etc/shadow
│ │ │ │ -If this produces any output, it may be possible to log into accounts
│ │ │ │ -with empty passwords.
│ │ │ │ -      Is it the case that Blank or NULL passwords can be used?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_nftables_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/nftables,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/nftables
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0700
│ │ │ │ +      Is it the case that /etc/nftables does not have unix mode 0700?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the nss-tools package is installed: $ dpkg -l  nss-tools
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_owner_etc_sudoersd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/sudoers.d,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/sudoers.d
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/sudoers.d does not have an owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 enforces a delay of at least  seconds between console logon prompts following a failed logon attempt with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i "FAIL_DELAY" /etc/login.defs
│ │ │ │ +FAIL_DELAY 
│ │ │ │ +      Is it the case that the value of "FAIL_DELAY" is not set to "&lt;sub idref="var_accounts_fail_delay" /&gt;" or greater, or the line is commented out?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_var_tmp_noexec_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the noexec option is configured for the /var/tmp mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/var/tmp\s'
│ │ │ │ +    . . . /var/tmp . . . noexec . . .
│ │ │ │ +
│ │ │ │ +      Is it the case that the "/var/tmp" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │ +          <ocil:question_text>To check if the installed Operating System is 64-bit, run the following command:
│ │ │ │ +$ uname -m
│ │ │ │ +The output should be one of the following: x86_64, aarch64, ppc64le or s390x.
│ │ │ │ +If the output is i686 or i386 the operating system is 32-bit.
│ │ │ │ +Check if the installed CPU supports 64-bit operating systems by running the following command:
│ │ │ │ +$ lscpu | grep "CPU op-mode"
│ │ │ │ +If the output contains 64bit, the CPU supports 64-bit operating systems.
│ │ │ │ +      Is it the case that the installed operating sytem is 32-bit but the CPU supports operation in 64-bit?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the logrotate package is installed: $ dpkg -l  logrotate
│ │ │ │        Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_vsyscall_emulate_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's AllowTcpForwarding option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i AllowTcpForwarding /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +      Is it the case that The AllowTcpForwarding option exists and is disabled?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_LEGACY_VSYSCALL_EMULATE /boot/config.*
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_HASH /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the chrony package is installed: $ dpkg -l  chrony
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/ssh/*.pub,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/ssh/*.pub
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/ssh/*.pub does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the system-wide shared library directories are owned by "root" with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep audit /etc/security/faillock.conf
│ │ │ │ +$ sudo find /lib /lib64 /usr/lib /usr/lib64 ! -user root -type d -exec stat -c "%n %U" '{}' \;
│ │ │ │ +      Is it the case that any system-wide shared library directory is not owned by root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_var_tmp_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /var/tmp with the following command:
│ │ │ │  
│ │ │ │ -audit
│ │ │ │ -      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │ +$ mountpoint /var/tmp
│ │ │ │ +
│ │ │ │ +      Is it the case that "/var/tmp is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-aide_verify_acls_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine that AIDE is verifying ACLs, run the following command:
│ │ │ │ -$ grep acl /etc/aide/aide.conf
│ │ │ │ -Verify that the acl option is added to the correct ruleset.
│ │ │ │ -      Is it the case that the acl option is missing or not added to the correct ruleset?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to ensure postfix routes mail to this system:
│ │ │ │ +$ grep relayhost /etc/postfix/main.cf
│ │ │ │ +If properly configured, the output should show only .
│ │ │ │ +      Is it the case that it is not?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_NOTIFIERS /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/passwd,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/passwd
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/passwd does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_question:question:1">
│ │ │ │            <ocil:question_text>Verify the operating system encrypts audit records off-loaded onto a different system
│ │ │ │  or media from the system being audited with the following commands:
│ │ │ │  
│ │ │ │  $ sudo grep -i '$ActionSendStreamDriverMode' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │  
│ │ │ │  The output should be:
│ │ │ │  
│ │ │ │  /etc/rsyslog.conf:$ActionSendStreamDriverMode 1
│ │ │ │        Is it the case that rsyslogd ActionSendStreamDriverMode is not set to 1?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_sestatus_conf_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/sestatus.conf,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to ensure the default FORWARD policy is DROP:
│ │ │ │ +grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ +The output should be similar to the following:
│ │ │ │ +$ sudo grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ +:FORWARD DROP [0:0
│ │ │ │ +      Is it the case that the default policy for the FORWARD chain is not set to DROP?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_setroubleshoot-plugins_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the setroubleshoot-plugins package is installed:
│ │ │ │ +$ dpkg -l  setroubleshoot-plugins
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /var/log,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/sestatus.conf
│ │ │ │ +$ ls -lL /var/log
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/sestatus.conf does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-dir_system_commands_root_owned_question:question:1">
│ │ │ │ -          <ocil:question_text>System commands are stored in the following directories:
│ │ │ │ -/bin 
│ │ │ │ -/sbin 
│ │ │ │ -/usr/bin 
│ │ │ │ -/usr/sbin 
│ │ │ │ -/usr/local/bin 
│ │ │ │ -/usr/local/sbin
│ │ │ │ -For each of these directories, run the following command to find directories not
│ │ │ │ -owned by root:
│ │ │ │ -$ sudo find -L $DIR ! -user root -type d
│ │ │ │ -      Is it the case that any of these directories are not owned by root?</ocil:question_text>
│ │ │ │ +      Is it the case that /var/log does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_rsh-server_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the rsh-server package is installed:
│ │ │ │ -$ dpkg -l  rsh-server
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/security/opasswd" with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo auditctl -l | grep 
│ │ │ │ +
│ │ │ │ +-w  -p wa -k logins
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_add_umask_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if umask has been configured for sudo with the appropriate value,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo grep -ri '^Defaults.*umask=' /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that umask is not set with the appropriate value for sudo?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 takes the appropriate action when the audit storage volume is full.
│ │ │ │ +
│ │ │ │ +Check that Debian 12 takes the appropriate action when the audit storage volume is full with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep disk_full_action /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +disk_full_action = 
│ │ │ │ +
│ │ │ │ +If the value of the "disk_full_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full.
│ │ │ │ +      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit changes to its SELinux
│ │ │ │ -configuration files, run the following command:
│ │ │ │ -$ sudo auditctl -l | grep "dir=/usr/share/selinux"
│ │ │ │ -If the system is configured to watch for changes to its SELinux
│ │ │ │ -configuration, a line should be returned (including
│ │ │ │ -perm=wa indicating permissions that are watched).
│ │ │ │ -      Is it the case that the system is not configured to audit attempts to change the MAC policy?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_seccomp_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_SECCOMP /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_unlock_time_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 is configured to lock an account until released by an administrator
│ │ │ │ -after  unsuccessful logon
│ │ │ │ -attempts with the command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>If the device or Debian 12 does not have a camera installed, this requirement is not applicable.
│ │ │ │  
│ │ │ │ -$ grep 'unlock_time =' /etc/security/faillock.conf
│ │ │ │ -unlock_time = 
│ │ │ │ -      Is it the case that the "unlock_time" option is not set to "&lt;sub idref="var_accounts_passwords_pam_faillock_unlock_time" /&gt;",
│ │ │ │ -the line is missing, or commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>Shared libraries are stored in the following directories:
│ │ │ │ -/lib
│ │ │ │ -/lib64
│ │ │ │ -/usr/lib
│ │ │ │ -/usr/lib64
│ │ │ │ +This requirement is not applicable to mobile devices (smartphones and tablets), where the use of the camera is a local AO decision.
│ │ │ │  
│ │ │ │ -To find shared libraries that are group-writable or world-writable,
│ │ │ │ -run the following command for each directory DIR which contains shared libraries:
│ │ │ │ -$ sudo find -L DIR -perm /022 -type d
│ │ │ │ -      Is it the case that any of these files are group-writable or world-writable?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-set_password_hashing_algorithm_logindefs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that the shadow password suite configuration is set to encrypt password with a FIPS 140-2 approved cryptographic hashing algorithm.
│ │ │ │ +This requirement is not applicable to dedicated VTC suites located in approved VTC locations that are centrally managed.
│ │ │ │  
│ │ │ │ -Check the hashing algorithm that is being used to hash passwords with the following command:
│ │ │ │ +For an external camera, if there is not a method for the operator to manually disconnect the camera at the end of collaborative computing sessions, this is a finding.
│ │ │ │  
│ │ │ │ -$ sudo grep -i ENCRYPT_METHOD /etc/login.defs
│ │ │ │ +For a built-in camera, the camera must be protected by a camera cover (e.g., laptop camera cover slide) when not in use. If the built-in camera is not protected with a camera cover, or is not physically disabled, this is a finding.
│ │ │ │  
│ │ │ │ -ENCRYPT_METHOD 
│ │ │ │ -      Is it the case that ENCRYPT_METHOD is not set to &lt;sub idref="var_password_hashing_algorithm" /&gt;?</ocil:question_text>
│ │ │ │ +If the camera is not disconnected, covered, or physically disabled, determine if it is being disabled via software with the following commands:
│ │ │ │ +
│ │ │ │ +Verify the operating system disables the ability to load the uvcvideo kernel module.
│ │ │ │ +
│ │ │ │ +$ sudo grep -r uvcvideo /etc/modprobe.d/* | grep "/bin/true"
│ │ │ │ +
│ │ │ │ +install uvcvideo /bin/true
│ │ │ │ +      Is it the case that the command does not return any output, or the line is commented out, and the collaborative computing device has not been authorized for use?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │ -          <ocil:question_text>To check if UsePrivilegeSeparation is enabled or set correctly, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep UsePrivilegeSeparation /etc/ssh/sshd_config
│ │ │ │ -If configured properly, output should be .
│ │ │ │ -      Is it the case that it is commented out or is not enabled?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │ +          <ocil:question_text>To find the location of the AIDE database file, run the following command:
│ │ │ │ +$ sudo ls -l DBDIR/database_file_name
│ │ │ │ +      Is it the case that there is no database file?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_owner_etc_sysctld_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/sysctl.d,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /var/log,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/sysctl.d
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ +$ ls -lL /var/log
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/sysctl.d does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_user_dot_user_ownership_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify all local initialization files for interactive users are owned by the
│ │ │ │ -primary user, run the following command:
│ │ │ │ -$ sudo ls -al /home/USER/.*
│ │ │ │ -The user initialization files should be owned by USER.
│ │ │ │ -      Is it the case that they are not?</ocil:question_text>
│ │ │ │ +      Is it the case that /var/log does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.tcp_syncookies kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_pid_max_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.pid_max kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.tcp_syncookies
│ │ │ │ -1.
│ │ │ │ +$ sysctl kernel.pid_max
│ │ │ │ +65536.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │ -          <ocil:question_text>To properly set the owner of /etc/audit/, run the command:
│ │ │ │ -$ sudo chown root /etc/audit/ 
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_UNMAP_KERNEL_AT_EL0 /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +finit_module system call, run the following command:
│ │ │ │ +$ sudo grep "finit_module" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -To properly set the owner of /etc/audit/rules.d/, run the command:
│ │ │ │ -$ sudo chown root /etc/audit/rules.d/ 
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PrintLastLog option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.randomize_va_space kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.randomize_va_space
│ │ │ │ +2.
│ │ │ │  
│ │ │ │ -$ sudo grep -i PrintLastLog /etc/ssh/sshd_config
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_shadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/shadow-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/shadow-
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +shadow
│ │ │ │ +      Is it the case that /etc/shadow- does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_var_log_noexec_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the noexec option is configured for the /var/log mount point,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_home_nosuid_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the nosuid option is configured for the /home mount point,
│ │ │ │      run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/var/log\s'
│ │ │ │ -    . . . /var/log . . . noexec . . .
│ │ │ │ +    $ sudo mount | grep '\s/home\s'
│ │ │ │ +    . . . /home . . . nosuid . . .
│ │ │ │  
│ │ │ │ -      Is it the case that the "/var/log" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/home" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_password_question:question:1">
│ │ │ │ -          <ocil:question_text>First, check whether the password is defined in either /boot/grub/user.cfg or
│ │ │ │ -/boot/grub/grub.cfg.
│ │ │ │ -Run the following commands:
│ │ │ │ -$ sudo grep '^[\s]*GRUB2_PASSWORD=grub\.pbkdf2\.sha512.*$' /boot/grub/user.cfg
│ │ │ │ -$ sudo grep '^[\s]*password_pbkdf2[\s]+.*[\s]+grub\.pbkdf2\.sha512.*$' /boot/grub/grub.cfg
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-rsyslog_files_ownership_question:question:1">
│ │ │ │ +          <ocil:question_text>The owner of all log files written by rsyslog should be
│ │ │ │  
│ │ │ │ +adm.
│ │ │ │  
│ │ │ │ -Second, check that a superuser is defined in /boot/grub/grub.cfg.
│ │ │ │ -$ sudo grep '^[\s]*set[\s]+superusers=("?)[a-zA-Z_]+\1$'  /boot/grub/grub.cfg
│ │ │ │ -      Is it the case that it does not produce any output?</ocil:question_text>
│ │ │ │ +These log files are determined by the second part of each Rule line in
│ │ │ │ +/etc/rsyslog.conf and typically all appear in /var/log.
│ │ │ │ +To see the owner of a given log file, run the following command:
│ │ │ │ +$ ls -l LOGFILE
│ │ │ │ +      Is it the case that the owner is not correct?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /dev/shm with the following command:
│ │ │ │ -
│ │ │ │ -$ mountpoint /dev/shm
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_PAGE_POISONING_NO_SANITY /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_shells_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/shells,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/shells
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/shells does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_interval_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure the failed password attempt policy is configured correctly, run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that "/dev/shm is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +$ grep fail_interval /etc/security/faillock.conf
│ │ │ │ +The output should show fail_interval = &lt;interval-in-seconds&gt; where interval-in-seconds is  or greater.
│ │ │ │ +      Is it the case that the "fail_interval" option is not set to "&lt;sub idref="var_accounts_passwords_pam_faillock_fail_interval" /&gt;"
│ │ │ │ +or less (but not "0"), the line is commented out, or the line is missing?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that the system backups user data.
│ │ │ │ -      Is it the case that it is not?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │ +          <ocil:question_text>To properly set the permissions of /etc/audit/, run the command:
│ │ │ │ +$ sudo chmod 0640 /etc/audit/
│ │ │ │ +
│ │ │ │ +To properly set the permissions of /etc/audit/rules.d/, run the command:
│ │ │ │ +$ sudo chmod 0640 /etc/audit/rules.d/
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_ucredit_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 enforces password complexity by requiring that at least one upper-case character.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the audit log directories have a correct mode or less permissive mode.
│ │ │ │  
│ │ │ │ -Check the value for "ucredit" with the following command:
│ │ │ │ +Find the location of the audit logs:
│ │ │ │  
│ │ │ │ -$ sudo grep ucredit /etc/security/pwquality.conf /etc/security/pwquality.conf.d/*.conf
│ │ │ │ +$ sudo grep "^log_file" /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -ucredit = -1
│ │ │ │ -      Is it the case that the value of "ucredit" is a positive number or is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure the default password is not set, run the following command:
│ │ │ │ -$ sudo grep -v "^#" /etc/snmp/snmpd.conf| grep -E 'public|private'
│ │ │ │ -There should be no output.
│ │ │ │ -      Is it the case that the default SNMP passwords public and private have not been changed or removed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's KerberosAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i KerberosAuthentication /etc/ssh/sshd_config
│ │ │ │ +Find the group that owns audit logs:
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +$ sudo grep "^log_group" /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_passwd_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/passwd" with the following command:
│ │ │ │  
│ │ │ │ -$  sudo auditctl -l | grep -E '(/etc/passwd)'
│ │ │ │ +Run the following command to check the mode of the system audit logs:
│ │ │ │  
│ │ │ │ --w /etc/passwd -p wa -k identity
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -mount system call, run the following command:
│ │ │ │ -$ sudo grep "mount" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +$ sudo stat -c "%a %n" [audit_log_directory]
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │ -          <ocil:question_text>If the system is not configured to audit time changes, this is a finding.
│ │ │ │ -If the system is 64-bit only, this is not applicable
│ │ │ │ -ocil: |
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -stime system call, run the following command:
│ │ │ │ -$ sudo grep "stime" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +Replace "[audit_log_directory]" to the correct audit log directory path, by default this location is "/var/log/audit".
│ │ │ │ +
│ │ │ │ +
│ │ │ │ +If the log_group is "root" or is not set, the correct permissions are 0700, otherwise they are 0750.
│ │ │ │ +      Is it the case that audit logs have a more permissive mode?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_FORCE /boot/config.*
│ │ │ │ +    $ grep CONFIG_PANIC_ON_OOPS /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_vm_mmap_min_addr_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the vm.mmap_min_addr kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_fifos_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the fs.protected_fifos kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl vm.mmap_min_addr
│ │ │ │ -65536.
│ │ │ │ +$ sysctl fs.protected_fifos
│ │ │ │ +2.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECCOMP_FILTER /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_sudoersd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/sudoers.d,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/sudoers.d
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0750
│ │ │ │ +      Is it the case that /etc/sudoers.d does not have unix mode 0750?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_minclass_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the value of the "minclass" option in "/etc/security/pwquality.conf" with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the minimum password length, run the command:
│ │ │ │ +$ grep PASS_MIN_LEN /etc/login.defs
│ │ │ │ +The DoD requirement is 15.
│ │ │ │ +      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_ipsec_conf_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/ipsec.conf,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ipsec.conf
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ipsec.conf does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_sysctld_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/sysctl.d,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/sysctl.d
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0755
│ │ │ │ +      Is it the case that /etc/sysctl.d does not have unix mode 0755?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_kptr_restrict_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.kptr_restrict kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.kptr_restrict
│ │ │ │ +The output of the command should indicate either:
│ │ │ │ +kernel.kptr_restrict = 1
│ │ │ │ +or:
│ │ │ │ +kernel.kptr_restrict = 2
│ │ │ │ +The output of the command should not indicate:
│ │ │ │ +kernel.kptr_restrict = 0
│ │ │ │  
│ │ │ │ -$ grep minclass /etc/security/pwquality.conf
│ │ │ │ +The preferable way how to assure the runtime compliance is to have
│ │ │ │ +correct persistent configuration, and rebooting the system.
│ │ │ │  
│ │ │ │ -minclass = 
│ │ │ │ -      Is it the case that the value of "minclass" is set to less than "&lt;sub idref="var_password_pam_minclass" /&gt;" or is commented out?</ocil:question_text>
│ │ │ │ +The persistent kernel parameter configuration is performed by specifying the appropriate
│ │ │ │ +assignment in any file located in the /etc/sysctl.d directory.
│ │ │ │ +Verify that there is not any existing incorrect configuration by executing the following command:
│ │ │ │ +$ grep -r '^\s*kernel.kptr_restrict\s*=' /etc/sysctl.conf /etc/sysctl.d
│ │ │ │ +The command should not find any assignments other than:
│ │ │ │ +kernel.kptr_restrict = 1
│ │ │ │ +or:
│ │ │ │ +kernel.kptr_restrict = 2
│ │ │ │ +
│ │ │ │ +Conflicting assignments are not allowed.
│ │ │ │ +      Is it the case that the kernel.kptr_restrict is not set to 1 or 2 or is configured to be 0?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if NOPASSWD or !authenticate have been configured for
│ │ │ │ -sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "nopasswd\|\!authenticate" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that nopasswd and/or !authenticate is enabled in sudo?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_kmod_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "kmod" command with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo auditctl -l | grep kmod
│ │ │ │ +
│ │ │ │ +-a always,exit -F path=/usr/bin/kmod -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-kmod
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /var/log,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_module_ipv6_option_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │ +
│ │ │ │ +If the system is configured to disable the
│ │ │ │ +ipv6 kernel module, it will contain a line
│ │ │ │ +of the form:
│ │ │ │ +options ipv6 disable=1
│ │ │ │ +Such lines may be inside any file in /etc/modprobe.d or the
│ │ │ │ +deprecated/etc/modprobe.conf.  This permits insertion of the IPv6
│ │ │ │ +kernel module (which other parts of the system expect to be present), but
│ │ │ │ +otherwise keeps it inactive.  Run the following command to search for such
│ │ │ │ +lines in all files in /etc/modprobe.d and the deprecated
│ │ │ │ +/etc/modprobe.conf:
│ │ │ │ +$ grep -r ipv6 /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ +      Is it the case that the ipv6 kernel module is not disabled?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +removexattr system call, run the following command:
│ │ │ │ +$ sudo grep "removexattr" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lsetxattr_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +lsetxattr system call, run the following command:
│ │ │ │ +$ sudo grep "lsetxattr" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/gshadow-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /var/log
│ │ │ │ +$ ls -lL /etc/gshadow-
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /var/log does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/gshadow- does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_core_bpf_jit_harden_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.core.bpf_jit_harden kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.default.rp_filter kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.core.bpf_jit_harden
│ │ │ │ -2.
│ │ │ │ +$ sysctl net.ipv4.conf.default.rp_filter
│ │ │ │ +1.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/ssh/*_key,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupownership_sshd_private_key_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/ssh/*_key,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/ssh/*_key
│ │ │ │ +$ ls -lL /etc/ssh/*_key
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ssh/*_key does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure logs are sent to a remote host, examine the file
│ │ │ │ +/etc/rsyslog.conf.
│ │ │ │ +If using UDP, a line similar to the following should be present:
│ │ │ │ + *.* @
│ │ │ │ +If using TCP, a line similar to the following should be present:
│ │ │ │ + *.* @@
│ │ │ │ +If using RELP, a line similar to the following should be present:
│ │ │ │ + *.* :omrelp:
│ │ │ │ +      Is it the case that no evidence that the audit logs are being off-loaded to another system or media?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure write permissions are disabled for group and other
│ │ │ │ + for each element in root's path, run the following command:
│ │ │ │ +# ls -ld DIR
│ │ │ │ +      Is it the case that group or other write permissions exist?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permission_user_init_files_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that all user initialization files have a mode of 0740 or
│ │ │ │ +less permissive, run the following command:
│ │ │ │ +$ sudo find /home -type f -name '\.*' \( -perm -0002 -o -perm -0020 \)
│ │ │ │ +There should be no output.
│ │ │ │ +      Is it the case that they are not 0740 or more permissive?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/group,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/group
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /etc/ssh/*_key does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/group does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the operating system authenticates the remote logging server for off-loading audit logs with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i '$ActionSendStreamDriverAuthMode' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ +The output should be
│ │ │ │ +$/etc/rsyslog.conf:$ActionSendStreamDriverAuthMode x509/name
│ │ │ │ +      Is it the case that $ActionSendStreamDriverAuthMode in /etc/rsyslog.conf is not set to x509/name?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │ +          <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │ +
│ │ │ │ +If the system is configured to prevent the usage of the ipv6 on
│ │ │ │ +network interfaces, it will contain a line of the form:
│ │ │ │ +net.ipv6.conf.all.disable_ipv6 = 1
│ │ │ │ +Such lines may be inside any file in the /etc/sysctl.d directory.
│ │ │ │ +This permits insertion of the IPv6 kernel module (which other parts of the
│ │ │ │ +system expect to be present), but otherwise keeps all network interfaces
│ │ │ │ +from using IPv6. Run the following command to search for such lines in all
│ │ │ │ +files in /etc/sysctl.d:
│ │ │ │ +$ grep -r ipv6 /etc/sysctl.d
│ │ │ │ +      Is it the case that the ipv6 support is disabled on all network interfaces?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_uefi_password_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify the boot loader superuser password has been set, run the following command:
│ │ │ │ +$ sudo grep "^[\s]*GRUB2_PASSWORD=grub\.pbkdf2\.sha512.*$" /boot/grub2/user.cfg
│ │ │ │ +The output should be similar to:
│ │ │ │ +GRUB2_PASSWORD=grub.pbkdf2.sha512.10000.C4E08AC72FBFF7E837FD267BFAD7AEB3D42DDC
│ │ │ │ +2C99F2A94DD5E2E75C2DC331B719FE55D9411745F82D1B6CFD9E927D61925F9BBDD1CFAA0080E0
│ │ │ │ +916F7AB46E0D.1302284FCCC52CD73BA3671C6C12C26FF50BA873293B24EE2A96EE3B57963E6D7
│ │ │ │ +0C83964B473EC8F93B07FE749AA6710269E904A9B08A6BBACB00A2D242AD828
│ │ │ │ +      Is it the case that no password is set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's GSSAPIAuthentication option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i GSSAPIAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │  If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_opt_nosuid_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the nosuid option is configured for the /opt mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/opt\s'
│ │ │ │ -    . . . /opt . . . nosuid . . .
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │  
│ │ │ │ -      Is it the case that the "/opt" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ +$ sudo grep audit /etc/security/faillock.conf
│ │ │ │ +
│ │ │ │ +audit
│ │ │ │ +      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_SHA512 /boot/config.*
│ │ │ │ +    $ grep CONFIG_KEXEC /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_RETPOLINE /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +rmdir system call, run the following command:
│ │ │ │ +$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +unlink system call, run the following command:
│ │ │ │ +$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +unlinkat system call, run the following command:
│ │ │ │ +$ sudo grep "unlinkat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +rename system call, run the following command:
│ │ │ │ +$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +renameat system call, run the following command:
│ │ │ │ +$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-dir_system_commands_group_root_owned_question:question:1">
│ │ │ │ -          <ocil:question_text>System commands are stored in the following directories:
│ │ │ │ -/bin 
│ │ │ │ -/sbin 
│ │ │ │ -/usr/bin 
│ │ │ │ -/usr/sbin 
│ │ │ │ -/usr/local/bin 
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/ssh/*.pub,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ssh/*.pub
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ssh/*.pub does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +iptables service:
│ │ │ │ +$ sudo systemctl is-active iptables
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit attempts to
│ │ │ │ +alter time via the /etc/localtime file, run the following
│ │ │ │ +command:
│ │ │ │ +$ sudo auditctl -l | grep "watch=/etc/localtime"
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +      Is it the case that the system is not configured to audit time changes?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that root's primary group is zero run the following command:
│ │ │ │ +
│ │ │ │ +    grep '^root:' /etc/passwd | cut -d : -f 4
│ │ │ │ +
│ │ │ │ +The command should return:
│ │ │ │ +
│ │ │ │ +0
│ │ │ │ +
│ │ │ │ +      Is it the case that root has a primary gid not equal to zero?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ +/bin
│ │ │ │ +/sbin
│ │ │ │ +/usr/bin
│ │ │ │ +/usr/local/bin
│ │ │ │  /usr/local/sbin
│ │ │ │ -For each of these directories, run the following command to find directories not
│ │ │ │ -owned by root:
│ │ │ │ -$ sudo find -L $DIR ! -group root -type d -exec chgrp root {} \;
│ │ │ │ -      Is it the case that any of these directories are not group owned by root?</ocil:question_text>
│ │ │ │ +/usr/sbin
│ │ │ │ +For each of these directories, run the following command to find files
│ │ │ │ +not owned by root:
│ │ │ │ +$ sudo find -L DIR/ ! -user root -type d -exec chown root {} \;
│ │ │ │ +      Is it the case that any system executables directories are found to not be owned by root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/ssh/*.pub,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_kea_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the kea package is installed:
│ │ │ │ +$ dpkg -l  kea
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_efi_user_cfg_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /boot/grub2/user.cfg,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/ssh/*.pub
│ │ │ │ +$ ls -lL /boot/grub2/user.cfg
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/ssh/*.pub does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /boot/grub2/user.cfg does not have an owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +$ grep CONFIG_DEFAULT_MMAP_MIN_ADDR /boot/config.*
│ │ │ │ +For each kernel installed, a line with value should be returned.
│ │ │ │ +If the system architecture is x86_64, the value should be 65536.
│ │ │ │ +If the system architecture is aarch64, the value should be 32768.
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured use a non-default faillock directory to ensure contents persist after reboot:
│ │ │ │ +
│ │ │ │ +$ sudo grep 'dir =' /etc/security/faillock.conf
│ │ │ │ +
│ │ │ │ +dir = /var/log/faillock
│ │ │ │ +      Is it the case that the "dir" option is not set to a non-default documented tally log directory, is missing or commented out?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_passwd_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/passwd" with the following command:
│ │ │ │ +
│ │ │ │ +$  sudo auditctl -l | grep -E '(/etc/passwd)'
│ │ │ │ +
│ │ │ │ +-w /etc/passwd -p wa -k identity
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-package_rsyslog-gnutls_installed_question:question:1">
│ │ │ │            <ocil:question_text>Run the following command to determine if the rsyslog-gnutls package is installed:
│ │ │ │  $ dpkg -l  rsyslog-gnutls
│ │ │ │        Is it the case that the package is installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.default.accept_source_route kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.default.accept_source_route
│ │ │ │ -0.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /dev/shm with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/shadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/shadow
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -shadow
│ │ │ │ -      Is it the case that /etc/shadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the audit package is installed: $ dpkg -l  audit
│ │ │ │ -      Is it the case that the audit package is not installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ -determine how much data the system will retain in each audit log file:
│ │ │ │ -$ sudo grep max_log_file /etc/audit/auditd.conf
│ │ │ │ -max_log_file = 6
│ │ │ │ -      Is it the case that the system audit data threshold has not been properly configured?</ocil:question_text>
│ │ │ │ +$ mountpoint /dev/shm
│ │ │ │ +
│ │ │ │ +      Is it the case that "/dev/shm is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_retry_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 is configured to limit the "pwquality" retry option to .
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_lcredit_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 enforces password complexity by requiring that at least one lower-case character.
│ │ │ │  
│ │ │ │ +Check the value for "lcredit" with the following command:
│ │ │ │  
│ │ │ │ -Check for the use of the "pwquality" retry option in the PAM files with the following command:
│ │ │ │ +$ sudo grep lcredit /etc/security/pwquality.conf /etc/security/pwquality.conf.d/*.conf
│ │ │ │  
│ │ │ │ -$ grep pam_pwquality /etc/pam.d/common-password
│ │ │ │ +/etc/security/pwquality.conf:lcredit = -1
│ │ │ │ +      Is it the case that the value of "lcredit" is a positive number or is commented out?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_var_log_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /var/log with the following command:
│ │ │ │  
│ │ │ │ +$ mountpoint /var/log
│ │ │ │  
│ │ │ │ -password requisite pam_pwquality.so retry=
│ │ │ │ -      Is it the case that the value of "retry" is set to "0" or greater than "&lt;sub idref="var_password_pam_retry" /&gt;", or is missing?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_ypbind_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>The ypbind package can be removed with the following command:  $ apt-get remove ypbind
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +      Is it the case that "/var/log is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 generates an audit record for all uses of the "umount" and system call.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -"umount" system call, run the following command:
│ │ │ │ -$ sudo grep "umount" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line like the following.
│ │ │ │ --a always,exit -F arch=b32 -S umount -F auid&gt;=1000 -F auid!=unset -k privileged-umount
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │ +          <ocil:question_text>To find world-writable directories that lack the sticky bit, run the following command:
│ │ │ │ +$ sudo find / -type d \( -perm -0002 -a ! -perm -1000 \) -print 2&gt;/dev/null
│ │ │ │ +fixtext: |-
│ │ │ │ +Configure all world-writable directories to have the sticky bit set to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │ +
│ │ │ │ +Set the sticky bit on all world-writable directories using the command, replace "[World-Writable Directory]" with any directory path missing the sticky bit:
│ │ │ │ +
│ │ │ │ +$ chmod a+t [World-Writable Directory]
│ │ │ │ +srg_requirement:
│ │ │ │ +A sticky bit must be set on all Debian 12 public directories to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │ +      Is it the case that any world-writable directories are missing the sticky bit?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -clock_settime system call, run the following command:
│ │ │ │ -$ sudo grep "clock_settime" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-selinux_state_question:question:1">
│ │ │ │ +          <ocil:question_text>Ensure that Debian 12 verifies correct operation of security functions.
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +Check if "SELinux" is active and in "" mode with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo getenforce
│ │ │ │ +
│ │ │ │ +      Is it the case that SELINUX is not set to enforcing?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │ -          <ocil:question_text>To check if RekeyLimit is set correctly, run the
│ │ │ │ -following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.rp_filter parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.rp_filter
│ │ │ │ +The output of the command should indicate either:
│ │ │ │ +net.ipv4.conf.all.rp_filter = 1
│ │ │ │ +or:
│ │ │ │ +net.ipv4.conf.all.rp_filter = 2
│ │ │ │ +The output of the command should not indicate:
│ │ │ │ +net.ipv4.conf.all.rp_filter = 0
│ │ │ │  
│ │ │ │ -$ sudo grep RekeyLimit /etc/ssh/sshd_config
│ │ │ │ +The preferable way how to assure the runtime compliance is to have
│ │ │ │ +correct persistent configuration, and rebooting the system.
│ │ │ │  
│ │ │ │ -If configured properly, output should be
│ │ │ │ -RekeyLimit  
│ │ │ │ -      Is it the case that it is commented out or is not set?</ocil:question_text>
│ │ │ │ +The persistent sysctl parameter configuration is performed by specifying the appropriate
│ │ │ │ +assignment in any file located in the /etc/sysctl.d directory.
│ │ │ │ +Verify that there is not any existing incorrect configuration by executing the following command:
│ │ │ │ +$ grep -r '^\s*net.ipv4.conf.all.rp_filter\s*=' /etc/sysctl.conf /etc/sysctl.d
│ │ │ │ +The command should not find any assignments other than:
│ │ │ │ +net.ipv4.conf.all.rp_filter = 1
│ │ │ │ +or:
│ │ │ │ +net.ipv4.conf.all.rp_filter = 2
│ │ │ │ +
│ │ │ │ +Conflicting assignments are not allowed.
│ │ │ │ +      Is it the case that the net.ipv4.conf.all.rp_filter is not set to 1 or 2 or is configured to be 0?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_chrony_keys_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/chrony.keys,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/chrony.keys
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/chrony.keys does not have an owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_slab_merge_default_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_SLAB_MERGE_DEFAULT /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_deny_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 is configured to lock an account after 
│ │ │ │ -unsuccessful logon attempts with the command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's KerberosAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ grep 'deny =' /etc/security/faillock.conf
│ │ │ │ -deny = .
│ │ │ │ -      Is it the case that the "deny" option is not set to "&lt;sub idref="var_accounts_passwords_pam_faillock_deny" /&gt;"
│ │ │ │ -or less (but not "0"), is missing or commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_iptables_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/iptables,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/iptables
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0700
│ │ │ │ -      Is it the case that /etc/iptables does not have unix mode 0700?</ocil:question_text>
│ │ │ │ +$ sudo grep -i KerberosAuthentication /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_zero_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SLUB_DEBUG /boot/config.*
│ │ │ │ +    $ grep CONFIG_PAGE_POISONING_ZERO /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_sestatus_conf_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/sestatus.conf,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/sestatus.conf
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/sestatus.conf does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include spec_store_bypass_disable=, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*spec_store_bypass_disable=.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that SSB is not configured appropriately?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_slab_freelist_hardened_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECURITY_YAMA /boot/config.*
│ │ │ │ +    $ grep CONFIG_SLAB_FREELIST_HARDENED /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.default.max_addresses kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.default.max_addresses
│ │ │ │ -1.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that the system backups user data.
│ │ │ │ +      Is it the case that it is not?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_page_alloc_shuffle_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include page_alloc.shuffle=1, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*page_alloc.shuffle=1.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that randomization of the page allocator is not enabled in the kernel?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +init_module system call, run the following command:
│ │ │ │ +$ sudo grep "init_module" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_bashrc_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the umask setting is configured correctly in the /etc/bash.bashrc file with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_rmmod_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that auditing of privileged command use is configured, run the
│ │ │ │ +following command:
│ │ │ │  
│ │ │ │ -$ sudo grep "umask" /etc/bash.bashrc
│ │ │ │ +   sudo auditctl -l | grep -w '/sbin/rmmod'
│ │ │ │  
│ │ │ │ -umask 
│ │ │ │ -      Is it the case that the value for the "umask" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;", or the "umask" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │ -          <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ -$ sudo postconf alias_maps
│ │ │ │ -Query the Postfix alias maps for an alias for the postmaster user:
│ │ │ │ -$ sudo postmap -q postmaster hash:/etc/aliases
│ │ │ │ -The output should return root.
│ │ │ │ -      Is it the case that the alias is not set or is not root?</ocil:question_text>
│ │ │ │ +If the system is configured to audit the execution of the module management program "rmmod",
│ │ │ │ +the command will return a line.
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_iptables_question:question:1">
│ │ │ │            <ocil:question_text>To check the group ownership of /etc/iptables,
│ │ │ │  run the command:
│ │ │ │  $ ls -lL /etc/iptables
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │        Is it the case that /etc/iptables does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_sudo_log_events_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the operating system audits activities performed during nonlocal
│ │ │ │ -maintenance and diagnostic sessions. Run the following command:
│ │ │ │ -$ sudo auditctl -l | grep sudo.log
│ │ │ │ --w /var/log/sudo.log -p wa -k maintenance
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_dcredit_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 enforces password complexity by requiring that at least one numeric character be used.
│ │ │ │  
│ │ │ │ -      Is it the case that Audit rule is not present?</ocil:question_text>
│ │ │ │ +Check the value for "dcredit" with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep dcredit /etc/security/pwquality.conf /etc/security/pwquality.conf.d/*.conf
│ │ │ │ +
│ │ │ │ +/etc/security/pwquality.conf:dcredit = 
│ │ │ │ +      Is it the case that the value of "dcredit" is a positive number or is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_efi_user_cfg_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /boot/grub2/user.cfg,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /boot/grub2/user.cfg
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /boot/grub2/user.cfg does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_set_max_life_root_question:question:1">
│ │ │ │ +          <ocil:question_text>Check whether the maximum time period for root account password is restricted to  days with the following commands:
│ │ │ │ +
│ │ │ │ +$ sudo awk -F: '$1 == "root" {print $1 " " $5}' /etc/shadow
│ │ │ │ +      Is it the case that any results are returned that are not associated with a system account?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command and verify that time sources are only configured with server directive:
│ │ │ │ -# grep -E "^(server|pool)" /etc/chrony/chrony.conf
│ │ │ │ -A line with the appropriate server should be returned, any line returned starting with pool is a finding.
│ │ │ │ -      Is it the case that an authoritative remote time server is not configured or configured with pool directive?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.default.autoconf kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv6.conf.default.autoconf
│ │ │ │ +0.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if logfile has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults\s*\blogfile\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that logfile is not enabled in sudo?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the status and frequency of logrotate, run the following command:
│ │ │ │ +$ sudo grep logrotate /var/log/cron*
│ │ │ │ +If logrotate is configured properly, output should include references to
│ │ │ │ +/etc/cron.daily.
│ │ │ │ +      Is it the case that logrotate is not configured to run daily?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_nodev_nonroot_local_partitions_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify the nodev option is configured for non-root local partitions, run the following command:
│ │ │ │ -$ sudo mount | grep '^/dev\S* on /\S' | grep --invert-match 'nodev'
│ │ │ │ -The output shows local non-root partitions mounted without the nodev option, and there should be no output at all.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's IgnoreUserKnownHosts option is set, run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that some mounts appear among output lines?</ocil:question_text>
│ │ │ │ +$ sudo grep -i IgnoreUserKnownHosts /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_structleak_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_strict_kernel_rwx_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_GCC_PLUGIN_STRUCTLEAK /boot/config.*
│ │ │ │ +    $ grep CONFIG_STRICT_KERNEL_WRX /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the system for the existence of any .netrc files,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo find /home -xdev -name .netrc
│ │ │ │ -      Is it the case that any .netrc files exist?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -setxattr system call, run the following command:
│ │ │ │ -$ sudo grep "setxattr" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.perf_event_max_sample_rate kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.perf_event_max_sample_rate
│ │ │ │ -1.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_strict_module_rwx_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_STRICT_MODULE_RWX /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 defines default permissions for all authenticated users in such a way that the user can only read and modify their own files with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │ +# grep -i umask /etc/login.defs
│ │ │ │  
│ │ │ │ -If a line indicating prohibit-password is returned, then the required value is set.
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +UMASK 
│ │ │ │ +      Is it the case that the value for the "UMASK" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;", or the "UMASK" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_slab_merge_default_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SLAB_MERGE_DEFAULT /boot/config.*
│ │ │ │ +    $ grep CONFIG_SLUB_DEBUG /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_efi_grub2_cfg_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /boot/grub2/grub.cfg, run the command:
│ │ │ │ -$ sudo ls -lL /boot/grub2/grub.cfg
│ │ │ │ -If properly configured, the output should indicate the following
│ │ │ │ -permissions: -rwx------
│ │ │ │ -      Is it the case that it does not?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_maxstartups_question:question:1">
│ │ │ │ -          <ocil:question_text>To check if MaxStartups is configured, run the following command:
│ │ │ │ -$ sudo grep -r ^[\s]*MaxStartups /etc/ssh/sshd_config*
│ │ │ │ -If configured, this command should output the configuration.
│ │ │ │ -      Is it the case that maxstartups is not configured?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that Audit Daemon is configured to include local events, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep local_events /etc/audit/auditd.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -local_events = yes
│ │ │ │ -      Is it the case that local_events isn't set to yes?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -ufw service:
│ │ │ │ -$ sudo systemctl is-active ufw
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the service is not enabled?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the audit system prevents unauthorized changes with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep "^\s*[^#]" /etc/audit/audit.rules | tail -1
│ │ │ │ --e 2
│ │ │ │ -
│ │ │ │ -      Is it the case that the audit system is not set to be immutable by adding the "-e 2" option to the end of "/etc/audit/audit.rules"?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_chrony_keys_question:question:1">
│ │ │ │            <ocil:question_text>To check the group ownership of /etc/chrony.keys,
│ │ │ │  run the command:
│ │ │ │  $ ls -lL /etc/chrony.keys
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  chrony
│ │ │ │        Is it the case that /etc/chrony.keys does not have a group owner of chrony?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-postfix_network_listening_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to ensure postfix accepts mail messages from only the local system:
│ │ │ │ -$ grep inet_interfaces /etc/postfix/main.cf
│ │ │ │ -If properly configured, the output should show only .
│ │ │ │ -      Is it the case that it does not?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 disables storing core dumps for all users by issuing the following command:
│ │ │ │ +
│ │ │ │ +$ grep -i storage /etc/systemd/coredump.conf
│ │ │ │ +
│ │ │ │ +Storage=none
│ │ │ │ +      Is it the case that Storage is not set to none or is commented out and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_home_nosuid_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the nosuid option is configured for the /home mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/home\s'
│ │ │ │ -    . . . /home . . . nosuid . . .
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_tftp-server_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the tftp-server package is installed:
│ │ │ │ +$ dpkg -l  tftp-server
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-aide_periodic_checking_systemd_timer_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the operating system routinely checks the baseline configuration for unauthorized changes.
│ │ │ │  
│ │ │ │ -      Is it the case that the "/home" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ +To determine that periodic AIDE execution has been scheduled, run the following command:
│ │ │ │ +$ systemctl list-timers should display aidecheck.timer or similar
│ │ │ │ +that starts a service to run AIDE check.
│ │ │ │ +      Is it the case that AIDE is not configured to scan periodically?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_config_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/ssh/sshd_config,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_hardened_usercopy_fallback_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_HARDENED_USERCOPY_FALLBACK /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.default.shared_media kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.default.shared_media
│ │ │ │ +0.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if NOEXEC has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults.*\bnoexec\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that noexec is not enabled in sudo?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/shadow,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /etc/ssh/sshd_config does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ +$ ls -lL /etc/shadow
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/shadow does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -rsyslog service:
│ │ │ │ -$ sudo systemctl is-active rsyslog
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the "rsyslog" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_crypttab_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/crypttab,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/crypttab
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/crypttab does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.accept_redirects kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_nftables_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/nftables,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/nftables
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/nftables does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_ip_forward_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.ip_forward kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.accept_redirects
│ │ │ │ +$ sysctl net.ipv4.ip_forward
│ │ │ │  0.
│ │ │ │ -
│ │ │ │ +The ability to forward packets is only appropriate for routers.
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-disallow_bypass_password_sudo_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the operating system is not configured to bypass password requirements for privilege
│ │ │ │ -escalation. Check the configuration of the "/etc/pam.d/sudo" file with the following command:
│ │ │ │ -$ sudo grep pam_succeed_if /etc/pam.d/sudo
│ │ │ │ -      Is it the case that system is configured to bypass password requirements for privilege escalation?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that the interactive user account passwords last change time is not in the future
│ │ │ │ +The following command should return no output
│ │ │ │ +$ sudo expiration=$(cat /etc/shadow|awk -F ':' '{print $3}');
│ │ │ │ +for edate in ${expiration[@]}; do if [[ $edate &gt; $(( $(date +%s)/86400 )) ]];
│ │ │ │ +then echo "Expiry date in future";
│ │ │ │ +fi; done 
│ │ │ │ +      Is it the case that any interactive user password that has last change time in the future?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the gnutls-utils package is installed: $ dpkg -l  gnutls-utils
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_efi_user_cfg_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /boot/grub2/user.cfg,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /boot/grub2/user.cfg
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /boot/grub2/user.cfg does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's HostbasedAuthentication option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i HostbasedAuthentication /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_ipsecd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/ipsec.d,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/ipsec.d
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0700
│ │ │ │ +      Is it the case that /etc/ipsec.d does not have unix mode 0700?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │ +          <ocil:question_text>To check if compression is enabled or set correctly, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep Compression /etc/ssh/sshd_config
│ │ │ │ +If configured properly, output should be no or delayed.
│ │ │ │ +      Is it the case that it is commented out, or is not set to no or delayed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_strict_module_rwx_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_slab_freelist_random_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_STRICT_MODULE_RWX /boot/config.*
│ │ │ │ +    $ grep CONFIG_SLAB_FREELIST_RANDOM /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_group_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/group" with the following command:
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +$ sudo auditctl -l | grep -E '(/etc/group)'
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │ -          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include rng_core.default_quality=, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*rng_core.default_quality=.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that trust on hardware random number generator is not configured appropriately?</ocil:question_text>
│ │ │ │ +-w /etc/group -p wa -k identity
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_var_nosuid_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the nosuid option is configured for the /var mount point,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_tmp_nosuid_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the nosuid option is configured for the /tmp mount point,
│ │ │ │      run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/var\s'
│ │ │ │ -    . . . /var . . . nosuid . . .
│ │ │ │ -
│ │ │ │ -      Is it the case that the "/var" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure write permissions are disabled for group and other
│ │ │ │ - for each element in root's path, run the following command:
│ │ │ │ -# ls -ld DIR
│ │ │ │ -      Is it the case that group or other write permissions exist?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_sysctld_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/sysctl.d,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/sysctl.d
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/sysctl.d does not have a group owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured use a non-default faillock directory to ensure contents persist after reboot:
│ │ │ │ -
│ │ │ │ -$ sudo grep 'dir =' /etc/security/faillock.conf
│ │ │ │ +    $ sudo mount | grep '\s/tmp\s'
│ │ │ │ +    . . . /tmp . . . nosuid . . .
│ │ │ │  
│ │ │ │ -dir = /var/log/faillock
│ │ │ │ -      Is it the case that the "dir" option is not set to a non-default documented tally log directory, is missing or commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/tmp" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_question:question:1">
│ │ │ │            <ocil:question_text>The runtime status of the net.ipv4.conf.all.arp_ignore kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │  $ sysctl net.ipv4.conf.all.arp_ignore
│ │ │ │  .
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │ -          <ocil:question_text>To check for serial port entries which permit root login,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo grep ^ttyS/[0-9] /etc/securetty
│ │ │ │ -If any output is returned, then root login over serial ports is permitted.
│ │ │ │ -      Is it the case that root login over serial ports is permitted?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/gshadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/gshadow-
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /etc/gshadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_login_grace_time_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure LoginGraceTime is set correctly, run the following command:
│ │ │ │ -$ sudo grep LoginGraceTime /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -LoginGraceTime 
│ │ │ │ -If the option is set to a number greater than 0, then the unauthenticated session will be disconnected
│ │ │ │ -after the configured number seconds.
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_add_ignore_dot_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if ignore_dot has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults.*\bignore_dot\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that ignore_dot is not enabled in sudo?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>If the system is configured to prevent the loading of the rds kernel module,
│ │ │ │ -it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ -These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │ +          <ocil:question_text>To check which SSH protocol version is allowed, check version of
│ │ │ │ +openssh-server with following command:
│ │ │ │ +$ rpm -qi openssh-server | grep Version
│ │ │ │ +Versions equal to or higher than 7.4 have deprecated the RhostsRSAAuthentication option.
│ │ │ │ +If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ +To determine how the SSH daemon's RhostsRSAAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ -$ grep -r rds /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -umount2 system call, run the following command:
│ │ │ │ -$ sudo grep "umount2" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +$ sudo grep -i RhostsRSAAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_srv_nosuid_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the nosuid option is configured for the /srv mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/srv\s'
│ │ │ │ -    . . . /srv . . . nosuid . . .
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -      Is it the case that the "/srv" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.default.secure_redirects kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.default.secure_redirects
│ │ │ │ -0.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-security_patches_up_to_date_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 security patches and updates are installed and up to date.
│ │ │ │ +Updates are required to be applied with a frequency determined by organizational policy.
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 disables core dump backtraces by issuing the following command:
│ │ │ │  
│ │ │ │ -$ grep -i process /etc/systemd/coredump.conf
│ │ │ │  
│ │ │ │ -ProcessSizeMax=0
│ │ │ │ -      Is it the case that the "ProcessSizeMax" item is missing, commented out, or the value is anything other than "0" and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │ +Typical update frequency may be overridden by Information Assurance Vulnerability Alert (IAVA) notifications from CYBERCOM.
│ │ │ │ +      Is it the case that Debian 12 is in non-compliance with the organizational patching policy?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-rsyslog_remote_tls_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that rsyslog's Forwarding Output Module is configured
│ │ │ │ -to use TLS for logging to remote server, run the following command:
│ │ │ │ -$ grep omfwd /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ -The output should include record similar to
│ │ │ │ -action(type="omfwd" protocol="tcp" Target="&lt;remote system&gt;" port="6514"
│ │ │ │ -    StreamDriver="gtls" StreamDriverMode="1" StreamDriverAuthMode="x509/name" streamdriver.CheckExtendedKeyPurpose="on")
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the audit package is installed: $ dpkg -l  audit
│ │ │ │ +      Is it the case that the audit package is not installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_boot_noexec_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the noexec option is configured for the /boot mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/boot\s'
│ │ │ │ +    . . . /boot . . . noexec . . .
│ │ │ │  
│ │ │ │ -where the &lt;remote system&gt; present in the configuration line above must be a valid IP address or a host name of the remote logging server.
│ │ │ │ -      Is it the case that omfwd is not configured with gtls and AuthMode?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/boot" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_HIBERNATION /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_grub2_cfg_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /boot/grub/grub.cfg, run the command:
│ │ │ │ +$ sudo ls -lL /boot/grub/grub.cfg
│ │ │ │ +If properly configured, the output should indicate the following
│ │ │ │ +permissions: -rw-------
│ │ │ │ +      Is it the case that it does not?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-rsyslog_remote_tls_cacert_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that rsyslog's Forwarding Output Module has CA certificate
│ │ │ │ -configured for its TLS connections to remote server, run the following command:
│ │ │ │ -$ grep DefaultNetstreamDriverCAFile /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ -The output should include record similar to
│ │ │ │ -global(DefaultNetstreamDriverCAFile="/etc/pki/tls/cert.pem")
│ │ │ │ -where the path to the CA file (/etc/pki/tls/cert.pem in case above) must point to the correct CA certificate.
│ │ │ │ -      Is it the case that CA certificate for rsyslog remote logging via TLS is not set?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.unprivileged_bpf_disabled kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.unprivileged_bpf_disabled
│ │ │ │ +1.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -systemd-journald service:
│ │ │ │ -$ sudo systemctl is-active systemd-journald
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the systemd-journald service is not running?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that only the "root" account has a UID "0" assignment with the
│ │ │ │ +following command:
│ │ │ │ +$ awk -F: '$3 == 0 {print $1}' /etc/passwd
│ │ │ │ +root
│ │ │ │ +      Is it the case that any accounts other than "root" have a UID of "0"?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_grub2_cfg_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /boot/grub/grub.cfg,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure ClientAliveInterval is set correctly, run the following command:
│ │ │ │ +$ sudo grep ClientAliveCountMax /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +ClientAliveCountMax 
│ │ │ │ +For SSH earlier than v8.2, a ClientAliveCountMax value of 0 causes a timeout precisely when
│ │ │ │ +the ClientAliveInterval is set.  Starting with v8.2, a value of 0 disables the timeout
│ │ │ │ +functionality completely.
│ │ │ │ +If the option is set to a number greater than 0, then the session will be disconnected after
│ │ │ │ +ClientAliveInterval * ClientAliveCountMax seconds without receiving a keep alive message.
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/ssh/*.pub,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /boot/grub/grub.cfg
│ │ │ │ +$ ls -lL /etc/ssh/*.pub
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /boot/grub/grub.cfg does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/ssh/*.pub does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_redirects kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.default.accept_redirects
│ │ │ │ -0.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_sudo_log_events_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the operating system audits activities performed during nonlocal
│ │ │ │ +maintenance and diagnostic sessions. Run the following command:
│ │ │ │ +$ sudo auditctl -l | grep sudo.log
│ │ │ │ +-w /var/log/sudo.log -p wa -k maintenance
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +      Is it the case that Audit rule is not present?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 enforces a delay of at least  seconds between console logon prompts following a failed logon attempt with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i "FAIL_DELAY" /etc/login.defs
│ │ │ │ -FAIL_DELAY 
│ │ │ │ -      Is it the case that the value of "FAIL_DELAY" is not set to "&lt;sub idref="var_accounts_fail_delay" /&gt;" or greater, or the line is commented out?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_owner_etc_selinux_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/selinux,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/selinux
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/selinux does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_ntp_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -ntp service:
│ │ │ │ -$ sudo systemctl is-active ntp
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │ +          <ocil:question_text>The file permissions for all log files written by rsyslog should
│ │ │ │ +be set to 640, or more restrictive. These log files are determined by the
│ │ │ │ +second part of each Rule line in /etc/rsyslog.conf and typically
│ │ │ │ +all appear in /var/log. To see the permissions of a given log
│ │ │ │ +file, run the following command:
│ │ │ │ +$ ls -l LOGFILE
│ │ │ │ +The permissions should be 640, or more restrictive.
│ │ │ │ +      Is it the case that the permissions are not correct?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit changes to its SELinux
│ │ │ │  configuration files, run the following command:
│ │ │ │  $ sudo auditctl -l | grep "dir=/etc/selinux"
│ │ │ │  If the system is configured to watch for changes to its SELinux
│ │ │ │  configuration, a line should be returned (including
│ │ │ │  perm=wa indicating permissions that are watched).
│ │ │ │        Is it the case that the system is not configured to audit attempts to change the MAC policy?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │ -          <ocil:question_text>To check if compression is enabled or set correctly, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep Compression /etc/ssh/sshd_config
│ │ │ │ -If configured properly, output should be no or delayed.
│ │ │ │ -      Is it the case that it is commented out, or is not set to no or delayed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-aide_scan_notification_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine that periodic AIDE execution has been scheduled, run the following command:
│ │ │ │ -
│ │ │ │ -$ grep aide /etc/crontab
│ │ │ │ -The output should return something similar to the following:
│ │ │ │ -05 4 * * * root /usr/sbin/aide --check | /bin/mail -s "$(hostname) - AIDE Integrity Check" root@localhost
│ │ │ │ -The email address that the notifications are sent to can be changed by overriding
│ │ │ │ -.
│ │ │ │ -      Is it the case that AIDE has not been configured or has not been configured to notify personnel of scan details?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the openat system call.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 is configured to notify the SA and/or ISSO (at a minimum) in the event of an audit processing failure with the following command:
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ +$ sudo grep action_mail_acct /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -$ sudo grep -r openat /etc/audit/rules.d
│ │ │ │ +action_mail_acct = 
│ │ │ │ +      Is it the case that the value of the "action_mail_acct" keyword is not set to "&lt;sub idref="var_auditd_action_mail_acct" /&gt;" and/or other accounts for security personnel, the "action_mail_acct" keyword is missing, or the retuned line is commented out, ask the system administrator to indicate how they and the ISSO are notified of an audit process failure. If there is no evidence of the proper personnel being notified of an audit processing failure?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_grub2_cfg_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /boot/grub/grub.cfg,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /boot/grub/grub.cfg
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /boot/grub/grub.cfg does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PrintLastLog option is set, run the following command:
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +$ sudo grep -i PrintLastLog /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -$ sudo grep openat /etc/audit/audit.rules
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -The output should be the following:
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure the user home directory is not group-writable or world-readable, run the following:
│ │ │ │ +# ls -ld /home/USER
│ │ │ │ +      Is it the case that the user home directory is group-writable or world-readable?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +fchown system call, run the following command:
│ │ │ │ +$ sudo grep "fchown" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /var/log,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_owner_etc_ipsecd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/ipsec.d,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /var/log
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ +$ ls -lL /etc/ipsec.d
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /var/log does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/ipsec.d does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_sg_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -$ grep CONFIG_DEFAULT_MMAP_MIN_ADDR /boot/config.*
│ │ │ │ -For each kernel installed, a line with value should be returned.
│ │ │ │ -If the system architecture is x86_64, the value should be 65536.
│ │ │ │ -If the system architecture is aarch64, the value should be 32768.
│ │ │ │ +    $ grep CONFIG_DEBUG_SG /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_xinetd_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the xinetd package is installed:
│ │ │ │ -$ dpkg -l  xinetd
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 defines default permissions for all authenticated users in such a way that the user can only read and modify their own files with the following command:
│ │ │ │ -
│ │ │ │ -# grep -i umask /etc/login.defs
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +unlink system call, run the following command:
│ │ │ │ +$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -UMASK 
│ │ │ │ -      Is it the case that the value for the "UMASK" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;", or the "UMASK" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_shells_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/shells,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_ipsec_secrets_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/ipsec.secrets,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/shells
│ │ │ │ +$ ls -lL /etc/ipsec.secrets
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/shells does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/ipsec.secrets does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_efi_user_cfg_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /boot/grub2/user.cfg,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /boot/grub2/user.cfg
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /boot/grub2/user.cfg does not have an owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_talk_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the talk package is installed:
│ │ │ │ +$ dpkg -l  talk
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_pam_apparmor_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the pam_apparmor package is installed: $ dpkg -l  pam_apparmor
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_ACPI_CUSTOM_METHOD /boot/config.*
│ │ │ │ +    $ grep CONFIG_PAGE_TABLE_ISOLATION /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_dcredit_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 enforces password complexity by requiring that at least one numeric character be used.
│ │ │ │ -
│ │ │ │ -Check the value for "dcredit" with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep dcredit /etc/security/pwquality.conf /etc/security/pwquality.conf.d/*.conf
│ │ │ │ -
│ │ │ │ -/etc/security/pwquality.conf:dcredit = 
│ │ │ │ -      Is it the case that the value of "dcredit" is a positive number or is commented out?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify all accounts have unique names, run the following command:
│ │ │ │ +$ sudo getent passwd | awk -F: '{ print $1}' | uniq -d
│ │ │ │ +No output should be returned.
│ │ │ │ +      Is it the case that a line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_vmap_stack_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PAGE_POISONING_NO_SANITY /boot/config.*
│ │ │ │ +    $ grep CONFIG_VMAP_STACK /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_var_log_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /var/log with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_set_maxstartups_question:question:1">
│ │ │ │ +          <ocil:question_text>To check if MaxStartups is configured, run the following command:
│ │ │ │ +$ sudo grep -r ^[\s]*MaxStartups /etc/ssh/sshd_config*
│ │ │ │ +If configured, this command should output the configuration.
│ │ │ │ +      Is it the case that maxstartups is not configured?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_var_tmp_nosuid_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the nosuid option is configured for the /var/tmp mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/var/tmp\s'
│ │ │ │ +    . . . /var/tmp . . . nosuid . . .
│ │ │ │  
│ │ │ │ -$ mountpoint /var/log
│ │ │ │ +      Is it the case that the "/var/tmp" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify the number of rounds for the password hashing algorithm is configured, run the following command:
│ │ │ │ +$ sudo grep rounds /etc/pam.d/common-password
│ │ │ │ +The output should show the following match:
│ │ │ │ + 
│ │ │ │ +password [sucess=1 default=ignore] pam_unix.so sha512 rounds=
│ │ │ │ +      Is it the case that rounds is not set to &lt;sub idref="var_password_pam_unix_rounds" /&gt; or is commented out?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-securetty_root_login_console_only_question:question:1">
│ │ │ │ +          <ocil:question_text>To check for virtual console entries which permit root login, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep ^vc/[0-9] /etc/securetty
│ │ │ │ +If any output is returned, then root logins over virtual console devices is permitted.
│ │ │ │ +      Is it the case that root login over virtual console devices is permitted?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /srv with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that "/var/log is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +$ mountpoint /srv
│ │ │ │ +
│ │ │ │ +      Is it the case that "/srv is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure root may not directly login to the system over physical consoles,
│ │ │ │ -run the following command:
│ │ │ │ -cat /etc/securetty
│ │ │ │ -If any output is returned, this is a finding.
│ │ │ │ -      Is it the case that the /etc/securetty file is not empty?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │ +          <ocil:question_text>To properly set the owner of /etc/audit/, run the command:
│ │ │ │ +$ sudo chown root /etc/audit/ 
│ │ │ │ +
│ │ │ │ +To properly set the owner of /etc/audit/rules.d/, run the command:
│ │ │ │ +$ sudo chown root /etc/audit/rules.d/ 
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_boot_nosuid_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the nosuid option is configured for the /boot mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/boot\s'
│ │ │ │ -    . . . /boot . . . nosuid . . .
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the open system call.
│ │ │ │  
│ │ │ │ -      Is it the case that the "/boot" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -r open /etc/audit/rules.d
│ │ │ │ +
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep open /etc/audit/audit.rules
│ │ │ │ +
│ │ │ │ +The output should be the following:
│ │ │ │ +
│ │ │ │ +-a always,exit -F arch=b32 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │ -          <ocil:question_text>To find the location of the AIDE database file, run the following command:
│ │ │ │ -$ sudo ls -l DBDIR/database_file_name
│ │ │ │ -      Is it the case that there is no database file?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_tmp_noexec_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the noexec option is configured for the /tmp mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/tmp\s'
│ │ │ │ +    . . . /tmp . . . noexec . . .
│ │ │ │ +
│ │ │ │ +      Is it the case that the "/tmp" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the openssh-server package is installed: $ dpkg -l  openssh-server
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_ra_defrtr kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv6.conf.all.accept_ra_defrtr
│ │ │ │ +0.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_module_ipv6_option_disabled_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │            <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │  
│ │ │ │ -If the system is configured to disable the
│ │ │ │ -ipv6 kernel module, it will contain a line
│ │ │ │ -of the form:
│ │ │ │ -options ipv6 disable=1
│ │ │ │ -Such lines may be inside any file in /etc/modprobe.d or the
│ │ │ │ -deprecated/etc/modprobe.conf.  This permits insertion of the IPv6
│ │ │ │ -kernel module (which other parts of the system expect to be present), but
│ │ │ │ -otherwise keeps it inactive.  Run the following command to search for such
│ │ │ │ -lines in all files in /etc/modprobe.d and the deprecated
│ │ │ │ -/etc/modprobe.conf:
│ │ │ │ -$ grep -r ipv6 /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ -      Is it the case that the ipv6 kernel module is not disabled?</ocil:question_text>
│ │ │ │ +If the system is configured to prevent the usage of the ipv6 on
│ │ │ │ +network interfaces, it will contain a line of the form:
│ │ │ │ +net.ipv6.conf.default.disable_ipv6 = 1
│ │ │ │ +Such lines may be inside any file in the /etc/sysctl.d directory.
│ │ │ │ +This permits insertion of the IPv6 kernel module (which other parts of the
│ │ │ │ +system expect to be present), but otherwise keeps network interfaces
│ │ │ │ +from using IPv6. Run the following command to search for such lines in all
│ │ │ │ +files in /etc/sysctl.d:
│ │ │ │ +$ grep -r ipv6 /etc/sysctl.d
│ │ │ │ +      Is it the case that the ipv6 support is disabled by default on network interfaces?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the minimum password length, run the command:
│ │ │ │ -$ grep PASS_MIN_LEN /etc/login.defs
│ │ │ │ -The DoD requirement is 15.
│ │ │ │ -      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_telnet_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>The telnet package can be removed with the following command:  $ apt-get remove telnet
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/gshadow,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_sestatus_conf_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/sestatus.conf,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/gshadow
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /etc/gshadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +$ ls -lL /etc/sestatus.conf
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/sestatus.conf does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_rmmod_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that auditing of privileged command use is configured, run the
│ │ │ │ -following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_nodev_nonroot_local_partitions_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify the nodev option is configured for non-root local partitions, run the following command:
│ │ │ │ +$ sudo mount | grep '^/dev\S* on /\S' | grep --invert-match 'nodev'
│ │ │ │ +The output shows local non-root partitions mounted without the nodev option, and there should be no output at all.
│ │ │ │  
│ │ │ │ -   sudo auditctl -l | grep -w '/sbin/rmmod'
│ │ │ │ +      Is it the case that some mounts appear among output lines?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the nss-tools package is installed: $ dpkg -l  nss-tools
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_ra_pinfo kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv6.conf.all.accept_ra_pinfo
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -If the system is configured to audit the execution of the module management program "rmmod",
│ │ │ │ -the command will return a line.
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_boot_noexec_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the noexec option is configured for the /boot mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/boot\s'
│ │ │ │ -    . . . /boot . . . noexec . . .
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_source_route kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv6.conf.default.accept_source_route
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -      Is it the case that the "/boot" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_COMPAT_VDSO /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │ +          <ocil:question_text>To ensure that XDMCP is disabled in /etc/gdm/custom.conf, run the following command:
│ │ │ │ +grep -Pzo "\[xdmcp\]\nEnable=false" /etc/gdm/custom.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +
│ │ │ │ +[xdmcp]
│ │ │ │ +Enable=false
│ │ │ │ +
│ │ │ │ +      Is it the case that the Enable is not set to false or is missing in the xdmcp section of the /etc/gdm/custom.conf gdm configuration file?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_gshadow_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/gshadow" with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>If IPv6 is disabled, this is not applicable.
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep -E '(/etc/gshadow)'
│ │ │ │  
│ │ │ │ --w /etc/gshadow -p wa -k identity
│ │ │ │  
│ │ │ │ -If the command does not return a line, or the line is commented out, this is a finding.
│ │ │ │ -      Is it the case that the system is not configured to audit account changes?</ocil:question_text>
│ │ │ │ +Run the following command to determine the current status of the
│ │ │ │ +ip6tables service:
│ │ │ │ +$ sudo systemctl is-active ip6tables
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_polyinstantiated_tmp_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to ensure that /tmp is configured as a
│ │ │ │ -polyinstantiated directory:
│ │ │ │ -$ sudo grep /tmp /etc/security/namespace.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -/tmp     /tmp/tmp-inst/            level      root,adm
│ │ │ │ -      Is it the case that is not configured?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +rename system call, run the following command:
│ │ │ │ +$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_ipsec_conf_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/ipsec.conf,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudo_dedicated_group_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /usr/bin/sudo,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/ipsec.conf
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0644
│ │ │ │ -      Is it the case that /etc/ipsec.conf does not have unix mode 0644?</ocil:question_text>
│ │ │ │ +$ ls -lL /usr/bin/sudo
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +
│ │ │ │ +      Is it the case that /usr/bin/sudo does not have a group owner of &lt;sub idref="var_sudo_dedicated_group" /&gt;?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_vsyscall_xonly_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_LEGACY_VSYSCALL_XONLY /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +rsyslog service:
│ │ │ │ +$ sudo systemctl is-active rsyslog
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the "rsyslog" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command and verify remote server is configured properly:
│ │ │ │ -# grep -E "^(server|pool)" /etc/chrony/chrony.conf
│ │ │ │ -      Is it the case that a remote time server is not configured?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │ +          <ocil:question_text>To check for serial port entries which permit root login,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo grep ^ttyS/[0-9] /etc/securetty
│ │ │ │ +If any output is returned, then root login over serial ports is permitted.
│ │ │ │ +      Is it the case that root login over serial ports is permitted?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if requiretty has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults.*\brequiretty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that requiretty is not enabled in sudo?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_etc_shells_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/shells,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/shells
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/shells does not have an owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-rsyslog_files_ownership_question:question:1">
│ │ │ │ -          <ocil:question_text>The owner of all log files written by rsyslog should be
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /var/log/audit with the following command:
│ │ │ │  
│ │ │ │ -adm.
│ │ │ │ +$ mountpoint /var/log/audit
│ │ │ │  
│ │ │ │ -These log files are determined by the second part of each Rule line in
│ │ │ │ -/etc/rsyslog.conf and typically all appear in /var/log.
│ │ │ │ -To see the owner of a given log file, run the following command:
│ │ │ │ -$ ls -l LOGFILE
│ │ │ │ -      Is it the case that the owner is not correct?</ocil:question_text>
│ │ │ │ +      Is it the case that "/var/log/audit is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_sudoers_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/sudoers,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/sudoers
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/sudoers does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_slub_debug_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include slub_debug=, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*slub_debug=.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that SLUB/SLAB poisoning is not enabled?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/passwd-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/passwd-
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/passwd- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the chrony package is installed: $ dpkg -l  chrony
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_sudoersd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/sudoers.d,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/sudoers.d
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/sudoers.d does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_minclass_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the value of the "minclass" option in "/etc/security/pwquality.conf" with the following command:
│ │ │ │ +
│ │ │ │ +$ grep minclass /etc/security/pwquality.conf
│ │ │ │ +
│ │ │ │ +minclass = 
│ │ │ │ +      Is it the case that the value of "minclass" is set to less than "&lt;sub idref="var_password_pam_minclass" /&gt;" or is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_stackprotector_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_GCC_PLUGIN_STRUCTLEAK_BYREF_ALL /boot/config.*
│ │ │ │ +    $ grep CONFIG_STACKPROTECTOR /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure all GIDs referenced in /etc/passwd are defined in /etc/group,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo pwck -qr
│ │ │ │ -There should be no output.
│ │ │ │ -      Is it the case that GIDs referenced in /etc/passwd are returned as not defined in /etc/group?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +fchmodat system call, run the following command:
│ │ │ │ +$ sudo grep "fchmodat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_pam_apparmor_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the pam_apparmor package is installed: $ dpkg -l  pam_apparmor
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_perf_event_paranoid_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.perf_event_paranoid kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.perf_event_paranoid
│ │ │ │ +2.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_nftables_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/nftables,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/nftables
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0700
│ │ │ │ -      Is it the case that /etc/nftables does not have unix mode 0700?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that the audit system collects unauthorized file accesses, run the following commands:
│ │ │ │ +$ sudo grep EACCES /etc/audit/audit.rules
│ │ │ │ +$ sudo grep EPERM /etc/audit/audit.rules
│ │ │ │ +      Is it the case that 32-bit and 64-bit system calls to creat, open, openat, open_by_handle_at, truncate, and ftruncate are not audited during EACCES and EPERM?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the creat system call.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_users_home_files_ownership_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify all files and directories in a local interactive user's
│ │ │ │ +home directory have a valid owner, run the following command:
│ │ │ │ +$ sudo ls -lLR /home/USER
│ │ │ │ +      Is it the case that the user ownership is incorrect?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the snmp package is installed:
│ │ │ │ +$ dpkg -l  snmp
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_snmpd_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>To check that the snmpd service is disabled in system boot configuration,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo systemctl is-enabled snmpd
│ │ │ │ +Output should indicate the snmpd service has either not been installed,
│ │ │ │ +or has been disabled at all runlevels, as shown in the example below:
│ │ │ │ +$ sudo systemctl is-enabled snmpd disabled
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ +Run the following command to verify snmpd is not active (i.e. not running) through current runtime configuration:
│ │ │ │ +$ sudo systemctl is-active snmpd
│ │ │ │  
│ │ │ │ -$ sudo grep -r creat /etc/audit/rules.d
│ │ │ │ +If the service is not running the command will return the following output:
│ │ │ │ +inactive
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +The service will also be masked, to check that the snmpd is masked, run the following command:
│ │ │ │ +$ sudo systemctl show snmpd | grep "LoadState\|UnitFileState"
│ │ │ │  
│ │ │ │ -$ sudo grep creat /etc/audit/audit.rules
│ │ │ │ +If the service is masked the command will return the following outputs:
│ │ │ │  
│ │ │ │ -The output should be the following:
│ │ │ │ +LoadState=masked
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +UnitFileState=masked
│ │ │ │ +      Is it the case that the "snmpd" is loaded and not masked?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 disables storing core dumps for all users by issuing the following command:
│ │ │ │ -
│ │ │ │ -$ grep -i storage /etc/systemd/coredump.conf
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the openssh-server package is installed: $ dpkg -l  openssh-server
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +lchown system call, run the following command:
│ │ │ │ +$ sudo grep "lchown" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -Storage=none
│ │ │ │ -      Is it the case that Storage is not set to none or is commented out and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that McAfee HIPS is installed, run the following command(s):
│ │ │ │ -$ rpm -q MFEhiplsm
│ │ │ │ -      Is it the case that the HBSS HIPS module is not installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_ra_rtr_pref kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv6.conf.all.accept_ra_rtr_pref
│ │ │ │ +0.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_efi_grub2_cfg_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /boot/grub2/grub.cfg,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /boot/grub2/grub.cfg
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /boot/grub2/grub.cfg does not have an owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_opt_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /opt with the following command:
│ │ │ │ +
│ │ │ │ +$ mountpoint /opt
│ │ │ │ +
│ │ │ │ +      Is it the case that "/opt is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_vmap_stack_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_fortify_source_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_VMAP_STACK /boot/config.*
│ │ │ │ +    $ grep CONFIG_FORTIFY_SOURCE /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_hardlinks_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the fs.protected_hardlinks kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if arguments that commands can be executed with are restricted, run the following command:
│ │ │ │ +$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+(?:[ \t]+[^,\s]+)+[ \t]*,)*(\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+[ \t]*(?:,|$))' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that /etc/sudoers file contains user specifications that allow execution of commands with any arguments?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_user_cfg_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /boot/grub/user.cfg,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /boot/grub/user.cfg
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /boot/grub/user.cfg does not have an owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_telnet-server_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the telnet-server package is installed:
│ │ │ │ +$ dpkg -l  telnet-server
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/group-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/group-
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/group- does not have an owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "shutdown" command with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo auditctl -l | grep shutdown
│ │ │ │ +
│ │ │ │ +-a always,exit -F path=/shutdown -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-shutdown
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_sysadmin_actions_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that auditing is configured for system administrator actions, run the following command:
│ │ │ │ +$ sudo auditctl -l | grep "watch=/etc/sudoers\|watch=/etc/sudoers.d\|-w /etc/sudoers\|-w /etc/sudoers.d"
│ │ │ │ +      Is it the case that there is not output?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_password_question:question:1">
│ │ │ │ +          <ocil:question_text>First, check whether the password is defined in either /boot/grub/user.cfg or
│ │ │ │ +/boot/grub/grub.cfg.
│ │ │ │ +Run the following commands:
│ │ │ │ +$ sudo grep '^[\s]*GRUB2_PASSWORD=grub\.pbkdf2\.sha512.*$' /boot/grub/user.cfg
│ │ │ │ +$ sudo grep '^[\s]*password_pbkdf2[\s]+.*[\s]+grub\.pbkdf2\.sha512.*$' /boot/grub/grub.cfg
│ │ │ │ +
│ │ │ │ +
│ │ │ │ +Second, check that a superuser is defined in /boot/grub/grub.cfg.
│ │ │ │ +$ sudo grep '^[\s]*set[\s]+superusers=("?)[a-zA-Z_]+\1$'  /boot/grub/grub.cfg
│ │ │ │ +      Is it the case that it does not produce any output?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_efi_grub2_cfg_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /boot/grub2/grub.cfg,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /boot/grub2/grub.cfg
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /boot/grub2/grub.cfg does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.tcp_rfc1337 kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl fs.protected_hardlinks
│ │ │ │ +$ sysctl net.ipv4.tcp_rfc1337
│ │ │ │  1.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_slab_freelist_random_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SLAB_FREELIST_RANDOM /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv6.conf.default.max_addresses kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv6.conf.default.max_addresses
│ │ │ │ +1.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_modprobe_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that auditing of privileged command use is configured, run the
│ │ │ │ +following command:
│ │ │ │ +
│ │ │ │ +  sudo auditctl -l | grep -w '/sbin/modprobe'
│ │ │ │ +  -w /sbin/modprobe -p x -k modules
│ │ │ │ +
│ │ │ │ +It should return a relevant line in the audit rules.
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_chown_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchmodat system call, run the following command:
│ │ │ │ -$ sudo grep "fchmodat" /etc/audit/audit.*
│ │ │ │ +chown system call, run the following command:
│ │ │ │ +$ sudo grep "chown" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "poweroff" command with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep poweroff
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_var_noexec_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the noexec option is configured for the /var mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/var\s'
│ │ │ │ +    . . . /var . . . noexec . . .
│ │ │ │  
│ │ │ │ --a always,exit -F path=/poweroff -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-poweroff
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/var" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_ipsecd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/ipsec.d,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/ipsec.d
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ipsec.d does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that auditing of privileged command use is configured, run the following command
│ │ │ │ +to search privileged commands in relevant partitions and check if they are covered by auditd
│ │ │ │ +rules:
│ │ │ │ +
│ │ │ │ +FILTER_NODEV=$(awk '/nodev/ { print $2 }' /proc/filesystems | paste -sd,)
│ │ │ │ +PARTITIONS=$(findmnt -n -l -k -it $FILTER_NODEV | grep -Pv "noexec|nosuid" | awk '{ print $1 }')
│ │ │ │ +for PARTITION in $PARTITIONS; do
│ │ │ │ +  for PRIV_CMD in $(find "${PARTITION}" -xdev -perm /6000 -type f 2&gt;/dev/null); do
│ │ │ │ +    grep -qr "${PRIV_CMD}" /etc/audit/rules.d /etc/audit/audit.rules &amp;&amp;
│ │ │ │ +      printf "OK: ${PRIV_CMD}\n" || printf "WARNING - rule not found for: ${PRIV_CMD}\n"
│ │ │ │ +  done
│ │ │ │ +done
│ │ │ │ +
│ │ │ │ +The output should not contain any WARNING.
│ │ │ │ +      Is it the case that any setuid or setgid programs doesn't have a line in the audit rules?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lsetxattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -lsetxattr system call, run the following command:
│ │ │ │ -$ sudo grep "lsetxattr" /etc/audit/audit.*
│ │ │ │ +setxattr system call, run the following command:
│ │ │ │ +$ sudo grep "setxattr" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudoers_no_root_target_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the users are allowed to run commands as root, run the following commands:
│ │ │ │ -$ sudo grep -PR '^\s*((?!root\b)[\w]+)\s*(\w+)\s*=\s*(.*,)?\s*[^\(\s]' /etc/sudoers /etc/sudoers.d/
│ │ │ │ -and
│ │ │ │ -$ sudo grep -PR '^\s*((?!root\b)[\w]+)\s*(\w+)\s*=\s*(.*,)?\s*\([\w\s]*\b(root|ALL)\b[\w\s]*\)' /etc/sudoers /etc/sudoers.d/
│ │ │ │ -Both commands should return no output.
│ │ │ │ -      Is it the case that /etc/sudoers file contains rules that allow non-root users to run commands as root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_ucredit_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 enforces password complexity by requiring that at least one upper-case character.
│ │ │ │ +
│ │ │ │ +Check the value for "ucredit" with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep ucredit /etc/security/pwquality.conf /etc/security/pwquality.conf.d/*.conf
│ │ │ │ +
│ │ │ │ +ucredit = -1
│ │ │ │ +      Is it the case that the value of "ucredit" is a positive number or is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the audit system is configured to take an appropriate action when the internal event queue is full:
│ │ │ │ -$ sudo grep -i overflow_action /etc/audit/auditd.conf
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_hardlinks_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the fs.protected_hardlinks kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl fs.protected_hardlinks
│ │ │ │ +1.
│ │ │ │  
│ │ │ │ -The output should contain overflow_action = syslog
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.icmp_ignore_bogus_error_responses kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.icmp_ignore_bogus_error_responses
│ │ │ │ +1.
│ │ │ │  
│ │ │ │ -If the value of the "overflow_action" option is not set to syslog,
│ │ │ │ -single, halt or the line is commented out, ask the System Administrator
│ │ │ │ -to indicate how the audit logs are off-loaded to a different system or media.
│ │ │ │ -      Is it the case that auditd overflow action is not set correctly?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure the user home directory is not group-writable or world-readable, run the following:
│ │ │ │ -# ls -ld /home/USER
│ │ │ │ -      Is it the case that the user home directory is group-writable or world-readable?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_ip_local_port_range_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.ip_local_port_range kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.ip_local_port_range
│ │ │ │ +32768 65535.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECURITY /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-aide_verify_ext_attributes_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine that AIDE is verifying extended file attributes, run the following command:
│ │ │ │ +$ grep xattrs /etc/aide/aide.conf
│ │ │ │ +Verify that the xattrs option is added to the correct ruleset.
│ │ │ │ +      Is it the case that the xattrs option is missing or not added to the correct ruleset?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 is configured to take action in the event of allocated audit record storage volume reaches 95 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "reboot" command with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep admin_space_left_action /etc/audit/auditd.conf
│ │ │ │ +$ sudo auditctl -l | grep reboot
│ │ │ │  
│ │ │ │ -admin_space_left_action = single
│ │ │ │ +-a always,exit -F path=/reboot -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-reboot
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_srv_nosuid_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the nosuid option is configured for the /srv mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/srv\s'
│ │ │ │ +    . . . /srv . . . nosuid . . .
│ │ │ │  
│ │ │ │ -If the value of the "admin_space_left_action" is not set to "single", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ -      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/srv" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/lastlog" with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's PermitUserEnvironment option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep /var/log/lastlog
│ │ │ │ +$ sudo grep -i PermitUserEnvironment /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ --w /var/log/lastlog -p wa -k logins
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure that XDMCP is disabled in /etc/gdm/custom.conf, run the following command:
│ │ │ │ -grep -Pzo "\[xdmcp\]\nEnable=false" /etc/gdm/custom.conf
│ │ │ │ -The output should return the following:
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -[xdmcp]
│ │ │ │ -Enable=false
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the system-wide shared library files are owned by "root" with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the Enable is not set to false or is missing in the xdmcp section of the /etc/gdm/custom.conf gdm configuration file?</ocil:question_text>
│ │ │ │ +$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 ! -user root -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system wide shared library file is not owned by root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_pid_max_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.pid_max kernel parameter can be queried
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_yama_ptrace_scope_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.yama.ptrace_scope kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl kernel.pid_max
│ │ │ │ -65536.
│ │ │ │ +$ sysctl kernel.yama.ptrace_scope
│ │ │ │ +1.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_question:question:1">
│ │ │ │            <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the truncate system call.
│ │ │ │  
│ │ │ │  If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ @@ -152536,606 +152688,454 @@
│ │ │ │  
│ │ │ │  -a always,exit -F arch=b32 -S truncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │  -a always,exit -F arch=b64 -S truncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │  -a always,exit -F arch=b32 -S truncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │  -a always,exit -F arch=b64 -S truncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │        Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │ -          <ocil:question_text>Make sure that the kernel is not disabling SMEP with the following
│ │ │ │ -commands.
│ │ │ │ -grep -q nosmep /boot/config-`uname -r`
│ │ │ │ -If the command returns a line, it means that SMEP is being disabled.
│ │ │ │ -      Is it the case that the kernel is configured to disable SMEP?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │ +$ sudo awk -F: '!$2 {print $1}' /etc/shadow
│ │ │ │ +If this produces any output, it may be possible to log into accounts
│ │ │ │ +with empty passwords.
│ │ │ │ +      Is it the case that Blank or NULL passwords can be used?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_zero_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's IgnoreRhosts option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i IgnoreRhosts /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_owner_sshd_config_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the ownership of /etc/ssh/sshd_config,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ssh/sshd_config does not have an owner of root?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_randstruct_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PAGE_POISONING_ZERO /boot/config.*
│ │ │ │ +    $ grep CONFIG_GCC_PLUGIN_RANDSTRUCT /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ -/bin
│ │ │ │ -/sbin
│ │ │ │ -/usr/bin
│ │ │ │ -/usr/local/bin
│ │ │ │ -/usr/local/sbin
│ │ │ │ -/usr/sbin
│ │ │ │ -For each of these directories, run the following command to find files
│ │ │ │ -not owned by root:
│ │ │ │ -$ sudo find -L DIR/ ! -user root -type d -exec chown root {} \;
│ │ │ │ -      Is it the case that any system executables directories are found to not be owned by root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -iptables service:
│ │ │ │ -$ sudo systemctl is-active iptables
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +      Is it the case that the kernel was built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_set_loglevel_verbose_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's LogLevel option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i LogLevel /etc/ssh/sshd_config
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_shadow_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/passwd with the following command:
│ │ │ │  
│ │ │ │ -If a line indicating VERBOSE is returned, then the required value is set.
│ │ │ │ +$  sudo auditctl -l | grep -E '(/etc/shadow)'
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +-w /etc/shadow -p wa -k identity
│ │ │ │ +      Is it the case that command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_sudoersd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/sudoers.d,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/gshadow-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/sudoers.d
│ │ │ │ +$ ls -l /etc/gshadow-
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │ -0750
│ │ │ │ -      Is it the case that /etc/sudoers.d does not have unix mode 0750?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 limits the number of concurrent sessions to
│ │ │ │ -"" for all
│ │ │ │ -accounts and/or account types with the following command:
│ │ │ │ -$ grep -r -s maxlogins /etc/security/limits.conf /etc/security/limits.d/*.conf
│ │ │ │ -/etc/security/limits.conf:* hard maxlogins 10
│ │ │ │ -This can be set as a global domain (with the * wildcard) but may be set differently for multiple domains.
│ │ │ │ -      Is it the case that the "maxlogins" item is missing, commented out, or the value is set greater
│ │ │ │ -than "&lt;sub idref="var_accounts_max_concurrent_login_sessions" /&gt;" and
│ │ │ │ -is not documented with the Information System Security Officer (ISSO) as an
│ │ │ │ -operational requirement for all domains that have the "maxlogins" item
│ │ │ │ -assigned'?</ocil:question_text>
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /etc/gshadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_sendmail_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the sendmail package is installed:
│ │ │ │ -$ dpkg -l  sendmail
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +lremovexattr system call, run the following command:
│ │ │ │ +$ sudo grep "lremovexattr" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_security_dmesg_restrict_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECURITY_DMESG_RESTRICT /boot/config.*
│ │ │ │ +    $ grep CONFIG_PAGE_POISONING /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_nftables_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/nftables,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/nftables
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/nftables does not have a group owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_opt_nosuid_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the nosuid option is configured for the /opt mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/opt\s'
│ │ │ │ +    . . . /opt . . . nosuid . . .
│ │ │ │ +
│ │ │ │ +      Is it the case that the "/opt" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/ssh/*_key,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/ssh/*_key
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ssh/*_key does not have an owner of root?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit account changes,
│ │ │ │ +run the following command:
│ │ │ │ +auditctl -l | grep -E '(/etc/passwd|/etc/shadow|/etc/group|/etc/gshadow|/etc/security/opasswd)'
│ │ │ │ +If the system is configured to watch for account changes, lines should be returned for
│ │ │ │ +each file specified (and with perm=wa for each).
│ │ │ │ +      Is it the case that the system is not configured to audit account changes?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.route_localnet kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.route_localnet
│ │ │ │ -0.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_bashrc_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the umask setting is configured correctly in the /etc/bash.bashrc file with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +$ sudo grep "umask" /etc/bash.bashrc
│ │ │ │ +
│ │ │ │ +umask 
│ │ │ │ +      Is it the case that the value for the "umask" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;", or the "umask" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if NOEXEC has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults.*\bnoexec\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that noexec is not enabled in sudo?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-timer_logrotate_enabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine the current status of the logrotate timer: $ sudo systemctl is-active logrotate.timer If the timer is running, it should return the following: active
│ │ │ │ +      Is it the case that logrotate timer is not enabled?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_sudoers_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/sudoers,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/sudoers
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0440
│ │ │ │ -      Is it the case that /etc/sudoers does not have unix mode 0440?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-mount_option_dev_shm_nosuid_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify the nosuid option is configured for the /dev/shm mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/dev/shm\s'
│ │ │ │ +    . . . /dev/shm . . . nosuid . . .
│ │ │ │ +
│ │ │ │ +      Is it the case that the "/dev/shm" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_ia32_emulation_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_IA32_EMULATION /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEBUG_CREDENTIALS /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_chronyd_or_ntpd_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -chrony service:
│ │ │ │ -$ sudo systemctl is-active chrony
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -Run the following command to determine the current status of the
│ │ │ │ -ntpd service:
│ │ │ │ -$ sudo systemctl is-active ntpd
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-directory_owner_etc_nftables_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/nftables,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/nftables
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/nftables does not have an owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_setroubleshoot-plugins_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the setroubleshoot-plugins package is installed:
│ │ │ │ -$ dpkg -l  setroubleshoot-plugins
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_fortify_source_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_sched_stack_end_check_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_FORTIFY_SOURCE /boot/config.*
│ │ │ │ +    $ grep CONFIG_SCHED_STACK_END_CHECK /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if NOPASSWD has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri nopasswd /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that nopasswd is specified in the sudo config files?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_ypbind_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>The ypbind package can be removed with the following command:  $ apt-get remove ypbind
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_insmod_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that auditing of privileged command use is configured, run the
│ │ │ │ -following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>If the system is configured to prevent the loading of the tipc kernel module,
│ │ │ │ +it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ +These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │  
│ │ │ │ -   sudo auditctl -l | grep -w '/sbin/insmod'
│ │ │ │ +Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ +$ grep -r tipc /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/passwd,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/passwd
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/passwd does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the file /etc/sysconfig/iptables to determine
│ │ │ │ +the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ +$ sudo grep ":INPUT" /etc/sysconfig/iptables
│ │ │ │ +      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_dmesg_restrict_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the kernel.dmesg_restrict kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.dmesg_restrict
│ │ │ │ +1.
│ │ │ │  
│ │ │ │ -If the system is configured to audit the execution of the module management program "insmod",
│ │ │ │ -the command will return a line.
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_ipsec_conf_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/ipsec.conf,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_ipsecd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/ipsec.d,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/ipsec.conf
│ │ │ │ +$ ls -lL /etc/ipsec.d
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/ipsec.conf does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/ipsec.d does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -chronyd service:
│ │ │ │ -$ sudo systemctl is-active chronyd
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the chronyd process is not running?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/passwd-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/passwd-
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/passwd- does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -adjtimex system call, run the following command:
│ │ │ │ -$ sudo grep "adjtimex" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-package_dhcp_removed_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to determine if the dhcp package is installed:
│ │ │ │ +$ dpkg -l  dhcp
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>If the system is configured to prevent the loading of the rds kernel module,
│ │ │ │ +it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ +These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │  
│ │ │ │ +Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ +$ grep -r rds /etc/modprobe.conf /etc/modprobe.d
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_pam_minlen_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 enforces a minimum -character password length with the following command:
│ │ │ │ -
│ │ │ │ -$ grep minlen /etc/security/pwquality.conf
│ │ │ │ -
│ │ │ │ -minlen = 
│ │ │ │ -      Is it the case that the command does not return a "minlen" value of "&lt;sub idref="var_password_pam_minlen" /&gt;" or greater, does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_SHA512 /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -lchown system call, run the following command:
│ │ │ │ -$ sudo grep "lchown" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_refcount_full_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_REFCOUNT_FULL /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-mount_option_home_noexec_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the noexec option is configured for the /home mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/home\s'
│ │ │ │ -    . . . /home . . . noexec . . .
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that the SA and ISSO (at a minimum) are notified when the audit storage volume is full.
│ │ │ │  
│ │ │ │ -      Is it the case that the "/home" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_syslog_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /var/log/syslog,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /var/log/syslog
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -adm
│ │ │ │ -      Is it the case that /var/log/syslog does not have a group owner of adm?</ocil:question_text>
│ │ │ │ +Check which action Debian 12 takes when the audit storage volume is full with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │ +max_log_file_action = 
│ │ │ │ +      Is it the case that the value of the "max_log_file_action" option is set to "ignore", "rotate", or "suspend", or the line is commented out?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchownat system call, run the following command:
│ │ │ │ -$ sudo grep "fchownat" /etc/audit/audit.*
│ │ │ │ +adjtimex system call, run the following command:
│ │ │ │ +$ sudo grep "adjtimex" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-postfix_network_listening_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>Run the following command to ensure postfix accepts mail messages from only the local system:
│ │ │ │ +$ grep inet_interfaces /etc/postfix/main.cf
│ │ │ │ +If properly configured, the output should show only .
│ │ │ │ +      Is it the case that it does not?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_vsyscall_xonly_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PANIC_TIMEOUT /boot/config.*
│ │ │ │ +    $ grep CONFIG_LEGACY_VSYSCALL_XONLY /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to ensure postfix routes mail to this system:
│ │ │ │ -$ grep relayhost /etc/postfix/main.cf
│ │ │ │ -If properly configured, the output should show only .
│ │ │ │ -      Is it the case that it is not?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the ftruncate system call.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │ +          <ocil:question_text>To check that the sshd service is disabled in system boot configuration,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo systemctl is-enabled sshd
│ │ │ │ +Output should indicate the sshd service has either not been installed,
│ │ │ │ +or has been disabled at all runlevels, as shown in the example below:
│ │ │ │ +$ sudo systemctl is-enabled sshd disabled
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ +Run the following command to verify sshd is not active (i.e. not running) through current runtime configuration:
│ │ │ │ +$ sudo systemctl is-active sshd
│ │ │ │  
│ │ │ │ -$ sudo grep -r ftruncate /etc/audit/rules.d
│ │ │ │ +If the service is not running the command will return the following output:
│ │ │ │ +inactive
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +The service will also be masked, to check that the sshd is masked, run the following command:
│ │ │ │ +$ sudo systemctl show sshd | grep "LoadState\|UnitFileState"
│ │ │ │  
│ │ │ │ -$ sudo grep ftruncate /etc/audit/audit.rules
│ │ │ │ +If the service is masked the command will return the following outputs:
│ │ │ │  
│ │ │ │ -The output should be the following:
│ │ │ │ +LoadState=masked
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +UnitFileState=masked
│ │ │ │ +      Is it the case that the "sshd" is loaded and not masked?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /srv with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_ungroupowned_question:question:1">
│ │ │ │ +          <ocil:question_text>The following command will locate the mount points related to local devices:
│ │ │ │ +$ findmnt -n -l -k -it $(awk '/nodev/ { print $2 }' /proc/filesystems | paste -sd,)
│ │ │ │  
│ │ │ │ -$ mountpoint /srv
│ │ │ │ +The following command will show files which do not belong to a valid group:
│ │ │ │ +$ sudo find MOUNTPOINT -xdev -nogroup 2&gt;/dev/null
│ │ │ │  
│ │ │ │ -      Is it the case that "/srv is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +Replace MOUNTPOINT by the mount points listed by the fist command.
│ │ │ │ +
│ │ │ │ +No files without a valid group should be located.
│ │ │ │ +      Is it the case that there is output?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_etc_ipsec_conf_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/ipsec.conf,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/gshadow-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/ipsec.conf
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ipsec.conf does not have an owner of root?</ocil:question_text>
│ │ │ │ +$ ls -lL /etc/gshadow-
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +shadow
│ │ │ │ +      Is it the case that /etc/gshadow- does not have a group owner of shadow?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -unlinkat system call, run the following command:
│ │ │ │ -$ sudo grep "unlinkat" /etc/audit/audit.*
│ │ │ │ +fremovexattr system call, run the following command:
│ │ │ │ +$ sudo grep "fremovexattr" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine how the SSH daemon's AllowTcpForwarding option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i AllowTcpForwarding /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ -      Is it the case that The AllowTcpForwarding option exists and is disabled?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/group-,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/ssh/*_key,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/group-
│ │ │ │ +$ ls -l /etc/ssh/*_key
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/group- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /etc/ssh/*_key does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │ -          <ocil:question_text>If the system is configured to prevent the loading of the tipc kernel module,
│ │ │ │ -it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ -These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's HostbasedAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ -$ grep -r tipc /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │ -          <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │ +$ sudo grep -i HostbasedAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If the system is configured to prevent the usage of the ipv6 on
│ │ │ │ -network interfaces, it will contain a line of the form:
│ │ │ │ -net.ipv6.conf.default.disable_ipv6 = 1
│ │ │ │ -Such lines may be inside any file in the /etc/sysctl.d directory.
│ │ │ │ -This permits insertion of the IPv6 kernel module (which other parts of the
│ │ │ │ -system expect to be present), but otherwise keeps network interfaces
│ │ │ │ -from using IPv6. Run the following command to search for such lines in all
│ │ │ │ -files in /etc/sysctl.d:
│ │ │ │ -$ grep -r ipv6 /etc/sysctl.d
│ │ │ │ -      Is it the case that the ipv6 support is disabled by default on network interfaces?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the password warning age, run the command:
│ │ │ │ -$ grep PASS_WARN_AGE /etc/login.defs
│ │ │ │ -The DoD requirement is 7.
│ │ │ │ -      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.default.accept_redirects kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.default.accept_redirects
│ │ │ │ -0.
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │ -          <ocil:question_text>Run the following command to determine if the logrotate package is installed: $ dpkg -l  logrotate
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_RANDOMIZE_BASE /boot/config.*
│ │ │ │ +    $ grep CONFIG_GCC_PLUGIN_LATENT_ENTROPY /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "init" command with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep init
│ │ │ │ -
│ │ │ │ --a always,exit -F path=/init -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-init
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /etc/passwd,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/group-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/passwd
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/passwd does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +$ ls -lL /etc/group-
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/group- does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │ -          <ocil:question_text>If IPv6 is disabled, this is not applicable.
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /var with the following command:
│ │ │ │  
│ │ │ │ -Inspect the file /etc/sysconfig/ip6tables to determine
│ │ │ │ -the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ -$ sudo grep ":INPUT" /etc/sysconfig/ip6tables
│ │ │ │ -      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │ +$ mountpoint /var
│ │ │ │ +
│ │ │ │ +      Is it the case that "/var is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │          <ocil:boolean_question id="ocil:ssg-kernel_config_ipv6_question:question:1">
│ │ │ │            <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │      $ grep CONFIG_IPV6 /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /tmp with the following command:
│ │ │ │ -
│ │ │ │ -$ mountpoint /tmp
│ │ │ │ -
│ │ │ │ -      Is it the case that "/tmp is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_kernel_yama_ptrace_scope_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the kernel.yama.ptrace_scope kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.yama.ptrace_scope
│ │ │ │ -1.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-package_tftp_removed_question:question:1">
│ │ │ │ -          <ocil:question_text>The tftp package can be removed with the following command:  $ apt-get remove tftp
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_question:question:1">
│ │ │ │ -          <ocil:question_text>The runtime status of the net.ipv4.conf.all.secure_redirects kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.secure_redirects
│ │ │ │ -0.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-harden_ssh_client_crypto_policy_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify if the OpenSSH Client uses defined Crypto Policy, run:
│ │ │ │ -$ cat /etc/ssh/ssh_config.d/02-ospp.conf
│ │ │ │ -and verify that the line matches
│ │ │ │ -Match final all
│ │ │ │ -RekeyLimit 512M 1h
│ │ │ │ -GSSAPIAuthentication no
│ │ │ │ -Ciphers aes256-ctr,aes256-cbc,aes128-ctr,aes128-cbc
│ │ │ │ -PubkeyAcceptedKeyTypes ssh-rsa,ecdsa-sha2-nistp384,ecdsa-sha2-nistp256
│ │ │ │ -MACs hmac-sha2-512,hmac-sha2-256
│ │ │ │ -KexAlgorithms ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group14-sha1
│ │ │ │ -      Is it the case that Crypto Policy for OpenSSH Client is not configured according to CC requirements?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │ -          <ocil:question_text>To ensure logs are sent to a remote host, examine the file
│ │ │ │ -/etc/rsyslog.conf.
│ │ │ │ -If using UDP, a line similar to the following should be present:
│ │ │ │ - *.* @
│ │ │ │ -If using TCP, a line similar to the following should be present:
│ │ │ │ - *.* @@
│ │ │ │ -If using RELP, a line similar to the following should be present:
│ │ │ │ - *.* :omrelp:
│ │ │ │ -      Is it the case that no evidence that the audit logs are being off-loaded to another system or media?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_sestatus_conf_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/sestatus.conf,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_sysctld_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/sysctl.d,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/sestatus.conf
│ │ │ │ +$ ls -lL /etc/sysctl.d
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/sestatus.conf does not have a group owner of root?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_HASH /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the group ownership of /etc/gshadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/gshadow-
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -shadow
│ │ │ │ -      Is it the case that /etc/gshadow- does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/sysctl.d does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_groupownership_system_commands_dirs_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the system commands contained in the following directories are group-owned by "root", or a required system account, with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 takes the appropriate action when an audit processing failure occurs.
│ │ │ │  
│ │ │ │ -$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/local/bin /usr/local/sbin ! -group root -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system commands are returned and is not group-owned by a required system account?</ocil:question_text>
│ │ │ │ +Check that Debian 12 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +disk_error_action = 
│ │ │ │ +
│ │ │ │ +If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ +      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the permissions of /var/log/messages,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the permissions of /etc/passwd-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /var/log/messages
│ │ │ │ +$ ls -l /etc/passwd-
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /var/log/messages does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/passwd- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PAGE_TABLE_ISOLATION /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │ +          <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include spectre_v2=on, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*spectre_v2=on.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that spectre_v2 mitigation is not enforced?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-partition_for_opt_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify that a separate file system/partition has been created for /opt with the following command:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_gshadow_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/gshadow" with the following command:
│ │ │ │  
│ │ │ │ -$ mountpoint /opt
│ │ │ │ +$ sudo auditctl -l | grep -E '(/etc/gshadow)'
│ │ │ │  
│ │ │ │ -      Is it the case that "/opt is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +-w /etc/gshadow -p wa -k identity
│ │ │ │ +
│ │ │ │ +If the command does not return a line, or the line is commented out, this is a finding.
│ │ │ │ +      Is it the case that the system is not configured to audit account changes?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │ -          <ocil:question_text>To check the ownership of /etc/passwd-,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /etc/shadow,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/passwd-
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/passwd- does not have an owner of root?</ocil:question_text>
│ │ │ │ +$ ls -lL /etc/shadow
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +shadow
│ │ │ │ +      Is it the case that /etc/shadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that Audit Daemon is configured to resolve all uid, gid, syscall,
│ │ │ │ -architecture, and socket address information before writing the event to disk,
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine if the system is configured to audit changes to its network configuration,
│ │ │ │  run the following command:
│ │ │ │ -$ sudo grep log_format /etc/audit/auditd.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -log_format = ENRICHED
│ │ │ │ -      Is it the case that log_format isn't set to ENRICHED?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the open system call.
│ │ │ │ -
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -r open /etc/audit/rules.d
│ │ │ │ -
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep open /etc/audit/audit.rules
│ │ │ │ +auditctl -l | grep -E '(/etc/issue|/etc/issue.net|/etc/hosts|/etc/sysconfig/network)'
│ │ │ │  
│ │ │ │ -The output should be the following:
│ │ │ │ +If the system is configured to watch for network configuration changes, a line should be returned for
│ │ │ │ +each file specified (and perm=wa should be indicated for each).
│ │ │ │ +      Is it the case that the system is not configured to audit changes of the network configuration?</ocil:question_text>
│ │ │ │ +        </ocil:boolean_question>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_question:question:1">
│ │ │ │ +          <ocil:question_text>The runtime status of the net.ipv4.conf.all.accept_redirects kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.accept_redirects
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │ -          <ocil:question_text>To verify that auditing of privileged command use is configured, run the following command
│ │ │ │ -to search privileged commands in relevant partitions and check if they are covered by auditd
│ │ │ │ -rules:
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-partition_for_boot_question:question:1">
│ │ │ │ +          <ocil:question_text>Verify that a separate file system/partition has been created for /boot with the following command:
│ │ │ │  
│ │ │ │ -FILTER_NODEV=$(awk '/nodev/ { print $2 }' /proc/filesystems | paste -sd,)
│ │ │ │ -PARTITIONS=$(findmnt -n -l -k -it $FILTER_NODEV | grep -Pv "noexec|nosuid" | awk '{ print $1 }')
│ │ │ │ -for PARTITION in $PARTITIONS; do
│ │ │ │ -  for PRIV_CMD in $(find "${PARTITION}" -xdev -perm /6000 -type f 2&gt;/dev/null); do
│ │ │ │ -    grep -qr "${PRIV_CMD}" /etc/audit/rules.d /etc/audit/audit.rules &amp;&amp;
│ │ │ │ -      printf "OK: ${PRIV_CMD}\n" || printf "WARNING - rule not found for: ${PRIV_CMD}\n"
│ │ │ │ -  done
│ │ │ │ -done
│ │ │ │ +$ mountpoint /boot
│ │ │ │  
│ │ │ │ -The output should not contain any WARNING.
│ │ │ │ -      Is it the case that any setuid or setgid programs doesn't have a line in the audit rules?</ocil:question_text>
│ │ │ │ +      Is it the case that "/boot is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │            <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fsetxattr system call, run the following command:
│ │ │ │ -$ sudo grep "fsetxattr" /etc/audit/audit.*
│ │ │ │ +clock_settime system call, run the following command:
│ │ │ │ +$ sudo grep "clock_settime" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-logind_session_timeout_question:question:1">
│ │ │ │ -          <ocil:question_text>Display the contents of the file /etc/systemd/logind.conf:
│ │ │ │ -cat /etc/systemd/logind.conf
│ │ │ │ -Ensure that there is a section [login] which contains the
│ │ │ │ -configuration StopIdleSessionSec=.
│ │ │ │ -      Is it the case that the option is not configured?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-sudo_add_env_reset_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine if env_reset has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults.*\benv_reset\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that env_reset is not enabled in sudo?</ocil:question_text>
│ │ │ │ -        </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │ -          <ocil:question_text>Verify the umask setting is configured correctly in the /etc/profile file
│ │ │ │ -or scripts within /etc/profile.d directory with the following command:
│ │ │ │ -$ grep "umask" /etc/profile*
│ │ │ │ -umask 
│ │ │ │ -      Is it the case that the value for the "umask" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;",
│ │ │ │ -or the "umask" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-file_groupowner_user_cfg_question:question:1">
│ │ │ │ +          <ocil:question_text>To check the group ownership of /boot/grub/user.cfg,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /boot/grub/user.cfg
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /boot/grub/user.cfg does not have a group owner of root?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │ -          <ocil:question_text>Ensure that debug-shell service is not enabled with the following command:
│ │ │ │ -grep systemd\.debug-shell=1 /boot/grub2/grubenv /etc/default/grub
│ │ │ │ -If the command returns a line, it means that debug-shell service is being enabled.
│ │ │ │ -      Is it the case that the comand returns a line?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │ +          <ocil:question_text>Make sure that the kernel is not disabling SMEP with the following
│ │ │ │ +commands.
│ │ │ │ +grep -q nosmep /boot/config-`uname -r`
│ │ │ │ +If the command returns a line, it means that SMEP is being disabled.
│ │ │ │ +      Is it the case that the kernel is configured to disable SMEP?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │ -        <ocil:boolean_question id="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │ -          <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_CREDENTIALS /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +        <ocil:boolean_question id="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │ +          <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │          </ocil:boolean_question>
│ │ │ │        </ocil:questions>
│ │ │ │      </ocil:ocil>
│ │ │ │    </ds:component>
│ │ │ │    <ds:component id="scap_org.open-scap_comp_ssg-debian12-cpe-oval.xml" timestamp="2025-03-01T08:08:00">
│ │ │ │      <oval-def:oval_definitions xsi:schemaLocation="http://oval.mitre.org/XMLSchema/oval-common-5 oval-common-schema.xsd  http://oval.mitre.org/XMLSchema/oval-definitions-5 oval-definitions-schema.xsd  http://oval.mitre.org/XMLSchema/oval-definitions-5#independent independent-definitions-schema.xsd  http://oval.mitre.org/XMLSchema/oval-definitions-5#unix unix-definitions-schema.xsd  http://oval.mitre.org/XMLSchema/oval-definitions-5#linux linux-definitions-schema.xsd">
│ │ │ │        <oval-def:generator>
│ │ ├── ./usr/share/xml/scap/ssg/content/ssg-debian12-ocil.xml
│ │ │ ├── ./usr/share/xml/scap/ssg/content/ssg-debian12-ocil.xml
│ │ │ │┄ Ordering differences only
│ │ │ │ @@ -3,9645 +3,9694 @@
│ │ │ │    <ocil:generator>
│ │ │ │      <ocil:product_name>build_shorthand.py from SCAP Security Guide</ocil:product_name>
│ │ │ │      <ocil:product_version>ssg: 0.1.76</ocil:product_version>
│ │ │ │      <ocil:schema_version>2.0</ocil:schema_version>
│ │ │ │      <ocil:timestamp>2025-03-01T08:08:00</ocil:timestamp>
│ │ │ │    </ocil:generator>
│ │ │ │    <ocil:questionnaires>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_stig_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_sudoers_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /etc/sudoers File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_sudoers_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_security_writable_hooks_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable mutable hooks</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_nosmap_argument_absent_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure SMAP is not disabled during boot</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-aide_periodic_checking_systemd_timer_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Systemd Timer Execution of AIDE</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-account_use_centralized_automated_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Use Centralized and Automated Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-aide_periodic_checking_systemd_timer_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-account_use_centralized_automated_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_crypttab_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /etc/crypttab File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-dir_system_commands_group_root_owned_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that system commands directories have root as a group owner</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_crypttab_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-dir_system_commands_group_root_owned_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_0_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set SSH Client Alive Count Max to zero</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_regular_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Kernel Parameter to Enforce DAC on Regular files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_0_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_regular_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_net-snmp_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall net-snmp Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_sestatus_conf_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions On /etc/sestatus.conf File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_net-snmp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_sestatus_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_limit_user_access_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Limit Users' SSH Access</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_time_settimeofday_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record attempts to alter time through settimeofday</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_limit_user_access_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_time_settimeofday_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_sshd_config_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Owner on SSH Server config file</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_use_priv_separation_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Use of Privilege Separation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_sshd_config_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_use_priv_separation_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-selinux_not_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure SELinux is Not Disabled</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_deny_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Lock Accounts After Failed Password Attempts</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-selinux_not_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_deny_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_action_mail_acct_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd mail_acct Action on Low Disk Space</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_notifiers_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable checks on notifier call chains</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_notifiers_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set number of Password Hashing Rounds - password-auth</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_messages_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on /var/log/messages File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_unix_rounds_password_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_disable_recovery_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Recovery Booting</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_user_dot_group_ownership_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>User Initialization Files Must Be Group-Owned By The Primary Group</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_disable_recovery_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_user_dot_group_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_owner_etc_selinux_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /etc/selinux Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_idle_timeout_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set SSH Client Alive Interval</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_owner_etc_selinux_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_idle_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_minimum_age_login_defs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Password Minimum Age</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-no_direct_root_logins_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Direct root Logins Not Allowed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-no_direct_root_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_net_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>zero-init everything passed by reference</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_stackprotector_strong_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Strong Stack Protector</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns group File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_stackprotector_strong_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmod_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmod</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_poweroff_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - poweroff</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_ypserv_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall ypserv Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_rekey_limit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Force frequent session key renegotiation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_ypserv_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_rekey_limit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_unmap_kernel_at_el0_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Unmap kernel when running in userspace (aka KAISER)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Sending and Accepting Shared Media Redirects for All IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_proc_kcore_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable support for /proc/kkcore</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_setroubleshoot-server_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall setroubleshoot-server Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_proc_kcore_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_setroubleshoot-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_telnet_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Remove telnet Clients</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-dir_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that System Executable Directories Have Restrictive Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_telnet_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-dir_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-no_all_squash_exports_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure All-Squashing Disabled On All Exports</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-gid_passwd_group_same_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>All GIDs referenced in /etc/passwd must be defined in /etc/group</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-no_all_squash_exports_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-gid_passwd_group_same_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Denying Router Solicitations on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_panic_timeout_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Kernel panic timeout</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_panic_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_nosmap_argument_absent_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure SMAP is not disabled during boot</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_stig_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_home_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /home Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Limit CPU consumption of the Perf system</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_home_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-dir_perms_world_writable_root_owned_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure All World-Writable Directories Are Owned by root User</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_var_log_nosuid_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add nosuid Option to /var/log</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-dir_perms_world_writable_root_owned_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_var_log_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_perf_event_paranoid_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disallow kernel profiling by unprivileged users</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Public Key Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_perf_event_paranoid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Auto Configuration on All IPv6 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_remote_tls_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure TLS for rsyslog remote logging</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_remote_tls_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_files_permissions_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure System Log Files Have Correct Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_ipsec_secrets_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /etc/ipsec.secrets File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_files_permissions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_ipsec_secrets_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns passwd File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on gshadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_shells_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on /etc/shells File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_sudoersd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /etc/sudoers.d Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_shells_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_sudoersd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_sysrq_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disallow magic SysRq key</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects File Deletion Events by User - unlinkat</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_sysrq_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_page_alloc_shuffle_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable randomization of the page allocator</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-dir_system_commands_root_owned_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that system commands directories have root ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_page_alloc_shuffle_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-dir_system_commands_root_owned_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-prefer_64bit_os_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Prefer to use a 64-bit Operating System when supported</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable X11 Forwarding</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-prefer_64bit_os_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_all_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable automatic signing of all modules</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_core_bpf_jit_harden_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Harden the operation of the BPF just-in-time compiler</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_all_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_core_bpf_jit_harden_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_kptr_restrict_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Restrict Exposed Kernel Pointer Addresses Access</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_fifos_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Kernel Parameter to Enforce DAC on FIFOs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_max_sessions_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set SSH MaxSessions limit</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_fifos_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_max_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_time_settimeofday_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record attempts to alter time through settimeofday</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_chronyd_or_ntpd_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable the NTP Daemon</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_time_settimeofday_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_chronyd_or_ntpd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_opasswd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify User/Group Information - /etc/security/opasswd</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_talk-server_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall talk-server Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_opasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_talk-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_var_tmp_noexec_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add noexec Option to /var/tmp</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_rsyslog_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure rsyslog is Installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_var_tmp_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_rsyslog_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_binfmt_misc_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable kernel support for MISC binaries</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Denying Router Solicitations on All IPv6 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_binfmt_misc_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_ip_forward_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Kernel Parameter for IP Forwarding on IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmod_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmod</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_ip_forward_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_cron_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Install the cron service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_add_use_pty_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo use_pty</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_cron_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_add_use_pty_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable GSSAPI Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_user_dot_user_ownership_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>User Initialization Files Must Be Owned By the Primary User</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_user_dot_user_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-no_empty_passwords_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Prevent Login to Accounts With Empty Password</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Drop Gratuitious ARP frames on All IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-no_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_memory_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Randomize the kernel memory sections</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_vsyscall_emulate_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable vsyscall emulation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_memory_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_vsyscall_emulate_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_x86_vsyscall_emulation_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable x86 vsyscall emulation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_var_log_noexec_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add noexec Option to /var/log</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_var_log_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable GSSAPI Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_efi_user_cfg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify /boot/grub2/user.cfg Group Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_efi_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_pam_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable PAM</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_pam_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable module signature verification</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_tmp_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Polyinstantiation of /tmp Directories</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_audispd_syslog_plugin_activated_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd to use audispd's syslog plugin</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_media_export_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on Exporting to Media (successful)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_media_export_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lremovexattr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lremovexattr</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_postfix_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>The Postfix package is installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_postfix_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_owner_etc_sudoersd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /etc/sudoers.d Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudoers_no_root_target_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Don't target root user in the sudoers file</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_owner_etc_sudoersd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudoers_no_root_target_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_setroubleshoot-server_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall setroubleshoot-server Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_stackleak_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Poison kernel stack before returning from syscalls</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_setroubleshoot-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_stackleak_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_shutdown_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - shutdown</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on Backup shadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_bug_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable support for BUG()</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_filter_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable use of Berkeley Packet Filter with seccomp</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_bug_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_cron_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable cron Service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_iptables_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions On /etc/iptables Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_cron_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_iptables_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_slub_debug_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable SLUB/SLAB allocator poisoning</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_acpi_custom_method_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Do not allow ACPI methods to be inserted/replaced at run time</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_slub_debug_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects File Deletion Events by User</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-chronyd_specify_remote_server_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>A remote time server for Chrony is configured</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-chronyd_specify_remote_server_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_user_dot_group_ownership_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>User Initialization Files Must Be Group-Owned By The Primary Group</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_allow_only_protocol2_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Allow Only SSH Protocol 2</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_user_dot_group_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_allow_only_protocol2_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_kmod_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - kmod</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Unsuccessful Access Attempts to Files - ftruncate</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_kmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chmod_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chmod</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-apparmor_configured_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure AppArmor is Active and Configured</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-apparmor_configured_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify User/Group Information - /etc/shadow</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_vdsm_nopasswd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Only the VDSM User Can Use sudo NOPASSWD</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_space_left_action_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd space_left Action on Low Disk Space</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_bug_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable support for BUG()</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_bug_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_freq_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set number of records to cause an explicit flush to audit logs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_pam_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable PAM</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_freq_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_pam_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable X11 Forwarding</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-aide_periodic_cron_checking_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Periodic Execution of AIDE</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-aide_periodic_cron_checking_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_systemmap_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on System.map Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_enable_iommu_force_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>IOMMU configuration directive</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_enable_iommu_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_add_use_pty_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo use_pty</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure ARP filtering for All IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_add_use_pty_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify User/Group Information - /etc/group</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_systemd-journald_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable systemd-journald Service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_systemd-journald_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Maximum Number of Autoconfigured Addresses on All IPv6 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_sudoers_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions On /etc/sudoers File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_sudoers_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Kernel panic oops</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Denying Router Solicitations on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_write_logs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Write Audit Logs to the Disk</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_login_grace_time_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure SSH LoginGraceTime is configured</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_write_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_login_grace_time_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on /var/log Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_strictmodes_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Use of Strict Mode Checking</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_strictmodes_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_audit_configuration_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Audit Configuration Files Permissions are 640 or More Restrictive</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure System to Forward All Mail From Postmaster to The Root Account</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_fs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable kernel debugfs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_immutable_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Make the auditd Configuration Immutable</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_fs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_immutable_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-account_unique_name_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure All Accounts on the System Have Unique Names</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-snmpd_not_default_password_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Default SNMP Password Is Not Used</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-account_unique_name_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-snmpd_not_default_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_delete_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on Kernel Module Unloading - delete_module</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on Backup group File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_var_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /var Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_log_format_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Resolve information before writing to audit logs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_var_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_log_format_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Kernel Parameter for Sending ICMP Redirects on all IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_tmout_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Interactive Session Timeout</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_tmout_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_selinux_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /etc/selinux Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_memory_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Randomize the kernel memory sections</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_selinux_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_memory_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_forward_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Default iptables Policy for Forwarded Packets</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Audit Configuration Files Must Be Owned By Group root</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_forward_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_shells_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Who Owns /etc/shells File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that Shared Library Files Have Restrictive Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_shells_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure ARP filtering for All IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_usr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /usr Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_usr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_user_cfg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify /boot/grub/user.cfg Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that System Executables Have Restrictive Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_wx_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Warn on W+X mappings found at boot</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-logind_session_timeout_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Logind to terminate idle sessions after certain time of inactivity</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_wx_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-logind_session_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_sshd_config_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns SSH Server config file</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-no_empty_passwords_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Prevent Login to Accounts With Empty Password</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_sshd_config_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-no_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_ipsecd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions On /etc/ipsec.d Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_cron_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable cron Service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_ipsecd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_cron_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns gshadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_ia32_emulation_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable IA32 emulation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_ia32_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_kea_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall kea Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_ypserv_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall ypserv Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_kea_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_ypserv_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_modules_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable loading and unloading of kernel modules</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_opasswd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify User/Group Information - /etc/security/opasswd</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_modules_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_opasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that System Executables Have Root Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_openssh-server_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Install the OpenSSH Server Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_openssh-server_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on all IPv6 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_compat_vdso_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable the 32-bit vDSO</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_compat_vdso_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_time_watch_localtime_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Attempts to Alter the localtime File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-selinux_not_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure SELinux is Not Disabled</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-selinux_not_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_stig_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_retry_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure PAM Enforces Password Requirements - Authentication Retry Prompts Permitted Per-Session</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_retry_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_postfix_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>The Postfix package is installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_x86_vsyscall_emulation_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable x86 vsyscall emulation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_postfix_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns gshadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns gshadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Rsyslog Authenticates Off-Loaded Audit Records</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_crypttab_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions On /etc/crypttab File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_crypttab_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_sudo_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - sudo</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Accepting ICMP Redirects for All IPv6 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_sudo_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_unix_remember_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Limit Password Reuse</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_ufw_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify ufw Enabled</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_unix_remember_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_ufw_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_var_log_audit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /var/log/audit Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns passwd File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_list_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable checks on linked list manipulation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_users_home_files_groupownership_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>All User Files and Directories In The Home Directory Must Be Group-Owned By The Primary Group</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_list_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_users_home_files_groupownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_page_poison_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable page allocator poisoning</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_remove_no_authenticate_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo !authenticate</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_page_poison_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_remove_no_authenticate_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_ip6tables_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify ip6tables Enabled if Using IPv6</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_minlen_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Length</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_ip6tables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_minlen_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_num_logs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd Number of Logs Retained</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_ipsec_conf_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /etc/ipsec.conf File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_num_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_ipsec_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-dir_perms_world_writable_sticky_bits_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that All World-Writable Directories Have Sticky Bits Set</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure System to Forward All Mail For The Root Account</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_users_home_files_permissions_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>All User Files and Directories In The Home Directory Must Have Mode 0750 Or Less Permissive</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on IPv4 Interfaces by Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_users_home_files_permissions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Audit Configuration Files Must Be Owned By Group root</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_ntp_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Install the ntp service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_ntp_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Accepting Router Preference in Router Advertisements on All IPv6 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_efi_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify the UEFI Boot Loader grub.cfg User Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_efi_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_rsh-server_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall rsh-server Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_rsh-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_selinux_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions On /etc/selinux Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-aide_scan_notification_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Notification of Post-AIDE Scan Details</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_selinux_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-aide_scan_notification_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_allow_only_protocol2_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Allow Only SSH Protocol 2</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-set_ip6tables_default_rule_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Default ip6tables Policy for Incoming Packets</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_allow_only_protocol2_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-set_ip6tables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_users_home_files_ownership_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>All User Files and Directories In The Home Directory Must Have a Valid Owner</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupownership_system_commands_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that system commands files are group owned by root or a system account</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_users_home_files_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupownership_system_commands_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_finit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading - finit_module</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_profile_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure the Default Umask is Set Correctly in /etc/profile</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_profile_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_spectre_v2_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enforce Spectre v2 mitigation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_0_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set SSH Client Alive Count Max to zero</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_spectre_v2_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_0_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudoers_explicit_command_args_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Explicit arguments in sudo specifications</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-chronyd_server_directive_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Chrony is only configured with the server directive</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudoers_explicit_command_args_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-chronyd_server_directive_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Generate some entropy during boot and runtime</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable PubkeyAuthentication Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_latent_entropy_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_init_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on Kernel Module Loading - init_module</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_ntp_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable the NTP Daemon</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_ntp_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_permissions_var_log_audit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>System Audit Logs Must Have Mode 0750 or Less Permissive</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns group File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_permissions_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Accepting Router Preference in Router Advertisements on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rename_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects File Deletion Events by User - rename</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_structleak_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Force initialization of variables containing userspace addresses</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_structleak_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH Support for .rhosts Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_overflow_action_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Appropriate Action Must be Setup When the Internal Audit Event Queue is Full</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_overflow_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_kexec_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable kexec system call</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_tallylog_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Attempts to Alter Logon and Logout Events - tallylog</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_kexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_set_max_life_root_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Root Account Password Maximum Age</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Kernel Parameter for Accepting Secure Redirects By Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_set_max_life_root_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_faillock_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Attempts to Alter Logon and Logout Events - faillock</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_init_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - init</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_faillock_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_telnet-server_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall telnet-server Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_limit_user_access_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Limit Users' SSH Access</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_telnet-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_limit_user_access_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Kernel panic on oops</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_info_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set LogLevel to INFO</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_info_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permission_user_init_files_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure All User Initialization Files Have Mode 0740 Or Less Permissive</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_owner_etc_nftables_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /etc/nftables Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permission_user_init_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_owner_etc_nftables_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on all IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_unauthorized_world_writable_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure No World-Writable Files Exist</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_reboot_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - reboot</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Accepting Prefix Information in Router Advertisements on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_reboot_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_syslogng_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable syslog-ng Service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that System Executables Have Root Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_syslogng_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_talk_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall talk Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_crypttab_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /etc/crypttab File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_talk_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_crypttab_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Drop Gratuitious ARP frames on All IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_users_home_files_groupownership_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>All User Files and Directories In The Home Directory Must Be Group-Owned By The Primary Group</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable GSSAPI Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_users_home_files_groupownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable seccomp to safely compute untrusted bytecode</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_fs_suid_dumpable_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Core Dumps for SUID programs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable IPv6 Addressing on All IPv6 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_sshd_config_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns SSH Server config file</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_sshd_config_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_ownership_var_log_audit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>System Audit Logs Must Be Owned By Root</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_ownership_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-dir_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that Shared Library Directories Have Root Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-harden_ssh_client_crypto_policy_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Harden SSH client Crypto Policy</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-dir_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_boot_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /boot Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_devkmem_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable /dev/kmem virtual device support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_boot_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_devkmem_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_info_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set LogLevel to INFO</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_retpoline_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Avoid speculative indirect branches in kernel</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_info_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_retpoline_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_systemmap_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns System.map Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /var/log/syslog File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_aide_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Install AIDE</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_var_nosuid_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add nosuid Option to /var</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_aide_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_var_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_ipsec_secrets_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /etc/ipsec.secrets File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_modify_ldt_syscall_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable the LDT (local descriptor table)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_ipsec_secrets_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_modify_ldt_syscall_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-selinux_state_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure SELinux State is Enforcing</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on /var/log/syslog File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-selinux_state_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify /boot/grub/grub.cfg Group Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_owner_etc_iptables_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /etc/iptables Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_owner_etc_iptables_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_crypttab_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /etc/crypttab File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-aide_verify_acls_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure AIDE to Verify Access Control Lists (ACLs)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_crypttab_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-aide_verify_acls_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /var/log/messages File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_tftp_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Remove tftp Daemon</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_tftp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_renameat_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects File Deletion Events by User - renameat</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Kernel Parameter for Accepting ICMP Redirects by Default on IPv6 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_var_log_nosuid_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add nosuid Option to /var/log</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-display_login_attempts_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure PAM Displays Last Logon/Access Notification</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_var_log_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-display_login_attempts_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that Shared Library Files Have Root Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_security_writable_hooks_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable mutable hooks</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-account_use_centralized_automated_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Use Centralized and Automated Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Kernel panic on oops</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-account_use_centralized_automated_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable poison of pages after freeing</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_sudoers_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /etc/sudoers File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_sudoers_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns group File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_custom_logfile_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Sudo Logfile Exists - sudo logfile</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_custom_logfile_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that System Executables Have Restrictive Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_syn_cookies_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable TCP/IP syncookie support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_syn_cookies_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_user_cfg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify /boot/grub/user.cfg User Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_home_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /home Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_home_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_dhcp_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall DHCP Server Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_stackprotector_strong_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Strong Stack Protector</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_dhcp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_stackprotector_strong_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Accepting Default Router in Router Advertisements on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_proc_kcore_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable support for /proc/kkcore</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_proc_kcore_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_compat_brk_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable compatibility with brk()</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on all IPv6 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_compat_brk_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_devkmem_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable /dev/kmem virtual device support</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_minimum_age_login_defs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Password Minimum Age</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_devkmem_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_ipsec_conf_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions On /etc/ipsec.conf File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_ipsec_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_usr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /usr Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_MFEhiplsm_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Install the Host Intrusion Prevention System (HIPS) Module</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_usr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_MFEhiplsm_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_modify_ldt_syscall_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable the LDT (local descriptor table)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_empty_passwords_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH Access via Empty Passwords</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_modify_ldt_syscall_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_ungroupowned_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure All Files Are Owned by a Group</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_chrony_keys_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /etc/chrony.keys File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_ungroupowned_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_chrony_keys_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_rsyslog_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure rsyslog is Installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_root_password_login_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH root Login with a Password (Insecure)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_rsyslog_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_root_password_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_all_shadowed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify All Account Password Hashes are Shadowed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount2_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount2</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_all_shadowed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns Backup shadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on all IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_ip_local_port_range_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Kernel Parameter to Increase Local Port Range</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_hardened_usercopy_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Harden memory copies between kernel and userspace</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_ip_local_port_range_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_hardened_usercopy_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_enable_iommu_force_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>IOMMU configuration directive</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_sysrq_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disallow magic SysRq key</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_enable_iommu_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_sysrq_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-aide_periodic_cron_checking_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Periodic Execution of AIDE</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-no_files_unowned_by_user_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure All Files Are Owned by a User</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-aide_periodic_cron_checking_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-no_files_unowned_by_user_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on /var/log/syslog File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_files_groupownership_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Log Files Are Owned By Appropriate Group</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_files_groupownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_mds_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Microarchitectural Data Sampling mitigation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudoers_no_command_negation_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Don't define allowed commands in sudoers by means of exclusion</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_mds_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudoers_no_command_negation_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable PubkeyAuthentication Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_vsyscall_none_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable vsyscall mapping</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_vsyscall_none_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_auditd_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable auditd Service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Limit sampling frequency of the Perf system</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_auditd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_tmp_noexec_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add noexec Option to /tmp</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chmod_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chmod</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_tmp_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-security_patches_up_to_date_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Software Patches Installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-security_patches_up_to_date_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_mce_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Force kernel panic on uncorrected MCEs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-coredump_disable_backtraces_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable core dump backtraces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_mce_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-coredump_disable_backtraces_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_slab_nomerge_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable merging of slabs with similar size</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /var/log/messages File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_no_uid_except_zero_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Only Root Has UID 0</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-no_all_squash_exports_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure All-Squashing Disabled On All Exports</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_no_uid_except_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-no_all_squash_exports_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-dir_permissions_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that System Executable Directories Have Restrictive Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns Backup shadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-dir_permissions_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /var/log/syslog File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Prevent Routing External Traffic to Local Loopback on All IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-no_files_unowned_by_user_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure All Files Are Owned by a User</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Unsuccessful Access Attempts to Files - creat</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-no_files_unowned_by_user_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_randstruct_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Randomize layout of sensitive kernel structures</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_add_env_reset_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure sudo Runs In A Minimal Environment - sudo env_reset</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_randstruct_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_add_env_reset_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_systemmap_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns System.map Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_delete_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on Kernel Module Unloading - delete_module</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fremovexattr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fremovexattr</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-no_rsh_trust_files_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Remove Rsh Trust Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-no_rsh_trust_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_add_ignore_dot_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure sudo Ignores Commands In Current Dir - sudo ignore_dot</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_page_poison_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable page allocator poisoning</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_add_ignore_dot_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_page_poison_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_sched_stack_end_check_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Detect stack corruption on calls to schedule()</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_pti_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Kernel Page-Table Isolation (KPTI)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_sched_stack_end_check_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_pti_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Accepting ICMP Redirects for All IPv6 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Emulate Privileged Access Never (PAN)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on group File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_verbose_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set SSH Daemon LogLevel to VERBOSE</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Sending and Accepting Shared Media Redirects for All IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_ipsec_secrets_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions On /etc/ipsec.secrets File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_ipsec_secrets_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Accepting Prefix Information in Router Advertisements on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_rng_core_default_quality_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure the confidence in TPM for entropy</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on Backup shadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_rsh_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall rsh Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_rsh_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_stackprotector_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Stack Protector buffer overlow detection</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_lastlog_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Attempts to Alter Logon and Logout Events - lastlog</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_stackprotector_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns Backup gshadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sebool_polyinstantiation_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure the polyinstantiation_enabled SELinux Boolean</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sebool_polyinstantiation_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_var_tmp_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /var/tmp Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_base_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Randomize the address of the kernel image (KASLR)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_var_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_base_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Kernel Parameter for Sending ICMP Redirects on all IPv4 Interfaces by Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_audispd_syslog_plugin_activated_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd to use audispd's syslog plugin</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_ocredit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Special Characters</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Auto Configuration on All IPv6 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_ocredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that Shared Library Files Have Restrictive Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Accepting Default Router in Router Advertisements on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_syn_cookies_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable TCP/IP syncookie support</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable module signature verification</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_syn_cookies_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns passwd File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_warn_age_login_defs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Password Warning Age</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_interval_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Interval For Counting Failed Password Attempts</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-dir_perms_world_writable_root_owned_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure All World-Writable Directories Are Owned by root User</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_interval_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-dir_perms_world_writable_root_owned_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_efi_user_cfg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify /boot/grub2/user.cfg Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns gshadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_efi_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_var_tmp_nosuid_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add nosuid Option to /var/tmp</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on shadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_var_tmp_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns Backup shadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_pam_pwquality_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Install pam_pwquality Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_pam_pwquality_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-apparmor_configured_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure AppArmor is Active and Configured</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_ptys_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable legacy (BSD) PTY support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-apparmor_configured_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_ptys_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns Backup passwd File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_randomize_va_space_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Randomized Layout of Virtual Address Space</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_unix_remember_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Limit Password Reuse</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_unix_remember_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_user_cfg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify /boot/grub/user.cfg Group Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_systemmap_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns System.map Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Accepting Default Router in Router Advertisements on All IPv6 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_chronyd_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>The Chronyd service is enabled</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_chronyd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_pam_pwquality_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Install pam_pwquality Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Kernel Parameter for Accepting Secure ICMP Redirects on all IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_pam_pwquality_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Unsuccessful Access Attempts to Files - open_by_handle_at</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_renameat_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects File Deletion Events by User - renameat</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns Backup group File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchownat_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchownat</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns shadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_auditd_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable auditd Service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_auditd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_user_known_hosts_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH Support for User Known Hosts</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_vm_mmap_min_addr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Prevent applications from mapping low portion of virtual memory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_vm_mmap_min_addr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-ensure_logrotate_activated_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Logrotate Runs Periodically</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_shells_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on /etc/shells File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-ensure_logrotate_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_shells_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Kernel Parameter to Use Reverse Path Filtering on all IPv4 Interfaces by Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_selinux_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions On /etc/selinux Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_selinux_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Default iptables Policy for Incoming Packets</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_fs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable kernel debugfs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_fs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns Backup group File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_all_shadowed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify All Account Password Hashes are Shadowed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_all_shadowed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_idle_timeout_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set SSH Client Alive Interval</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_force_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Require modules to be validly signed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_idle_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on shadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Unsuccessful Access Attempts to Files - open_by_handle_at</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sebool_polyinstantiation_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure the polyinstantiation_enabled SELinux Boolean</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_binfmt_misc_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable kernel support for MISC binaries</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sebool_polyinstantiation_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_binfmt_misc_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_tmp_nosuid_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add nosuid Option to /tmp</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_wx_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Warn on W+X mappings found at boot</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_tmp_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_wx_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_removexattr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - removexattr</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rmdir_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects File Deletion Events by User - rmdir</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_slab_freelist_hardened_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Harden slab freelist metadata</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_cron_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Install the cron service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_slab_freelist_hardened_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_cron_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_max_sessions_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set SSH MaxSessions limit</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-no_netrc_files_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify No netrc Files Exist</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_max_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-no_netrc_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_owner_etc_iptables_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /etc/iptables Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_admin_space_left_action_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd admin_space_left Action on Low Disk Space</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_owner_etc_iptables_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure System to Forward All Mail For The Root Account</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_num_logs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd Number of Logs Retained</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_num_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_users_home_files_permissions_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>All User Files and Directories In The Home Directory Must Have Mode 0750 Or Less Permissive</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_users_home_files_permissions_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlink_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects File Deletion Events by User - unlink</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_list_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable checks on linked list manipulation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_list_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Auto Configuration on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_write_logs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Write Audit Logs to the Disk</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_write_logs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Access to Network bpf() Syscall From Unprivileged Processes</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_gnutls-utils_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure gnutls-utils is installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_gnutls-utils_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Kernel Parameter for Accepting ICMP Redirects by Default on IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_snmpd_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable snmpd Service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_insmod_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - insmod</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_snmpd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_insmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_hardened_usercopy_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Harden memory copies between kernel and userspace</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_sudo_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - sudo</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_hardened_usercopy_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_sudo_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_user_cfg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify /boot/grub/user.cfg Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_networkconfig_modification_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Network Environment</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Kernel Parameter for Sending ICMP Redirects on all IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_vsyscall_none_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable vsyscall mapping</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_hibernation_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable hibernation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_vsyscall_none_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_hibernation_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_chrony_keys_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions On /etc/chrony.keys File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_config_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on SSH Server config file</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_chrony_keys_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_config_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_sshd_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH Server If Possible</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_systemmap_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on System.map Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_sshd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Emulate Privileged Access Never (PAN)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_sudo_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Install sudo Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_sudo_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-display_login_attempts_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure PAM Displays Last Logon/Access Notification</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Unsuccessful Access Attempts to Files - openat</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-display_login_attempts_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Accepting Prefix Information in Router Advertisements on All IPv6 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_systemmap_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns System.map Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_systemmap_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_syslogng_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure syslog-ng is Installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_tmp_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /tmp Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_syslogng_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_ownership_var_log_audit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>System Audit Logs Must Be Owned By Root</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Kernel Parameter for Sending ICMP Redirects on all IPv4 Interfaces by Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_ownership_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /var/log/messages File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_selinux_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /etc/selinux Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_selinux_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_sysctld_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions On /etc/sysctl.d Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns Backup passwd File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_sysctld_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_pti_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Kernel Page-Table Isolation (KPTI)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_symlinks_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Kernel Parameter to Enforce DAC on Symlinks</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_pti_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_owner_etc_ipsecd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /etc/ipsec.d Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nodev_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add nodev Option to /dev/shm</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_owner_etc_ipsecd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_openssh-server_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Install the OpenSSH Server Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-set_password_hashing_algorithm_logindefs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Password Hashing Algorithm in /etc/login.defs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_openssh-server_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-set_password_hashing_algorithm_logindefs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Kernel Parameter to Use Reverse Path Filtering on all IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_disable_recovery_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Recovery Booting</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_disable_recovery_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_sudoers_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /etc/sudoers File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_aide_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Install AIDE</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_sudoers_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_aide_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_bug_on_data_corruption_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Trigger a kernel BUG when data corruption is detected</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_usr_share_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Mandatory Access Controls in usr/share</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_bug_on_data_corruption_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_empty_passwords_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH Access via Empty Passwords</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_home_noexec_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add noexec Option to /home</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_empty_passwords_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_home_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Specify module signing key to use</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_security_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable different security models</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_security_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_sudo_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Install sudo Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_mce_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Force kernel panic on uncorrected MCEs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_sudo_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_mce_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudoers_no_command_negation_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Don't define allowed commands in sudoers by means of exclusion</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fsetxattr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fsetxattr</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudoers_no_command_negation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_regular_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Kernel Parameter to Enforce DAC on Regular files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_add_requiretty_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo requiretty</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_regular_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_add_requiretty_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_unauthorized_world_writable_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure No World-Writable Files Exist</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd Max Log File Size</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_efi_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify the UEFI Boot Loader grub.cfg Group Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_max_auth_tries_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set SSH authentication attempt limit</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_efi_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_max_auth_tries_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_sg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable checks on scatter-gather (SG) table operations</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_syslogng_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure syslog-ng is Installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_sg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_syslogng_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Accepting Packets Routed Between Local Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-dir_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that Shared Library Directories Have Restrictive Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-dir_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns group File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_xinetd_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall xinetd Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_xinetd_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_symlinks_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Kernel Parameter to Enforce DAC on Symlinks</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_syslogng_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable syslog-ng Service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_syslogng_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_stackleak_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Poison kernel stack before returning from syscalls</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_var_tmp_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Polyinstantiation of /var/tmp Directories</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_stackleak_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify /boot/grub/grub.cfg Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_mds_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Microarchitectural Data Sampling mitigation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_mds_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_vdsm_nopasswd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Only the VDSM User Can Use sudo NOPASSWD</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_chrony_keys_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions On /etc/chrony.keys File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_chrony_keys_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nodev_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add nodev Option to /dev/shm</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_add_umask_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure sudo umask is appropriate - sudo umask</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_add_umask_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_l1tf_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure L1 Terminal Fault mitigations</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on /var/log Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_l1tf_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_talk-server_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall talk-server Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_talk-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_rsa_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH Support for Rhosts RSA Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure debug-shell service is not enabled during boot</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Kernel Parameter to Use TCP RFC 1337 on IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_remove_no_authenticate_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo !authenticate</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Maximum Number of Autoconfigured Addresses on All IPv6 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_remove_no_authenticate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_ipsec_secrets_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions On /etc/ipsec.secrets File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_time_stime_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Attempts to Alter Time Through stime</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_ipsec_secrets_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_time_stime_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_tallylog_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Attempts to Alter Logon and Logout Events - tallylog</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_remove_nopasswd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo NOPASSWD</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_remove_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_hardened_usercopy_fallback_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Do not allow usercopy whitelist violations to fallback to object size</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_security_yama_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Yama support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_hardened_usercopy_fallback_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_security_yama_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_rsh_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall rsh Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_space_left_action_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd space_left Action on Low Disk Space</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_rsh_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chown_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chown</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_ocredit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Special Characters</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_ocredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_refcount_full_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Perform full reference count validation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify /boot/grub/grub.cfg User Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_refcount_full_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Accepting Router Preference in Router Advertisements on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Kernel Parameter to Use TCP Syncookies on Network Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_tcp_syncookies_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_tmout_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Interactive Session Timeout</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Specify module signing key to use</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_tmout_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_dedicated_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure a dedicated group owns sudo</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_messages_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /var/log/messages File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_dedicated_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_strict_kernel_rwx_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Make the kernel text and rodata read-only</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_owner_etc_sysctld_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /etc/sysctl.d Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_strict_kernel_rwx_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_owner_etc_sysctld_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_dmesg_restrict_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Restrict Access to Kernel Message Buffer</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-disallow_bypass_password_sudo_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disallow Configuration to Bypass Password Requirements for Privilege Escalation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_dmesg_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-disallow_bypass_password_sudo_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rmdir_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects File Deletion Events by User - rmdir</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_sendmail_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall Sendmail Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_sendmail_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Denying Router Solicitations on All IPv6 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_bug_on_data_corruption_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Trigger a kernel BUG when data corruption is detected</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_bug_on_data_corruption_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Limit CPU consumption of the Perf system</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_l1tf_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure L1 Terminal Fault mitigations</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_l1tf_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_max_auth_tries_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set SSH authentication attempt limit</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_require_authentication_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_max_auth_tries_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_require_authentication_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_crypttab_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions On /etc/crypttab File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_boot_nosuid_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add nosuid Option to /boot</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_crypttab_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_boot_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_strictmodes_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Use of Strict Mode Checking</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_unlock_time_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Lockout Time for Failed Password Attempts</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_strictmodes_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_unlock_time_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-securetty_root_login_console_only_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Restrict Virtual Console Root Logins</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_compat_brk_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable compatibility with brk()</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-securetty_root_login_console_only_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_compat_brk_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_slab_nomerge_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable merging of slabs with similar size</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_last_change_is_in_past_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure all users last password change date is in the past</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /var/log/syslog File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Unauthorized Access Attempts to Files (unsuccessful)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_local_events_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Include Local Events in Audit Logs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_local_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Sending and Accepting Shared Media Redirects by Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_security_dmesg_restrict_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Restrict unprivileged access to the kernel syslog</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_modprobe_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - modprobe</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_efi_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify the UEFI Boot Loader grub.cfg Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_modprobe_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_efi_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchown_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchown</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_remote_tls_cacert_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure CA certificate for rsyslog remote logging</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_remote_tls_cacert_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_var_noexec_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add noexec Option to /var</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_modules_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable loading and unloading of kernel modules</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_var_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_modules_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_lcredit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Lowercase Characters</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_all_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable automatic signing of all modules</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_lcredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_all_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on IPv6 Interfaces by Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_warning_banner_net_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable SSH Warning Banner</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_sestatus_conf_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions On /etc/sestatus.conf File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Accepting Packets Routed Between Local Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_sestatus_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_ntp_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Install the ntp service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_max_concurrent_login_sessions_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Limit the Number of Concurrent Login Sessions Allowed Per User</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_ntp_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-no_rsh_trust_files_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Remove Rsh Trust Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_freq_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set number of records to cause an explicit flush to audit logs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-no_rsh_trust_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_freq_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_tftp-server_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall tftp-server Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_nftables_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions On /etc/nftables Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_tftp-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_nftables_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_fs_suid_dumpable_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Core Dumps for SUID programs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_owner_etc_sudoersd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /etc/sudoers.d Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_owner_etc_sudoersd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Kernel Parameter to Ignore Bogus ICMP Error Responses on IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_logon_fail_delay_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure the Logon Failure Delay is Set Correctly in login.defs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_logon_fail_delay_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_var_tmp_noexec_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add noexec Option to /var/tmp</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_var_tmp_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_module_uvcvideo_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable the uvcvideo module</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-prefer_64bit_os_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Prefer to use a 64-bit Operating System when supported</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-prefer_64bit_os_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-aide_verify_ext_attributes_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure AIDE to Verify Extended Attributes</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_logrotate_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure logrotate is Installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-aide_verify_ext_attributes_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_logrotate_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_uefi_password_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set the UEFI Boot Loader Password</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_tcp_forwarding_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH TCP Forwarding</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_uefi_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify User/Group Information</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_hash_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Specify the hash to use when signing modules</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_hash_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_spec_store_bypass_disable_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Speculative Store Bypass Mitigation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_do_not_permit_user_env_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Do Not Allow SSH Environment Options</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-dir_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that Shared Library Directories Have Root Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-dir_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_var_tmp_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Polyinstantiation of /var/tmp Directories</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_var_tmp_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /var/tmp Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_var_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nosuid_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add nosuid Option to /dev/shm</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-postfix_client_configure_relayhost_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure System to Forward All Mail through a specific host</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-postfix_client_configure_relayhost_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_root_gid_zero_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Root Has A Primary GID 0</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns passwd File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_root_gid_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_ipsec_secrets_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /etc/ipsec.secrets File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_ipsec_secrets_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_ptys_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable legacy (BSD) PTY support</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_forward_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Default iptables Policy for Forwarded Packets</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_ptys_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_forward_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_files_groupownership_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Log Files Are Owned By Appropriate Group</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_setroubleshoot-plugins_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall setroubleshoot-plugins Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_files_groupownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_setroubleshoot-plugins_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_var_log_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /var/log Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set SSH Client Alive Count Max</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_faillock_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Attempts to Alter Logon and Logout Events - faillock</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_faillock_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-timer_logrotate_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable logrotate Timer</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_full_action_stig_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd Disk Full Action when Disk Space Is Full</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-timer_logrotate_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_sysadmin_actions_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects System Administrator Actions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable seccomp to safely compute untrusted bytecode</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-no_empty_passwords_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure There Are No Accounts With Blank or Null Passwords</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_module_uvcvideo_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable the uvcvideo module</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_nss-tools_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure nss-tools is installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-aide_build_database_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Build and Test AIDE Database</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_nss-tools_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-aide_build_database_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_vsyscall_emulate_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable vsyscall emulation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /var/log Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_vsyscall_emulate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_chrony_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>The Chrony package is installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_pid_max_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure maximum number of process identifiers</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_chrony_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_pid_max_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_unmap_kernel_at_el0_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Unmap kernel when running in userspace (aka KAISER)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-aide_verify_acls_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure AIDE to Verify Access Control Lists (ACLs)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_finit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on Kernel Module Loading and Unloading - finit_module</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-aide_verify_acls_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_notifiers_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable checks on notifier call chains</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_randomize_va_space_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Randomized Layout of Virtual Address Space</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_notifiers_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Rsyslog Encrypts Off-Loaded Audit Records</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns Backup shadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_sestatus_conf_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /etc/sestatus.conf File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_root_login_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH Root Login</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_sestatus_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_root_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-dir_system_commands_root_owned_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that system commands directories have root ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_home_nosuid_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add nosuid Option to /home</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-dir_system_commands_root_owned_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_home_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_rsh-server_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall rsh-server Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_files_ownership_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Log Files Are Owned By Appropriate User</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_rsh-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_files_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_add_umask_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure sudo umask is appropriate - sudo umask</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_no_sanity_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable poison without sanity check</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_add_umask_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_usr_share_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Mandatory Access Controls in usr/share</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_shells_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /etc/shells File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_shells_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_unlock_time_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Lockout Time for Failed Password Attempts</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_interval_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Interval For Counting Failed Password Attempts</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_unlock_time_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_interval_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-dir_permissions_library_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that Shared Library Directories Have Restrictive Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_audit_configuration_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Audit Configuration Files Permissions are 640 or More Restrictive</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-dir_permissions_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-set_password_hashing_algorithm_logindefs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Password Hashing Algorithm in /etc/login.defs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_permissions_var_log_audit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>System Audit Logs Must Have Mode 0750 or Less Permissive</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-set_password_hashing_algorithm_logindefs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_permissions_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_use_priv_separation_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Use of Privilege Separation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_panic_on_oops_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Kernel panic oops</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_use_priv_separation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_panic_on_oops_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_owner_etc_sysctld_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /etc/sysctl.d Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_fifos_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Kernel Parameter to Enforce DAC on FIFOs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_owner_etc_sysctld_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_fifos_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_user_dot_user_ownership_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>User Initialization Files Must Be Owned By the Primary User</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_sudoersd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions On /etc/sudoers.d Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_user_dot_user_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_sudoersd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Kernel Parameter to Use TCP Syncookies on Network Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_minlen_login_defs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Password Minimum Length in login.defs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_tcp_syncookies_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_ownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Audit Configuration Files Must Be Owned By Root</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_ipsec_conf_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /etc/ipsec.conf File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_ownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_ipsec_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_print_last_log_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable SSH Print Last Log</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_sysctld_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions On /etc/sysctl.d Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_print_last_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_sysctld_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_var_log_noexec_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add noexec Option to /var/log</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_kptr_restrict_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Restrict Exposed Kernel Pointer Addresses Access</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_var_log_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_password_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Boot Loader Password in grub2</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_kmod_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - kmod</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_kmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_dev_shm_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /dev/shm is configured</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_module_ipv6_option_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable IPv6 Networking Support Automatic Loading</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_dev_shm_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-configure_user_data_backups_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Backups of User Data</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_removexattr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - removexattr</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-configure_user_data_backups_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_ucredit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Uppercase Characters</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lsetxattr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lsetxattr</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_ucredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-snmpd_not_default_password_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Default SNMP Password Is Not Used</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns Backup gshadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-snmpd_not_default_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_kerb_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Kerberos Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Kernel Parameter to Use Reverse Path Filtering on all IPv4 Interfaces by Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_kerb_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_passwd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify User/Group Information - /etc/passwd</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_media_export_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on Exporting to Media (successful)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_remote_loghost_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Logs Sent To Remote Host</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_media_export_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_remote_loghost_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_time_stime_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Attempts to Alter Time Through stime</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_root_path_dirs_no_write_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure that Root's Path Does Not Include World or Group-Writable Directories</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_time_stime_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_force_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Require modules to be validly signed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permission_user_init_files_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure All User Initialization Files Have Mode 0740 Or Less Permissive</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_force_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permission_user_init_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_vm_mmap_min_addr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Prevent applications from mapping low portion of virtual memory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on group File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_vm_mmap_min_addr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_seccomp_filter_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable use of Berkeley Packet Filter with seccomp</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Rsyslog Authenticates Off-Loaded Audit Records</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_seccomp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_minclass_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Different Categories</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable IPv6 Addressing on All IPv6 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_minclass_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_require_authentication_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_uefi_password_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set the UEFI Boot Loader Password</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_require_authentication_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_uefi_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_var_log_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /var/log Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_gssapi_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable GSSAPI Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_core_bpf_jit_harden_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Harden the operation of the BPF just-in-time compiler</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_audit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Account Lockouts Must Be Logged</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_core_bpf_jit_harden_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_kexec_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable kexec system call</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_kexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_pubkey_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Public Key Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects File Deletion Events by User</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_opt_nosuid_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add nosuid Option to /opt</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_opt_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_sha512_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Sign kernel modules with SHA-512</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_iptables_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify iptables Enabled</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_iptables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_retpoline_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Avoid speculative indirect branches in kernel</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_time_watch_localtime_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Attempts to Alter the localtime File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_retpoline_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-dir_system_commands_group_root_owned_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that system commands directories have root as a group owner</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_root_gid_zero_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Root Has A Primary GID 0</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-dir_system_commands_group_root_owned_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_root_gid_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-dir_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that System Executable Have Root Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-dir_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_rsyslog-gnutls_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure rsyslog-gnutls is installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_kea_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall kea Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_rsyslog-gnutls_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_kea_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on IPv4 Interfaces by Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_efi_user_cfg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify /boot/grub2/user.cfg User Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_efi_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns shadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_default_mmap_min_addr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Low Address Space To Protect From User Allocation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_audit_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure the audit Subsystem is Installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_dir_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Account Lockouts Must Persist</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_audit_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd Max Log File Size</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_passwd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify User/Group Information - /etc/passwd</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_retry_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure PAM Enforces Password Requirements - Authentication Retry Prompts Permitted Per-Session</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_rsyslog-gnutls_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure rsyslog-gnutls is installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_retry_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_rsyslog-gnutls_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_ypbind_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Remove NIS Client</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_dev_shm_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /dev/shm is configured</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_ypbind_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_dev_shm_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_lcredit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Lowercase Characters</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_lcredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_time_clock_settime_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Attempts to Alter Time Through clock_settime</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_var_log_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /var/log Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_time_clock_settime_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_rekey_limit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Force frequent session key renegotiation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-dir_perms_world_writable_sticky_bits_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that All World-Writable Directories Have Sticky Bits Set</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_rekey_limit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_chrony_keys_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /etc/chrony.keys File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-selinux_state_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure SELinux State is Enforcing</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_chrony_keys_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-selinux_state_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_passwords_pam_faillock_deny_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Lock Accounts After Failed Password Attempts</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Kernel Parameter to Use Reverse Path Filtering on all IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_passwords_pam_faillock_deny_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_iptables_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions On /etc/iptables Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_slab_merge_default_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disallow merge of slab caches</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_iptables_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_slab_merge_default_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_slub_debug_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable SLUB debugging support</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_kerb_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Kerberos Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_slub_debug_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_kerb_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_security_yama_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Yama support</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_zero_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Use zero for poisoning instead of debugging value</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_security_yama_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Maximum Number of Autoconfigured Addresses on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_sestatus_conf_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /etc/sestatus.conf File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_sestatus_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_bashrc_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure the Default Bash Umask is Set Correctly</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_spec_store_bypass_disable_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Speculative Store Bypass Mitigation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_bashrc_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure System to Forward All Mail From Postmaster to The Root Account</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_slab_freelist_hardened_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Harden slab freelist metadata</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_slab_freelist_hardened_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_iptables_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /etc/iptables Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-configure_user_data_backups_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Backups of User Data</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_iptables_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-configure_user_data_backups_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_sudo_log_events_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Attempts to perform maintenance activities</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_page_alloc_shuffle_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable randomization of the page allocator</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_sudo_log_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_page_alloc_shuffle_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_efi_user_cfg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify /boot/grub2/user.cfg Group Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_kernel_module_loading_init_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on Kernel Module Loading - init_module</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_efi_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-chronyd_server_directive_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Chrony is only configured with the server directive</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_rmmod_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - rmmod</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-chronyd_server_directive_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_rmmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_custom_logfile_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Sudo Logfile Exists - sudo logfile</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_iptables_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /etc/iptables Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_custom_logfile_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_iptables_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_nodev_nonroot_local_partitions_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add nodev Option to Non-Root Local Partitions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_dcredit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Digit Characters</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_nodev_nonroot_local_partitions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_dcredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_structleak_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Force initialization of variables containing userspace addresses</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_set_max_life_root_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Root Account Password Maximum Age</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_structleak_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_set_max_life_root_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-no_netrc_files_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify No netrc Files Exist</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Auto Configuration on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-no_netrc_files_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_setxattr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - setxattr</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-ensure_logrotate_activated_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Logrotate Runs Periodically</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-ensure_logrotate_activated_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Limit sampling frequency of the Perf system</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_user_known_hosts_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH Support for User Known Hosts</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_root_password_login_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH root Login with a Password (Insecure)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_strict_kernel_rwx_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Make the kernel text and rodata read-only</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_root_password_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_strict_kernel_rwx_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_slab_merge_default_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disallow merge of slab caches</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_strict_module_rwx_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Make the module text and rodata read-only</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_slab_merge_default_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_strict_module_rwx_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_efi_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify the UEFI Boot Loader grub.cfg Permissions</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_login_defs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure the Default Umask is Set Correctly in login.defs</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_efi_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_maxstartups_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure SSH MaxStartups is configured</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_slub_debug_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable SLUB debugging support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_maxstartups_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_slub_debug_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_local_events_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Include Local Events in Audit Logs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_chrony_keys_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /etc/chrony.keys File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_local_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_chrony_keys_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_ufw_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify ufw Enabled</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-coredump_disable_storage_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable storing core dump</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_ufw_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-coredump_disable_storage_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_immutable_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Make the auditd Configuration Immutable</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_tftp-server_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall tftp-server Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_immutable_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_tftp-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_chrony_keys_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /etc/chrony.keys File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-aide_periodic_checking_systemd_timer_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Systemd Timer Execution of AIDE</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_chrony_keys_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-aide_periodic_checking_systemd_timer_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-postfix_network_listening_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Postfix Network Listening</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_hardened_usercopy_fallback_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Do not allow usercopy whitelist violations to fallback to object size</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-postfix_network_listening_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_hardened_usercopy_fallback_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_home_nosuid_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add nosuid Option to /home</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Sending and Accepting Shared Media Redirects by Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_home_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_config_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on SSH Server config file</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_add_noexec_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Privileged Escalated Commands Cannot Execute Other Commands - sudo NOEXEC</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_config_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_add_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_rsyslog_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable rsyslog Service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns shadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_rsyslog_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Accepting ICMP Redirects for All IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_crypttab_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /etc/crypttab File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_crypttab_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-disallow_bypass_password_sudo_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disallow Configuration to Bypass Password Requirements for Privilege Escalation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_nftables_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /etc/nftables Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-disallow_bypass_password_sudo_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_nftables_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_gnutls-utils_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure gnutls-utils is installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_ip_forward_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Kernel Parameter for IP Forwarding on IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_gnutls-utils_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_ip_forward_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-disable_host_auth_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Host-Based Authentication</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_last_change_is_in_past_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure all users last password change date is in the past</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-disable_host_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_enable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Encrypted X11 Forwarding</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_efi_user_cfg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify /boot/grub2/user.cfg Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_efi_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_strict_module_rwx_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Make the module text and rodata read-only</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_ipsecd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions On /etc/ipsec.d Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_strict_module_rwx_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_ipsecd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_root_login_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH Root Login</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_compression_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Compression Or Set Compression to delayed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_root_login_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_compression_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_rng_core_default_quality_argument_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure the confidence in TPM for entropy</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_slab_freelist_random_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Randomize slab freelist</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_slab_freelist_random_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_var_nosuid_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add nosuid Option to /var</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify User/Group Information - /etc/group</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_var_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_root_path_dirs_no_write_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure that Root's Path Does Not Include World or Group-Writable Directories</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_tmp_nosuid_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add nosuid Option to /tmp</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_tmp_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_sysctld_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /etc/sysctl.d Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Response Mode of ARP Requests for All IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_sysctld_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-account_passwords_pam_faillock_dir_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Account Lockouts Must Persist</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_add_ignore_dot_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure sudo Ignores Commands In Current Dir - sudo ignore_dot</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_add_ignore_dot_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Response Mode of ARP Requests for All IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_rsa_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH Support for Rhosts RSA Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-restrict_serial_port_logins_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Restrict Serial Port Root Logins</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-security_patches_up_to_date_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure Software Patches Installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-restrict_serial_port_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-security_patches_up_to_date_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on Backup gshadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_audit_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure the audit Subsystem is Installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_audit_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_login_grace_time_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure SSH LoginGraceTime is configured</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_boot_noexec_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add noexec Option to /boot</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_login_grace_time_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_boot_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_module_rds_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable RDS Support</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify /boot/grub/grub.cfg Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_module_rds_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_umount2_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - umount2</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Access to Network bpf() Syscall From Unprivileged Processes</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_srv_nosuid_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add nosuid Option to /srv</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_no_uid_except_zero_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Only Root Has UID 0</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_srv_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_no_uid_except_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Kernel Parameter for Accepting Secure Redirects By Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_keepalive_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set SSH Client Alive Count Max</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_keepalive_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-coredump_disable_backtraces_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable core dump backtraces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_pub_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Ownership on SSH Server Public *.pub Key Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-coredump_disable_backtraces_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_remote_tls_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure TLS for rsyslog remote logging</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_sudo_log_events_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Attempts to perform maintenance activities</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_remote_tls_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_sudo_log_events_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_hibernation_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable hibernation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_owner_etc_selinux_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /etc/selinux Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_hibernation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_owner_etc_selinux_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_remote_tls_cacert_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure CA certificate for rsyslog remote logging</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-rsyslog_files_permissions_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure System Log Files Have Correct Permissions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_remote_tls_cacert_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-rsyslog_files_permissions_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_systemd-journald_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable systemd-journald Service</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Mandatory Access Controls</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_systemd-journald_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify /boot/grub/grub.cfg User Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_action_mail_acct_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd mail_acct Action on Low Disk Space</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Kernel Parameter for Accepting ICMP Redirects by Default on IPv6 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify /boot/grub/grub.cfg Group Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_logon_fail_delay_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure the Logon Failure Delay is Set Correctly in login.defs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_print_last_log_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable SSH Print Last Log</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_logon_fail_delay_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_print_last_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_ntp_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable the NTP Daemon</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_home_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure that User Home Directories are not Group-Writable or World-Readable</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_ntp_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_home_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_mac_modification_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Mandatory Access Controls</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchown_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchown</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_mac_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_compression_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Compression Or Set Compression to delayed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_owner_etc_ipsecd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /etc/ipsec.d Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_compression_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_owner_etc_ipsecd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-aide_scan_notification_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Notification of Post-AIDE Scan Details</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_sg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable checks on scatter-gather (SG) table operations</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-aide_scan_notification_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_sg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Unsuccessful Access Attempts to Files - openat</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlink_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects File Deletion Events by User - unlink</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /var/log Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_ipsec_secrets_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /etc/ipsec.secrets File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_ipsec_secrets_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_default_mmap_min_addr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Low Address Space To Protect From User Allocation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_talk_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall talk Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_talk_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_xinetd_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall xinetd Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_pam_apparmor_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Install the pam_apparmor Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_xinetd_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_pam_apparmor_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_login_defs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure the Default Umask is Set Correctly in login.defs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_page_table_isolation_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Remove the kernel mapping in user mode</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_page_table_isolation_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_shells_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /etc/shells File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-account_unique_name_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure All Accounts on the System Have Unique Names</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_shells_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-account_unique_name_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_efi_user_cfg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify /boot/grub2/user.cfg User Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_vmap_stack_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>User a virtually-mapped stack</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_efi_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_vmap_stack_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_acpi_custom_method_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Do not allow ACPI methods to be inserted/replaced at run time</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_set_maxstartups_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure SSH MaxStartups is configured</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_set_maxstartups_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_dcredit_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Digit Characters</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_var_tmp_nosuid_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add nosuid Option to /var/tmp</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_dcredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_var_tmp_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_no_sanity_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable poison without sanity check</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set number of Password Hashing Rounds - password-auth</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_unix_rounds_password_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_var_log_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /var/log Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-securetty_root_login_console_only_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Restrict Virtual Console Root Logins</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_var_log_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-securetty_root_login_console_only_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-no_direct_root_logins_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Direct root Logins Not Allowed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_srv_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /srv Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-no_direct_root_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_srv_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_boot_nosuid_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add nosuid Option to /boot</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_ownership_audit_configuration_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Audit Configuration Files Must Be Owned By Root</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_boot_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_ownership_audit_configuration_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-aide_build_database_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Build and Test AIDE Database</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Unsuccessful Access Attempts to Files - open</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-aide_build_database_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_openssh-server_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Remove the OpenSSH Server Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_tmp_noexec_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add noexec Option to /tmp</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_openssh-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_tmp_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_module_ipv6_option_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable IPv6 Networking Support Automatic Loading</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Accepting Default Router in Router Advertisements on All IPv6 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_minlen_login_defs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Password Minimum Length in login.defs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable IPv6 Addressing on IPv6 Interfaces by Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on gshadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_telnet_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Remove telnet Clients</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_telnet_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_rmmod_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - rmmod</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_sestatus_conf_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns /etc/sestatus.conf File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_rmmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_sestatus_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_boot_noexec_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add noexec Option to /boot</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_nodev_nonroot_local_partitions_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add nodev Option to Non-Root Local Partitions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_boot_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_nodev_nonroot_local_partitions_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_compat_vdso_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable the 32-bit vDSO</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_nss-tools_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure nss-tools is installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_compat_vdso_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_nss-tools_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_gshadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify User/Group Information - /etc/gshadow</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Accepting Prefix Information in Router Advertisements on All IPv6 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_polyinstantiated_tmp_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Polyinstantiation of /tmp Directories</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Kernel Parameter for Accepting Source-Routed Packets on IPv6 Interfaces by Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_ipsec_conf_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions On /etc/ipsec.conf File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-gnome_gdm_disable_xdmcp_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable XDMCP in GDM</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_ipsec_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_vsyscall_xonly_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable vsyscall emulate execution only</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_ip6tables_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify ip6tables Enabled if Using IPv6</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_vsyscall_xonly_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_ip6tables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-chronyd_specify_remote_server_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>A remote time server for Chrony is configured</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_rename_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects File Deletion Events by User - rename</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-chronyd_specify_remote_server_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_add_requiretty_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Only Users Logged In To Real tty Can Execute Sudo - sudo requiretty</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudo_dedicated_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure a dedicated group owns sudo</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_add_requiretty_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudo_dedicated_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_files_ownership_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Log Files Are Owned By Appropriate User</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_rsyslog_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable rsyslog Service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_files_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_rsyslog_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_sudoers_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /etc/sudoers File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-restrict_serial_port_logins_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Restrict Serial Port Root Logins</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_sudoers_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-restrict_serial_port_logins_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on Backup passwd File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_etc_shells_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Who Owns /etc/shells File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_etc_shells_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_sudoersd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /etc/sudoers.d Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_var_log_audit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /var/log/audit Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_sudoersd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_var_log_audit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>zero-init everything passed by reference</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_slub_debug_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable SLUB/SLAB allocator poisoning</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_slub_debug_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-gid_passwd_group_same_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>All GIDs referenced in /etc/passwd must be defined in /etc/group</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_chrony_installed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>The Chrony package is installed</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-gid_passwd_group_same_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_chrony_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_pam_apparmor_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Install the pam_apparmor Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_minclass_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Different Categories</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_pam_apparmor_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_minclass_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_nftables_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions On /etc/nftables Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_stackprotector_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Stack Protector buffer overlow detection</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_nftables_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_stackprotector_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Unsuccessful Access Attempts to Files - creat</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmodat_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmodat</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-coredump_disable_storage_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable storing core dump</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_perf_event_paranoid_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disallow kernel profiling by unprivileged users</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-coredump_disable_storage_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_perf_event_paranoid_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_MFEhiplsm_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Install the Host Intrusion Prevention System (HIPS) Module</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Unauthorized Access Attempts to Files (unsuccessful)</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_MFEhiplsm_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_efi_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify the UEFI Boot Loader grub.cfg User Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_users_home_files_ownership_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>All User Files and Directories In The Home Directory Must Have a Valid Owner</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_efi_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_users_home_files_ownership_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_vmap_stack_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>User a virtually-mapped stack</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_net-snmp_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall net-snmp Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_vmap_stack_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_net-snmp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_hardlinks_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable Kernel Parameter to Enforce DAC on Hardlinks</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_snmpd_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable snmpd Service</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_snmpd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_slab_freelist_random_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Randomize slab freelist</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_openssh-server_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Remove the OpenSSH Server Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_slab_freelist_random_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_openssh-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchmodat_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchmodat</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lchown_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lchown</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_poweroff_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - poweroff</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Accepting Router Preference in Router Advertisements on All IPv6 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_ipsecd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /etc/ipsec.d Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_opt_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /opt Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_ipsecd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_opt_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lsetxattr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lsetxattr</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_fortify_source_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Harden common str/mem functions against buffer overflows</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_fortify_source_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudoers_no_root_target_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Don't target root user in the sudoers file</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sudoers_explicit_command_args_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Explicit arguments in sudo specifications</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudoers_no_root_target_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sudoers_explicit_command_args_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_overflow_action_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Appropriate Action Must be Setup When the Internal Audit Event Queue is Full</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_user_cfg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify /boot/grub/user.cfg User Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_overflow_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_home_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure that User Home Directories are not Group-Writable or World-Readable</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_telnet-server_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall telnet-server Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_home_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_telnet-server_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_security_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable different security models</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify User Who Owns Backup group File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_security_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_admin_space_left_action_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure auditd admin_space_left Action on Low Disk Space</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_shutdown_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - shutdown</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_login_events_lastlog_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Attempts to Alter Logon and Logout Events - lastlog</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_sysadmin_actions_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects System Administrator Actions</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-gnome_gdm_disable_xdmcp_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable XDMCP in GDM</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_password_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Boot Loader Password in grub2</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_password_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_pid_max_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure maximum number of process identifiers</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_efi_grub2_cfg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify the UEFI Boot Loader grub.cfg Group Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_pid_max_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_efi_grub2_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Unsuccessful Access Attempts to Files - truncate</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Kernel Parameter to Use TCP RFC 1337 on IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_nosmep_argument_absent_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure SMEP is not disabled during boot</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure Maximum Number of Autoconfigured Addresses on All IPv6 Interfaces By Default</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_zero_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Use zero for poisoning instead of debugging value</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_modprobe_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - modprobe</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_modprobe_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-dir_ownership_binary_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that System Executable Have Root Ownership</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_chown_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - chown</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-dir_ownership_binary_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_iptables_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify iptables Enabled</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_var_noexec_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add noexec Option to /var</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_iptables_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_var_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_set_loglevel_verbose_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set SSH Daemon LogLevel to VERBOSE</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_permissions_etc_sudoersd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions On /etc/sudoers.d Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_setxattr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - setxattr</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_permissions_etc_sudoersd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_max_concurrent_login_sessions_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Limit the Number of Concurrent Login Sessions Allowed Per User</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_ucredit_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Uppercase Characters</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_ucredit_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_sendmail_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall Sendmail Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_fs_protected_hardlinks_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Kernel Parameter to Enforce DAC on Hardlinks</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_sendmail_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_security_dmesg_restrict_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Restrict unprivileged access to the kernel syslog</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Kernel Parameter to Ignore Bogus ICMP Error Responses on IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_nftables_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /etc/nftables Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_ip_local_port_range_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Kernel Parameter to Increase Local Port Range</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_nftables_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_ip_local_port_range_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_ownership_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Ownership on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-aide_verify_ext_attributes_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure AIDE to Verify Extended Attributes</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_ownership_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-aide_verify_ext_attributes_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Prevent Routing External Traffic to Local Loopback on All IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_reboot_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - reboot</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_reboot_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_add_noexec_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Privileged Escalated Commands Cannot Execute Other Commands - sudo NOEXEC</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_srv_nosuid_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add nosuid Option to /srv</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_add_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_srv_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_sudoers_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions On /etc/sudoers File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_do_not_permit_user_env_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Do Not Allow SSH Environment Options</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_sudoers_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_ia32_emulation_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable IA32 emulation</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_ownership_library_dirs_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify that Shared Library Files Have Root Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_ia32_emulation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_ownership_library_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_chronyd_or_ntpd_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable the NTP Daemon</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_yama_ptrace_scope_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Restrict usage of ptrace to descendant processes</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_chronyd_or_ntpd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_yama_ptrace_scope_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-directory_owner_etc_nftables_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /etc/nftables Directory</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Unsuccessful Access Attempts to Files - truncate</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-directory_owner_etc_nftables_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_setroubleshoot-plugins_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Uninstall setroubleshoot-plugins Package</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-no_empty_passwords_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure There Are No Accounts With Blank or Null Passwords</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_setroubleshoot-plugins_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_fortify_source_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Harden common str/mem functions against buffer overflows</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_disable_rhosts_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH Support for .rhosts Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_fortify_source_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_disable_rhosts_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_remove_nopasswd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Users Re-Authenticate for Privilege Escalation - sudo NOPASSWD</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_owner_sshd_config_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Owner on SSH Server config file</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_remove_nopasswd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_owner_sshd_config_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_insmod_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - insmod</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_randstruct_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Randomize layout of sensitive kernel structures</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_insmod_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_randstruct_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_ipsec_conf_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /etc/ipsec.conf File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify User/Group Information - /etc/shadow</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_ipsec_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-service_chronyd_enabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>The Chronyd service is enabled</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on Backup gshadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-service_chronyd_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_time_adjtimex_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record attempts to alter time through adjtimex</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lremovexattr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lremovexattr</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_time_adjtimex_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_pam_minlen_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure PAM Enforces Password Requirements - Minimum Length</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_page_poisoning_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable poison of pages after freeing</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_pam_minlen_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_page_poisoning_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_lchown_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - lchown</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_opt_nosuid_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add nosuid Option to /opt</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_opt_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-mount_option_home_noexec_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Add noexec Option to /home</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify User/Group Information</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-mount_option_home_noexec_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_var_log_syslog_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /var/log/syslog File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_bashrc_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure the Default Bash Umask is Set Correctly</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_bashrc_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fchownat_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fchownat</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-timer_logrotate_enabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable logrotate Timer</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-timer_logrotate_enabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_panic_timeout_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Kernel panic timeout</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-mount_option_dev_shm_nosuid_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Add nosuid Option to /dev/shm</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_panic_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-postfix_client_configure_relayhost_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure System to Forward All Mail through a specific host</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_credentials_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable checks on credential management</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-postfix_client_configure_relayhost_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_credentials_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Unsuccessful Access Attempts to Files - ftruncate</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_sched_stack_end_check_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Detect stack corruption on calls to schedule()</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_sched_stack_end_check_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_srv_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /srv Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_ypbind_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Remove NIS Client</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_srv_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_ypbind_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_etc_ipsec_conf_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns /etc/ipsec.conf File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_module_tipc_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable TIPC Support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_etc_ipsec_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_module_tipc_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects File Deletion Events by User - unlinkat</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on passwd File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sshd_disable_tcp_forwarding_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable SSH TCP Forwarding</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-set_iptables_default_rule_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Set Default iptables Policy for Incoming Packets</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-set_iptables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on Backup group File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_dmesg_restrict_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Restrict Access to Kernel Message Buffer</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_dmesg_restrict_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_module_tipc_disabled_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable TIPC Support</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_ipsecd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /etc/ipsec.d Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_module_tipc_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_ipsecd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable IPv6 Addressing on IPv6 Interfaces by Default</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns Backup passwd File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_password_warn_age_login_defs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Password Warning Age</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-package_dhcp_removed_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Uninstall DHCP Server Package</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-package_dhcp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Kernel Parameter for Accepting ICMP Redirects by Default on IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_module_rds_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable RDS Support</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_module_rds_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_logrotate_installed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure logrotate is Installed</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_sha512_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Sign kernel modules with SHA-512</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_logrotate_installed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_randomize_base_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Randomize the address of the kernel image (KASLR)</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_refcount_full_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Perform full reference count validation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_randomize_base_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_refcount_full_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_privileged_commands_init_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands - init</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_retention_max_log_file_action_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd max_log_file_action Upon Reaching Maximum Log Size</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_privileged_commands_init_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on passwd File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_time_adjtimex_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record attempts to alter time through adjtimex</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_time_adjtimex_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-set_ip6tables_default_rule_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Set Default ip6tables Policy for Incoming Packets</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-postfix_network_listening_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Postfix Network Listening</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-set_ip6tables_default_rule_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-postfix_network_listening_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_ipv6_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable the IPv6 protocol</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_legacy_vsyscall_xonly_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable vsyscall emulate execution only</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_legacy_vsyscall_xonly_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_tmp_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /tmp Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-service_sshd_disabled_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable SSH Server If Possible</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_tmp_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-service_sshd_disabled_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_kernel_yama_ptrace_scope_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Restrict usage of ptrace to descendant processes</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_ungroupowned_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure All Files Are Owned by a Group</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_kernel_yama_ptrace_scope_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_ungroupowned_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-package_tftp_removed_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Remove tftp Daemon</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns Backup gshadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-package_tftp_removed_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Disable Kernel Parameter for Accepting Secure ICMP Redirects on all IPv4 Interfaces</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fremovexattr_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fremovexattr</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-harden_ssh_client_crypto_policy_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Harden SSH client Crypto Policy</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_sshd_private_key_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on SSH Server Private *_key Key Files</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_sshd_private_key_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-rsyslog_remote_loghost_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure Logs Sent To Remote Host</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-disable_host_auth_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Host-Based Authentication</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-rsyslog_remote_loghost_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-disable_host_auth_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_sestatus_conf_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns /etc/sestatus.conf File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Generate some entropy during boot and runtime</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_sestatus_conf_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_gcc_plugin_latent_entropy_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_module_sig_hash_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Specify the hash to use when signing modules</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_group_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns Backup group File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_module_sig_hash_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupowner_backup_etc_gshadow_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Group Who Owns Backup gshadow File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_var_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /var Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_var_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_groupownership_system_commands_dirs_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify that system commands files are group owned by root or a system account</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-kernel_config_ipv6_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable the IPv6 protocol</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_groupownership_system_commands_dirs_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-kernel_config_ipv6_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_permissions_var_log_messages_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify Permissions on /var/log/messages File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-directory_groupowner_etc_sysctld_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns /etc/sysctl.d Directory</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_permissions_var_log_messages_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-directory_groupowner_etc_sysctld_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_page_table_isolation_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Remove the kernel mapping in user mode</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-auditd_data_disk_error_action_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Configure auditd Disk Error Action on Disk Error</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_page_table_isolation_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-auditd_data_disk_error_action_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-partition_for_opt_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure /opt Located On Separate Partition</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_permissions_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Permissions on Backup passwd File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-partition_for_opt_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-file_owner_backup_etc_passwd_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Verify User Who Owns Backup passwd File</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_spectre_v2_argument_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enforce Spectre v2 mitigation</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_spectre_v2_argument_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-auditd_log_format_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Resolve information before writing to audit logs</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_usergroup_modification_gshadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify User/Group Information - /etc/gshadow</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-auditd_log_format_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_usergroup_modification_gshadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Unsuccessful Access Attempts to Files - open</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_etc_shadow_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify Group Who Owns shadow File</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_etc_shadow_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_privileged_commands_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure auditd Collects Information on the Use of Privileged Commands</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_networkconfig_modification_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Events that Modify the System's Network Environment</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_privileged_commands_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-audit_rules_dac_modification_fsetxattr_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Record Events that Modify the System's Discretionary Access Controls - fsetxattr</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Disable Accepting ICMP Redirects for All IPv4 Interfaces</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-logind_session_timeout_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Configure Logind to terminate idle sessions after certain time of inactivity</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-partition_for_boot_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure /boot Located On Separate Partition</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-logind_session_timeout_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-partition_for_boot_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-sudo_add_env_reset_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure sudo Runs In A Minimal Environment - sudo env_reset</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-audit_rules_time_clock_settime_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Record Attempts to Alter Time Through clock_settime</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-sudo_add_env_reset_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-audit_rules_time_clock_settime_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-accounts_umask_etc_profile_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure the Default Umask is Set Correctly in /etc/profile</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-file_groupowner_user_cfg_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Verify /boot/grub/user.cfg Group Ownership</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-accounts_umask_etc_profile_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-file_groupowner_user_cfg_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Ensure debug-shell service is not enabled during boot</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-grub2_nosmep_argument_absent_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Ensure SMEP is not disabled during boot</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │ -    <ocil:questionnaire id="ocil:ssg-kernel_config_debug_credentials_ocil:questionnaire:1">
│ │ │ │ -      <ocil:title>Enable checks on credential management</ocil:title>
│ │ │ │ +    <ocil:questionnaire id="ocil:ssg-sshd_enable_x11_forwarding_ocil:questionnaire:1">
│ │ │ │ +      <ocil:title>Enable Encrypted X11 Forwarding</ocil:title>
│ │ │ │        <ocil:actions>
│ │ │ │ -        <ocil:test_action_ref>ocil:ssg-kernel_config_debug_credentials_action:testaction:1</ocil:test_action_ref>
│ │ │ │ +        <ocil:test_action_ref>ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1</ocil:test_action_ref>
│ │ │ │        </ocil:actions>
│ │ │ │      </ocil:questionnaire>
│ │ │ │    </ocil:questionnaires>
│ │ │ │    <ocil:test_actions>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_sudoers_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_sudoers_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-aide_periodic_checking_systemd_timer_action:testaction:1" question_ref="ocil:ssg-aide_periodic_checking_systemd_timer_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-account_use_centralized_automated_auth_action:testaction:1" question_ref="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_crypttab_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_crypttab_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-dir_system_commands_group_root_owned_action:testaction:1" question_ref="ocil:ssg-dir_system_commands_group_root_owned_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_0_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_regular_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_regular_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_net-snmp_removed_action:testaction:1" question_ref="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_sestatus_conf_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_sestatus_conf_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_limit_user_access_action:testaction:1" question_ref="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_settimeofday_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_sshd_config_action:testaction:1" question_ref="ocil:ssg-file_owner_sshd_config_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_use_priv_separation_action:testaction:1" question_ref="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-selinux_not_disabled_action:testaction:1" question_ref="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_deny_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_deny_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_notifiers_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_disable_recovery_action:testaction:1" question_ref="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_user_dot_group_ownership_action:testaction:1" question_ref="ocil:ssg-accounts_user_dot_group_ownership_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_selinux_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_selinux_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_idle_timeout_action:testaction:1" question_ref="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_minimum_age_login_defs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-no_direct_root_logins_action:testaction:1" question_ref="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_stackprotector_strong_action:testaction:1" question_ref="ocil:ssg-kernel_config_stackprotector_strong_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_ypserv_removed_action:testaction:1" question_ref="ocil:ssg-package_ypserv_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_rekey_limit_action:testaction:1" question_ref="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1" question_ref="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_proc_kcore_action:testaction:1" question_ref="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_setroubleshoot-server_removed_action:testaction:1" question_ref="ocil:ssg-package_setroubleshoot-server_removed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_telnet_removed_action:testaction:1" question_ref="ocil:ssg-package_telnet_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-no_all_squash_exports_action:testaction:1" question_ref="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-gid_passwd_group_same_action:testaction:1" question_ref="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_timeout_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmap_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_home_action:testaction:1" question_ref="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-dir_perms_world_writable_root_owned_action:testaction:1" question_ref="ocil:ssg-dir_perms_world_writable_root_owned_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_log_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_var_log_nosuid_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_perf_event_paranoid_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_perf_event_paranoid_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_remote_tls_action:testaction:1" question_ref="ocil:ssg-rsyslog_remote_tls_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_permissions_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_ipsec_secrets_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_ipsec_secrets_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_shells_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_shells_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_sudoersd_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_sudoersd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_sysrq_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_sysrq_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlinkat_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_page_alloc_shuffle_argument_action:testaction:1" question_ref="ocil:ssg-grub2_page_alloc_shuffle_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-dir_system_commands_root_owned_action:testaction:1" question_ref="ocil:ssg-dir_system_commands_root_owned_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-prefer_64bit_os_action:testaction:1" question_ref="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_all_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_core_bpf_jit_harden_action:testaction:1" question_ref="ocil:ssg-sysctl_net_core_bpf_jit_harden_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_kptr_restrict_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_fifos_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_fifos_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_sessions_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_settimeofday_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_chronyd_or_ntpd_enabled_action:testaction:1" question_ref="ocil:ssg-service_chronyd_or_ntpd_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_opasswd_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_opasswd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_talk-server_removed_action:testaction:1" question_ref="ocil:ssg-package_talk-server_removed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_tmp_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_var_tmp_noexec_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_rsyslog_installed_action:testaction:1" question_ref="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_binfmt_misc_action:testaction:1" question_ref="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_ip_forward_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_ip_forward_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_cron_installed_action:testaction:1" question_ref="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_use_pty_action:testaction:1" question_ref="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_user_dot_user_ownership_action:testaction:1" question_ref="ocil:ssg-accounts_user_dot_user_ownership_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_memory_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_memory_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_vsyscall_emulate_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_vsyscall_emulate_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_log_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_var_log_noexec_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_efi_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_efi_user_cfg_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pam_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_tmp_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1" question_ref="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_media_export_action:testaction:1" question_ref="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_postfix_installed_action:testaction:1" question_ref="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_sudoersd_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_sudoersd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_root_target_action:testaction:1" question_ref="ocil:ssg-sudoers_no_root_target_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_setroubleshoot-server_removed_action:testaction:1" question_ref="ocil:ssg-package_setroubleshoot-server_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_stackleak_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_stackleak_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_bug_action:testaction:1" question_ref="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_filter_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_cron_enabled_action:testaction:1" question_ref="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_iptables_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_iptables_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_slub_debug_argument_action:testaction:1" question_ref="ocil:ssg-grub2_slub_debug_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1" question_ref="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-chronyd_specify_remote_server_action:testaction:1" question_ref="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_user_dot_group_ownership_action:testaction:1" question_ref="ocil:ssg-accounts_user_dot_group_ownership_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_allow_only_protocol2_action:testaction:1" question_ref="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_kmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_kmod_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-apparmor_configured_action:testaction:1" question_ref="ocil:ssg-apparmor_configured_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_shadow_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_shadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_vdsm_nopasswd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_bug_action:testaction:1" question_ref="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_freq_action:testaction:1" question_ref="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pam_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-aide_periodic_cron_checking_action:testaction:1" question_ref="ocil:ssg-aide_periodic_cron_checking_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_systemmap_action:testaction:1" question_ref="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_enable_iommu_force_action:testaction:1" question_ref="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_use_pty_action:testaction:1" question_ref="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_group_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_group_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_systemd-journald_enabled_action:testaction:1" question_ref="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_sudoers_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_sudoers_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_write_logs_action:testaction:1" question_ref="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_login_grace_time_action:testaction:1" question_ref="ocil:ssg-sshd_set_login_grace_time_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_strictmodes_action:testaction:1" question_ref="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_fs_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_immutable_action:testaction:1" question_ref="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-account_unique_name_action:testaction:1" question_ref="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-snmpd_not_default_password_action:testaction:1" question_ref="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_action:testaction:1" question_ref="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_log_format_action:testaction:1" question_ref="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_tmout_action:testaction:1" question_ref="ocil:ssg-accounts_tmout_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_selinux_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_selinux_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_memory_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_memory_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_forward_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_groupownership_audit_configuration_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_shells_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_shells_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_usr_action:testaction:1" question_ref="ocil:ssg-partition_for_usr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_permissions_user_cfg_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_wx_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_wx_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-logind_session_timeout_action:testaction:1" question_ref="ocil:ssg-logind_session_timeout_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_sshd_config_action:testaction:1" question_ref="ocil:ssg-file_groupowner_sshd_config_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_ipsecd_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_ipsecd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_cron_enabled_action:testaction:1" question_ref="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ia32_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_ia32_emulation_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_kea_removed_action:testaction:1" question_ref="ocil:ssg-package_kea_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_ypserv_removed_action:testaction:1" question_ref="ocil:ssg-package_ypserv_removed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_modules_disabled_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_modules_disabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_opasswd_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_opasswd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_installed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_vdso_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-selinux_not_disabled_action:testaction:1" question_ref="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_retry_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_retry_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_postfix_installed_action:testaction:1" question_ref="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_x86_vsyscall_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_crypttab_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_crypttab_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_sudo_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_sudo_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_unix_remember_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_unix_remember_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_ufw_enabled_action:testaction:1" question_ref="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_audit_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_list_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_users_home_files_groupownership_action:testaction:1" question_ref="ocil:ssg-accounts_users_home_files_groupownership_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_page_poison_argument_action:testaction:1" question_ref="ocil:ssg-grub2_page_poison_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_no_authenticate_action:testaction:1" question_ref="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_ip6tables_enabled_action:testaction:1" question_ref="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_minlen_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_minlen_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_num_logs_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_ipsec_conf_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_ipsec_conf_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1" question_ref="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_users_home_files_permissions_action:testaction:1" question_ref="ocil:ssg-accounts_users_home_files_permissions_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_groupownership_audit_configuration_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_ntp_installed_action:testaction:1" question_ref="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_efi_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_owner_efi_grub2_cfg_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_rsh-server_removed_action:testaction:1" question_ref="ocil:ssg-package_rsh-server_removed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_selinux_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_selinux_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-aide_scan_notification_action:testaction:1" question_ref="ocil:ssg-aide_scan_notification_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_allow_only_protocol2_action:testaction:1" question_ref="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-set_ip6tables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_users_home_files_ownership_action:testaction:1" question_ref="ocil:ssg-accounts_users_home_files_ownership_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_system_commands_dirs_action:testaction:1" question_ref="ocil:ssg-file_groupownership_system_commands_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_profile_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_spectre_v2_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_0_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudoers_explicit_command_args_action:testaction:1" question_ref="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-chronyd_server_directive_action:testaction:1" question_ref="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_ntp_enabled_action:testaction:1" question_ref="ocil:ssg-service_ntp_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_var_log_audit_action:testaction:1" question_ref="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_structleak_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_structleak_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_overflow_action_action:testaction:1" question_ref="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_kexec_action:testaction:1" question_ref="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_set_max_life_root_action:testaction:1" question_ref="ocil:ssg-accounts_password_set_max_life_root_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_faillock_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_init_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_telnet-server_removed_action:testaction:1" question_ref="ocil:ssg-package_telnet-server_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_limit_user_access_action:testaction:1" question_ref="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_info_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_info_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permission_user_init_files_action:testaction:1" question_ref="ocil:ssg-file_permission_user_init_files_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_nftables_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_nftables_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1" question_ref="ocil:ssg-file_permissions_unauthorized_world_writable_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_reboot_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_syslogng_enabled_action:testaction:1" question_ref="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_talk_removed_action:testaction:1" question_ref="ocil:ssg-package_talk_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_crypttab_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_crypttab_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_users_home_files_groupownership_action:testaction:1" question_ref="ocil:ssg-accounts_users_home_files_groupownership_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_sshd_config_action:testaction:1" question_ref="ocil:ssg-file_groupowner_sshd_config_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_var_log_audit_action:testaction:1" question_ref="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1" question_ref="ocil:ssg-harden_ssh_client_crypto_policy_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_boot_action:testaction:1" question_ref="ocil:ssg-partition_for_boot_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_devkmem_action:testaction:1" question_ref="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_info_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_info_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_retpoline_action:testaction:1" question_ref="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_systemmap_action:testaction:1" question_ref="ocil:ssg-file_groupowner_systemmap_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_aide_installed_action:testaction:1" question_ref="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_var_nosuid_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_ipsec_secrets_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_ipsec_secrets_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_modify_ldt_syscall_action:testaction:1" question_ref="ocil:ssg-kernel_config_modify_ldt_syscall_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-selinux_state_action:testaction:1" question_ref="ocil:ssg-selinux_state_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_grub2_cfg_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_iptables_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_iptables_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_crypttab_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_crypttab_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-aide_verify_acls_action:testaction:1" question_ref="ocil:ssg-aide_verify_acls_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_tftp_removed_action:testaction:1" question_ref="ocil:ssg-package_tftp_removed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_log_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_var_log_nosuid_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-display_login_attempts_action:testaction:1" question_ref="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_writable_hooks_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-account_use_centralized_automated_auth_action:testaction:1" question_ref="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_sudoers_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_sudoers_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_custom_logfile_action:testaction:1" question_ref="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_syn_cookies_action:testaction:1" question_ref="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_owner_user_cfg_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_home_action:testaction:1" question_ref="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_dhcp_removed_action:testaction:1" question_ref="ocil:ssg-package_dhcp_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_stackprotector_strong_action:testaction:1" question_ref="ocil:ssg-kernel_config_stackprotector_strong_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_proc_kcore_action:testaction:1" question_ref="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_brk_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_brk_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_devkmem_action:testaction:1" question_ref="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_minimum_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_minimum_age_login_defs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_ipsec_conf_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_ipsec_conf_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_usr_action:testaction:1" question_ref="ocil:ssg-partition_for_usr_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_MFEhiplsm_installed_action:testaction:1" question_ref="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_modify_ldt_syscall_action:testaction:1" question_ref="ocil:ssg-kernel_config_modify_ldt_syscall_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_empty_passwords_action:testaction:1" question_ref="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_ungroupowned_action:testaction:1" question_ref="ocil:ssg-file_permissions_ungroupowned_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_chrony_keys_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_chrony_keys_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_rsyslog_installed_action:testaction:1" question_ref="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_password_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_all_shadowed_action:testaction:1" question_ref="ocil:ssg-accounts_password_all_shadowed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_shadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_ip_local_port_range_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_ip_local_port_range_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hardened_usercopy_action:testaction:1" question_ref="ocil:ssg-kernel_config_hardened_usercopy_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_enable_iommu_force_action:testaction:1" question_ref="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_sysrq_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_sysrq_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-aide_periodic_cron_checking_action:testaction:1" question_ref="ocil:ssg-aide_periodic_cron_checking_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-no_files_unowned_by_user_action:testaction:1" question_ref="ocil:ssg-no_files_unowned_by_user_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_groupownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_groupownership_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_mds_argument_action:testaction:1" question_ref="ocil:ssg-grub2_mds_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_command_negation_action:testaction:1" question_ref="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_vsyscall_none_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_vsyscall_none_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_auditd_enabled_action:testaction:1" question_ref="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_tmp_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_tmp_noexec_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-security_patches_up_to_date_action:testaction:1" question_ref="ocil:ssg-security_patches_up_to_date_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_mce_argument_action:testaction:1" question_ref="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_backtraces_action:testaction:1" question_ref="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1" question_ref="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_no_uid_except_zero_action:testaction:1" question_ref="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-no_all_squash_exports_action:testaction:1" question_ref="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_shadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-no_files_unowned_by_user_action:testaction:1" question_ref="ocil:ssg-no_files_unowned_by_user_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_randstruct_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_randstruct_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_env_reset_action:testaction:1" question_ref="ocil:ssg-sudo_add_env_reset_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_systemmap_action:testaction:1" question_ref="ocil:ssg-file_owner_systemmap_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_delete_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-no_rsh_trust_files_action:testaction:1" question_ref="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_ignore_dot_action:testaction:1" question_ref="ocil:ssg-sudo_add_ignore_dot_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_page_poison_argument_action:testaction:1" question_ref="ocil:ssg-grub2_page_poison_argument_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_sched_stack_end_check_action:testaction:1" question_ref="ocil:ssg-kernel_config_sched_stack_end_check_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_pti_argument_action:testaction:1" question_ref="ocil:ssg-grub2_pti_argument_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_action:testaction:1" question_ref="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_verbose_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_ipsec_secrets_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_ipsec_secrets_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1" question_ref="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_rsh_removed_action:testaction:1" question_ref="ocil:ssg-package_rsh_removed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_stackprotector_action:testaction:1" question_ref="ocil:ssg-kernel_config_stackprotector_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sebool_polyinstantiation_enabled_action:testaction:1" question_ref="ocil:ssg-sebool_polyinstantiation_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_tmp_action:testaction:1" question_ref="ocil:ssg-partition_for_var_tmp_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_base_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_audispd_syslog_plugin_activated_action:testaction:1" question_ref="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_ocredit_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_ocredit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_syn_cookies_action:testaction:1" question_ref="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_interval_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_interval_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-dir_perms_world_writable_root_owned_action:testaction:1" question_ref="ocil:ssg-dir_perms_world_writable_root_owned_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_efi_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_permissions_efi_user_cfg_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_tmp_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_var_tmp_nosuid_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_shadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_pam_pwquality_installed_action:testaction:1" question_ref="ocil:ssg-package_pam_pwquality_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-apparmor_configured_action:testaction:1" question_ref="ocil:ssg-apparmor_configured_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_ptys_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_ptys_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_unix_remember_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_unix_remember_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_user_cfg_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_systemmap_action:testaction:1" question_ref="ocil:ssg-file_owner_systemmap_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_chronyd_enabled_action:testaction:1" question_ref="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_pam_pwquality_installed_action:testaction:1" question_ref="ocil:ssg-package_pam_pwquality_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_renameat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_auditd_enabled_action:testaction:1" question_ref="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_vm_mmap_min_addr_action:testaction:1" question_ref="ocil:ssg-sysctl_vm_mmap_min_addr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-ensure_logrotate_activated_action:testaction:1" question_ref="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_shells_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_shells_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_selinux_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_selinux_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_fs_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_all_shadowed_action:testaction:1" question_ref="ocil:ssg-accounts_password_all_shadowed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_idle_timeout_action:testaction:1" question_ref="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_force_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sebool_polyinstantiation_enabled_action:testaction:1" question_ref="ocil:ssg-sebool_polyinstantiation_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_binfmt_misc_action:testaction:1" question_ref="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_tmp_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_tmp_nosuid_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_wx_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_wx_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slab_freelist_hardened_action:testaction:1" question_ref="ocil:ssg-kernel_config_slab_freelist_hardened_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_cron_installed_action:testaction:1" question_ref="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_sessions_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-no_netrc_files_action:testaction:1" question_ref="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_iptables_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_iptables_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_num_logs_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_users_home_files_permissions_action:testaction:1" question_ref="ocil:ssg-accounts_users_home_files_permissions_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_list_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_write_logs_action:testaction:1" question_ref="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_gnutls-utils_installed_action:testaction:1" question_ref="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_snmpd_disabled_action:testaction:1" question_ref="ocil:ssg-service_snmpd_disabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_insmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_insmod_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hardened_usercopy_action:testaction:1" question_ref="ocil:ssg-kernel_config_hardened_usercopy_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_sudo_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_sudo_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_permissions_user_cfg_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_vsyscall_none_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_vsyscall_none_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hibernation_action:testaction:1" question_ref="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_chrony_keys_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_chrony_keys_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_config_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_config_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_sshd_disabled_action:testaction:1" question_ref="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_systemmap_action:testaction:1" question_ref="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_action:testaction:1" question_ref="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_sudo_installed_action:testaction:1" question_ref="ocil:ssg-package_sudo_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-display_login_attempts_action:testaction:1" question_ref="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_systemmap_action:testaction:1" question_ref="ocil:ssg-file_groupowner_systemmap_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_syslogng_installed_action:testaction:1" question_ref="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_tmp_action:testaction:1" question_ref="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_var_log_audit_action:testaction:1" question_ref="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_messages_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_selinux_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_selinux_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_sysctld_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_sysctld_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_pti_argument_action:testaction:1" question_ref="ocil:ssg-grub2_pti_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_symlinks_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_ipsecd_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_ipsecd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nodev_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_installed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-set_password_hashing_algorithm_logindefs_action:testaction:1" question_ref="ocil:ssg-set_password_hashing_algorithm_logindefs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_disable_recovery_action:testaction:1" question_ref="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_sudoers_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_sudoers_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_aide_installed_action:testaction:1" question_ref="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_bug_on_data_corruption_action:testaction:1" question_ref="ocil:ssg-kernel_config_bug_on_data_corruption_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_empty_passwords_action:testaction:1" question_ref="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_home_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_home_noexec_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_key_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_sudo_installed_action:testaction:1" question_ref="ocil:ssg-package_sudo_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_mce_argument_action:testaction:1" question_ref="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_command_negation_action:testaction:1" question_ref="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_regular_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_regular_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_requiretty_action:testaction:1" question_ref="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_unauthorized_world_writable_action:testaction:1" question_ref="ocil:ssg-file_permissions_unauthorized_world_writable_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_efi_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_efi_grub2_cfg_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_auth_tries_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_sg_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_sg_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_syslogng_installed_action:testaction:1" question_ref="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_xinetd_removed_action:testaction:1" question_ref="ocil:ssg-package_xinetd_removed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_symlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_symlinks_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_syslogng_enabled_action:testaction:1" question_ref="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_stackleak_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_stackleak_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_permissions_grub2_cfg_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_mds_argument_action:testaction:1" question_ref="ocil:ssg-grub2_mds_argument_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_vdsm_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_vdsm_nopasswd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_chrony_keys_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_chrony_keys_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nodev_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nodev_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_umask_action:testaction:1" question_ref="ocil:ssg-sudo_add_umask_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_l1tf_argument_action:testaction:1" question_ref="ocil:ssg-grub2_l1tf_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_talk-server_removed_action:testaction:1" question_ref="ocil:ssg-package_talk-server_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_no_authenticate_action:testaction:1" question_ref="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_ipsec_secrets_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_ipsec_secrets_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_stime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_tallylog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hardened_usercopy_fallback_action:testaction:1" question_ref="ocil:ssg-kernel_config_hardened_usercopy_fallback_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_yama_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_rsh_removed_action:testaction:1" question_ref="ocil:ssg-package_rsh_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chown_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_ocredit_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_ocredit_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_refcount_full_action:testaction:1" question_ref="ocil:ssg-kernel_config_refcount_full_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_owner_grub2_cfg_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_tmout_action:testaction:1" question_ref="ocil:ssg-accounts_tmout_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_key_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_dedicated_group_action:testaction:1" question_ref="ocil:ssg-sudo_dedicated_group_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_messages_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_strict_kernel_rwx_action:testaction:1" question_ref="ocil:ssg-kernel_config_strict_kernel_rwx_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_sysctld_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_sysctld_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_dmesg_restrict_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_dmesg_restrict_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-disallow_bypass_password_sudo_action:testaction:1" question_ref="ocil:ssg-disallow_bypass_password_sudo_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rmdir_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_sendmail_removed_action:testaction:1" question_ref="ocil:ssg-package_sendmail_removed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_bug_on_data_corruption_action:testaction:1" question_ref="ocil:ssg-kernel_config_bug_on_data_corruption_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_l1tf_argument_action:testaction:1" question_ref="ocil:ssg-grub2_l1tf_argument_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_max_auth_tries_action:testaction:1" question_ref="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_require_authentication_action:testaction:1" question_ref="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_crypttab_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_crypttab_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_boot_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_boot_nosuid_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_strictmodes_action:testaction:1" question_ref="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_unlock_time_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_unlock_time_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-securetty_root_login_console_only_action:testaction:1" question_ref="ocil:ssg-securetty_root_login_console_only_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_brk_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_brk_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_slab_nomerge_argument_action:testaction:1" question_ref="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1" question_ref="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_syslog_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_local_events_action:testaction:1" question_ref="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_dmesg_restrict_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_modprobe_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_modprobe_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_efi_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_permissions_efi_grub2_cfg_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_remote_tls_cacert_action:testaction:1" question_ref="ocil:ssg-rsyslog_remote_tls_cacert_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_var_noexec_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_modules_disabled_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_modules_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_lcredit_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_lcredit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_all_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_warning_banner_net_action:testaction:1" question_ref="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_sestatus_conf_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_sestatus_conf_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_ntp_installed_action:testaction:1" question_ref="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1" question_ref="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-no_rsh_trust_files_action:testaction:1" question_ref="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_freq_action:testaction:1" question_ref="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_tftp-server_removed_action:testaction:1" question_ref="ocil:ssg-package_tftp-server_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_nftables_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_nftables_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_suid_dumpable_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_sudoersd_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_sudoersd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_logon_fail_delay_action:testaction:1" question_ref="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_private_key_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_tmp_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_var_tmp_noexec_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-prefer_64bit_os_action:testaction:1" question_ref="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-aide_verify_ext_attributes_action:testaction:1" question_ref="ocil:ssg-aide_verify_ext_attributes_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_logrotate_installed_action:testaction:1" question_ref="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_uefi_password_action:testaction:1" question_ref="ocil:ssg-grub2_uefi_password_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_hash_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1" question_ref="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_var_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_tmp_action:testaction:1" question_ref="ocil:ssg-partition_for_var_tmp_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nosuid_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_relayhost_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_gid_zero_action:testaction:1" question_ref="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_ipsec_secrets_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_ipsec_secrets_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_ptys_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_ptys_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_forward_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_groupownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_groupownership_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_setroubleshoot-plugins_removed_action:testaction:1" question_ref="ocil:ssg-package_setroubleshoot-plugins_removed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_faillock_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-timer_logrotate_enabled_action:testaction:1" question_ref="ocil:ssg-timer_logrotate_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_full_action_stig_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1" question_ref="ocil:ssg-audit_rules_sysadmin_actions_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_uvcvideo_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_nss-tools_installed_action:testaction:1" question_ref="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-aide_build_database_action:testaction:1" question_ref="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_vsyscall_emulate_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_vsyscall_emulate_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_chrony_installed_action:testaction:1" question_ref="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_pid_max_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_pid_max_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_unmap_kernel_at_el0_action:testaction:1" question_ref="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-aide_verify_acls_action:testaction:1" question_ref="ocil:ssg-aide_verify_acls_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_finit_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_notifiers_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_randomize_va_space_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_shadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_sestatus_conf_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_sestatus_conf_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-dir_system_commands_root_owned_action:testaction:1" question_ref="ocil:ssg-dir_system_commands_root_owned_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_home_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_home_nosuid_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_rsh-server_removed_action:testaction:1" question_ref="ocil:ssg-package_rsh-server_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_ownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_ownership_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_umask_action:testaction:1" question_ref="ocil:ssg-sudo_add_umask_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_usr_share_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_shells_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_shells_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_unlock_time_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_unlock_time_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_interval_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_interval_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-dir_permissions_library_dirs_action:testaction:1" question_ref="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-set_password_hashing_algorithm_logindefs_action:testaction:1" question_ref="ocil:ssg-set_password_hashing_algorithm_logindefs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_var_log_audit_action:testaction:1" question_ref="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_use_priv_separation_action:testaction:1" question_ref="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_on_oops_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_sysctld_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_sysctld_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_fifos_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_fifos_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_user_dot_user_ownership_action:testaction:1" question_ref="ocil:ssg-accounts_user_dot_user_ownership_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_sudoersd_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_sudoersd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_ipsec_conf_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_ipsec_conf_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_print_last_log_action:testaction:1" question_ref="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_sysctld_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_sysctld_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_log_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_var_log_noexec_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_kptr_restrict_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_kptr_restrict_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_password_action:testaction:1" question_ref="ocil:ssg-grub2_password_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_kmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_kmod_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_dev_shm_action:testaction:1" question_ref="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_ipv6_option_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-configure_user_data_backups_action:testaction:1" question_ref="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_removexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_ucredit_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_ucredit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lsetxattr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-snmpd_not_default_password_action:testaction:1" question_ref="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_kerb_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_passwd_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_passwd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_private_key_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_media_export_action:testaction:1" question_ref="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_remote_loghost_action:testaction:1" question_ref="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_stime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1" question_ref="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_force_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permission_user_init_files_action:testaction:1" question_ref="ocil:ssg-file_permission_user_init_files_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_vm_mmap_min_addr_action:testaction:1" question_ref="ocil:ssg-sysctl_vm_mmap_min_addr_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_seccomp_filter_action:testaction:1" question_ref="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_action:testaction:1" question_ref="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_minclass_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_minclass_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_require_authentication_action:testaction:1" question_ref="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_uefi_password_action:testaction:1" question_ref="ocil:ssg-grub2_uefi_password_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_var_log_action:testaction:1" question_ref="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_gssapi_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_core_bpf_jit_harden_action:testaction:1" question_ref="ocil:ssg-sysctl_net_core_bpf_jit_harden_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_audit_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_kexec_action:testaction:1" question_ref="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_pubkey_auth_action:testaction:1" question_ref="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_opt_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_opt_nosuid_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_iptables_enabled_action:testaction:1" question_ref="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_retpoline_action:testaction:1" question_ref="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_watch_localtime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-dir_system_commands_group_root_owned_action:testaction:1" question_ref="ocil:ssg-dir_system_commands_group_root_owned_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_gid_zero_action:testaction:1" question_ref="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_rsyslog-gnutls_installed_action:testaction:1" question_ref="ocil:ssg-package_rsyslog-gnutls_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_kea_removed_action:testaction:1" question_ref="ocil:ssg-package_kea_removed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_efi_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_owner_efi_user_cfg_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1" question_ref="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_audit_installed_action:testaction:1" question_ref="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_passwd_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_passwd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_retry_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_retry_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_rsyslog-gnutls_installed_action:testaction:1" question_ref="ocil:ssg-package_rsyslog-gnutls_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_ypbind_removed_action:testaction:1" question_ref="ocil:ssg-package_ypbind_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_dev_shm_action:testaction:1" question_ref="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_lcredit_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_lcredit_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_clock_settime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_rekey_limit_action:testaction:1" question_ref="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-dir_perms_world_writable_sticky_bits_action:testaction:1" question_ref="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_chrony_keys_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_chrony_keys_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-selinux_state_action:testaction:1" question_ref="ocil:ssg-selinux_state_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_passwords_pam_faillock_deny_action:testaction:1" question_ref="ocil:ssg-accounts_passwords_pam_faillock_deny_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_iptables_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_iptables_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slab_merge_default_action:testaction:1" question_ref="ocil:ssg-kernel_config_slab_merge_default_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slub_debug_action:testaction:1" question_ref="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_kerb_auth_action:testaction:1" question_ref="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_yama_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_zero_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_sestatus_conf_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_sestatus_conf_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_bashrc_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_bashrc_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_spec_store_bypass_disable_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slab_freelist_hardened_action:testaction:1" question_ref="ocil:ssg-kernel_config_slab_freelist_hardened_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_iptables_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_iptables_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-configure_user_data_backups_action:testaction:1" question_ref="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_sudo_log_events_action:testaction:1" question_ref="ocil:ssg-audit_sudo_log_events_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_page_alloc_shuffle_argument_action:testaction:1" question_ref="ocil:ssg-grub2_page_alloc_shuffle_argument_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_efi_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_efi_user_cfg_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_kernel_module_loading_init_action:testaction:1" question_ref="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-chronyd_server_directive_action:testaction:1" question_ref="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_rmmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_rmmod_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_custom_logfile_action:testaction:1" question_ref="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_iptables_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_iptables_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_nodev_nonroot_local_partitions_action:testaction:1" question_ref="ocil:ssg-mount_option_nodev_nonroot_local_partitions_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_dcredit_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_dcredit_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_structleak_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_structleak_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_set_max_life_root_action:testaction:1" question_ref="ocil:ssg-accounts_password_set_max_life_root_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-no_netrc_files_action:testaction:1" question_ref="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-ensure_logrotate_activated_action:testaction:1" question_ref="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_user_known_hosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_password_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_strict_kernel_rwx_action:testaction:1" question_ref="ocil:ssg-kernel_config_strict_kernel_rwx_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slab_merge_default_action:testaction:1" question_ref="ocil:ssg-kernel_config_slab_merge_default_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_strict_module_rwx_action:testaction:1" question_ref="ocil:ssg-kernel_config_strict_module_rwx_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_efi_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_permissions_efi_grub2_cfg_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_maxstartups_action:testaction:1" question_ref="ocil:ssg-sshd_set_maxstartups_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slub_debug_action:testaction:1" question_ref="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_local_events_action:testaction:1" question_ref="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_chrony_keys_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_chrony_keys_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_ufw_enabled_action:testaction:1" question_ref="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_storage_action:testaction:1" question_ref="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_immutable_action:testaction:1" question_ref="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_tftp-server_removed_action:testaction:1" question_ref="ocil:ssg-package_tftp-server_removed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_chrony_keys_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_chrony_keys_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-aide_periodic_checking_systemd_timer_action:testaction:1" question_ref="ocil:ssg-aide_periodic_checking_systemd_timer_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-postfix_network_listening_disabled_action:testaction:1" question_ref="ocil:ssg-postfix_network_listening_disabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hardened_usercopy_fallback_action:testaction:1" question_ref="ocil:ssg-kernel_config_hardened_usercopy_fallback_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_home_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_home_nosuid_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_config_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_config_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_noexec_action:testaction:1" question_ref="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_rsyslog_enabled_action:testaction:1" question_ref="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_crypttab_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_crypttab_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-disallow_bypass_password_sudo_action:testaction:1" question_ref="ocil:ssg-disallow_bypass_password_sudo_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_nftables_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_nftables_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_gnutls-utils_installed_action:testaction:1" question_ref="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_ip_forward_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_ip_forward_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-disable_host_auth_action:testaction:1" question_ref="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_last_change_is_in_past_action:testaction:1" question_ref="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_efi_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_permissions_efi_user_cfg_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_strict_module_rwx_action:testaction:1" question_ref="ocil:ssg-kernel_config_strict_module_rwx_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_ipsecd_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_ipsecd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_root_login_action:testaction:1" question_ref="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_compression_action:testaction:1" question_ref="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_rng_core_default_quality_argument_action:testaction:1" question_ref="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slab_freelist_random_action:testaction:1" question_ref="ocil:ssg-kernel_config_slab_freelist_random_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_var_nosuid_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_group_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_group_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_root_path_dirs_no_write_action:testaction:1" question_ref="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_tmp_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_tmp_nosuid_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_sysctld_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_sysctld_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-account_passwords_pam_faillock_dir_action:testaction:1" question_ref="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_ignore_dot_action:testaction:1" question_ref="ocil:ssg-sudo_add_ignore_dot_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_rsa_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-restrict_serial_port_logins_action:testaction:1" question_ref="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-security_patches_up_to_date_action:testaction:1" question_ref="ocil:ssg-security_patches_up_to_date_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_audit_installed_action:testaction:1" question_ref="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_login_grace_time_action:testaction:1" question_ref="ocil:ssg-sshd_set_login_grace_time_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_boot_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_boot_noexec_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_rds_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_permissions_grub2_cfg_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_umount2_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_srv_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_srv_nosuid_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_no_uid_except_zero_action:testaction:1" question_ref="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_keepalive_action:testaction:1" question_ref="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_backtraces_action:testaction:1" question_ref="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_pub_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_remote_tls_action:testaction:1" question_ref="ocil:ssg-rsyslog_remote_tls_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_sudo_log_events_action:testaction:1" question_ref="ocil:ssg-audit_sudo_log_events_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_hibernation_action:testaction:1" question_ref="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_selinux_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_selinux_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_remote_tls_cacert_action:testaction:1" question_ref="ocil:ssg-rsyslog_remote_tls_cacert_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_permissions_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_systemd-journald_enabled_action:testaction:1" question_ref="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_owner_grub2_cfg_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_action_mail_acct_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_grub2_cfg_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_logon_fail_delay_action:testaction:1" question_ref="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_print_last_log_action:testaction:1" question_ref="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_ntp_enabled_action:testaction:1" question_ref="ocil:ssg-service_ntp_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_home_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_mac_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_compression_action:testaction:1" question_ref="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_ipsecd_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_ipsecd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-aide_scan_notification_action:testaction:1" question_ref="ocil:ssg-aide_scan_notification_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_sg_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_sg_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlink_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_ipsec_secrets_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_ipsec_secrets_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_default_mmap_min_addr_action:testaction:1" question_ref="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_talk_removed_action:testaction:1" question_ref="ocil:ssg-package_talk_removed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_xinetd_removed_action:testaction:1" question_ref="ocil:ssg-package_xinetd_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_pam_apparmor_installed_action:testaction:1" question_ref="ocil:ssg-package_pam_apparmor_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_table_isolation_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_shells_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_shells_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-account_unique_name_action:testaction:1" question_ref="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_efi_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_owner_efi_user_cfg_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_vmap_stack_action:testaction:1" question_ref="ocil:ssg-kernel_config_vmap_stack_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_acpi_custom_method_action:testaction:1" question_ref="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_maxstartups_action:testaction:1" question_ref="ocil:ssg-sshd_set_maxstartups_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_dcredit_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_dcredit_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_tmp_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_var_tmp_nosuid_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_no_sanity_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-securetty_root_login_console_only_action:testaction:1" question_ref="ocil:ssg-securetty_root_login_console_only_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-no_direct_root_logins_action:testaction:1" question_ref="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_srv_action:testaction:1" question_ref="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_boot_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_boot_nosuid_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_audit_configuration_action:testaction:1" question_ref="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-aide_build_database_action:testaction:1" question_ref="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_removed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_tmp_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_tmp_noexec_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_ipv6_option_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_ipv6_option_disabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_minlen_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_telnet_removed_action:testaction:1" question_ref="ocil:ssg-package_telnet_removed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_rmmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_rmmod_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_sestatus_conf_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_sestatus_conf_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_boot_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_boot_noexec_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_nodev_nonroot_local_partitions_action:testaction:1" question_ref="ocil:ssg-mount_option_nodev_nonroot_local_partitions_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_compat_vdso_action:testaction:1" question_ref="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_nss-tools_installed_action:testaction:1" question_ref="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_gshadow_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_gshadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_polyinstantiated_tmp_action:testaction:1" question_ref="ocil:ssg-accounts_polyinstantiated_tmp_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_ipsec_conf_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_ipsec_conf_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1" question_ref="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_vsyscall_xonly_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_vsyscall_xonly_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_ip6tables_enabled_action:testaction:1" question_ref="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-chronyd_specify_remote_server_action:testaction:1" question_ref="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_rename_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_requiretty_action:testaction:1" question_ref="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudo_dedicated_group_action:testaction:1" question_ref="ocil:ssg-sudo_dedicated_group_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_files_ownership_action:testaction:1" question_ref="ocil:ssg-rsyslog_files_ownership_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_rsyslog_enabled_action:testaction:1" question_ref="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_sudoers_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_sudoers_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-restrict_serial_port_logins_action:testaction:1" question_ref="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_shells_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_shells_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_sudoersd_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_sudoersd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_log_audit_action:testaction:1" question_ref="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_slub_debug_argument_action:testaction:1" question_ref="ocil:ssg-grub2_slub_debug_argument_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-gid_passwd_group_same_action:testaction:1" question_ref="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_chrony_installed_action:testaction:1" question_ref="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_pam_apparmor_installed_action:testaction:1" question_ref="ocil:ssg-package_pam_apparmor_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_minclass_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_minclass_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_nftables_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_nftables_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_stackprotector_action:testaction:1" question_ref="ocil:ssg-kernel_config_stackprotector_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-coredump_disable_storage_action:testaction:1" question_ref="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_perf_event_paranoid_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_perf_event_paranoid_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_MFEhiplsm_installed_action:testaction:1" question_ref="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_efi_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_owner_efi_grub2_cfg_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_users_home_files_ownership_action:testaction:1" question_ref="ocil:ssg-accounts_users_home_files_ownership_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_vmap_stack_action:testaction:1" question_ref="ocil:ssg-kernel_config_vmap_stack_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_net-snmp_removed_action:testaction:1" question_ref="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_hardlinks_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_snmpd_disabled_action:testaction:1" question_ref="ocil:ssg-service_snmpd_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_slab_freelist_random_action:testaction:1" question_ref="ocil:ssg-kernel_config_slab_freelist_random_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_openssh-server_removed_action:testaction:1" question_ref="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchmodat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_poweroff_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_ipsecd_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_ipsecd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_opt_action:testaction:1" question_ref="ocil:ssg-partition_for_opt_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lsetxattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_fortify_source_action:testaction:1" question_ref="ocil:ssg-kernel_config_fortify_source_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudoers_no_root_target_action:testaction:1" question_ref="ocil:ssg-sudoers_no_root_target_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sudoers_explicit_command_args_action:testaction:1" question_ref="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_overflow_action_action:testaction:1" question_ref="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_owner_user_cfg_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_home_dirs_action:testaction:1" question_ref="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_telnet-server_removed_action:testaction:1" question_ref="ocil:ssg-package_telnet-server_removed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_admin_space_left_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_shutdown_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_login_events_lastlog_action:testaction:1" question_ref="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_sysadmin_actions_action:testaction:1" question_ref="ocil:ssg-audit_rules_sysadmin_actions_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-gnome_gdm_disable_xdmcp_action:testaction:1" question_ref="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_password_action:testaction:1" question_ref="ocil:ssg-grub2_password_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_pid_max_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_pid_max_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_efi_grub2_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_efi_grub2_cfg_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_zero_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_zero_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_modprobe_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_modprobe_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-dir_ownership_binary_dirs_action:testaction:1" question_ref="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_chown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_chown_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_iptables_enabled_action:testaction:1" question_ref="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_var_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_var_noexec_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_set_loglevel_verbose_action:testaction:1" question_ref="ocil:ssg-sshd_set_loglevel_verbose_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-directory_permissions_etc_sudoersd_action:testaction:1" question_ref="ocil:ssg-directory_permissions_etc_sudoersd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_setxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_max_concurrent_login_sessions_action:testaction:1" question_ref="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_ucredit_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_ucredit_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_sendmail_removed_action:testaction:1" question_ref="ocil:ssg-package_sendmail_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_fs_protected_hardlinks_action:testaction:1" question_ref="ocil:ssg-sysctl_fs_protected_hardlinks_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_security_dmesg_restrict_action:testaction:1" question_ref="ocil:ssg-kernel_config_security_dmesg_restrict_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_nftables_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_nftables_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_ip_local_port_range_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_ip_local_port_range_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-aide_verify_ext_attributes_action:testaction:1" question_ref="ocil:ssg-aide_verify_ext_attributes_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_reboot_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_noexec_action:testaction:1" question_ref="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_srv_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_srv_nosuid_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_sudoers_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_sudoers_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_do_not_permit_user_env_action:testaction:1" question_ref="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ia32_emulation_action:testaction:1" question_ref="ocil:ssg-kernel_config_ia32_emulation_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_ownership_library_dirs_action:testaction:1" question_ref="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_chronyd_or_ntpd_enabled_action:testaction:1" question_ref="ocil:ssg-service_chronyd_or_ntpd_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_yama_ptrace_scope_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_yama_ptrace_scope_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-directory_owner_etc_nftables_action:testaction:1" question_ref="ocil:ssg-directory_owner_etc_nftables_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_setroubleshoot-plugins_removed_action:testaction:1" question_ref="ocil:ssg-package_setroubleshoot-plugins_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-no_empty_passwords_etc_shadow_action:testaction:1" question_ref="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_fortify_source_action:testaction:1" question_ref="ocil:ssg-kernel_config_fortify_source_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_rhosts_action:testaction:1" question_ref="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_remove_nopasswd_action:testaction:1" question_ref="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_sshd_config_action:testaction:1" question_ref="ocil:ssg-file_owner_sshd_config_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_insmod_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_insmod_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_randstruct_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_randstruct_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_ipsec_conf_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_ipsec_conf_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_shadow_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_shadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-service_chronyd_enabled_action:testaction:1" question_ref="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_adjtimex_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_pam_minlen_action:testaction:1" question_ref="ocil:ssg-accounts_password_pam_minlen_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_poisoning_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_poisoning_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_lchown_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_opt_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_opt_nosuid_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_home_noexec_action:testaction:1" question_ref="ocil:ssg-mount_option_home_noexec_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_var_log_syslog_action:testaction:1" question_ref="ocil:ssg-file_groupowner_var_log_syslog_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_bashrc_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_bashrc_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fchownat_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-timer_logrotate_enabled_action:testaction:1" question_ref="ocil:ssg-timer_logrotate_enabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_panic_timeout_action:testaction:1" question_ref="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-mount_option_dev_shm_nosuid_action:testaction:1" question_ref="ocil:ssg-mount_option_dev_shm_nosuid_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-postfix_client_configure_relayhost_action:testaction:1" question_ref="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_credentials_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_sched_stack_end_check_action:testaction:1" question_ref="ocil:ssg-kernel_config_sched_stack_end_check_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_srv_action:testaction:1" question_ref="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_ypbind_removed_action:testaction:1" question_ref="ocil:ssg-package_ypbind_removed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_etc_ipsec_conf_action:testaction:1" question_ref="ocil:ssg-file_owner_etc_ipsec_conf_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_tipc_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_action:testaction:1" question_ref="ocil:ssg-audit_rules_file_deletion_events_unlinkat_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sshd_disable_tcp_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-set_iptables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_dmesg_restrict_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_dmesg_restrict_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_tipc_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_ipsecd_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_ipsecd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_password_warn_age_login_defs_action:testaction:1" question_ref="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-package_dhcp_removed_action:testaction:1" question_ref="ocil:ssg-package_dhcp_removed_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_module_rds_disabled_action:testaction:1" question_ref="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_logrotate_installed_action:testaction:1" question_ref="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_sha512_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_randomize_base_action:testaction:1" question_ref="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_refcount_full_action:testaction:1" question_ref="ocil:ssg-kernel_config_refcount_full_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_privileged_commands_init_action:testaction:1" question_ref="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_retention_max_log_file_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_adjtimex_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-set_ip6tables_default_rule_action:testaction:1" question_ref="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-postfix_network_listening_disabled_action:testaction:1" question_ref="ocil:ssg-postfix_network_listening_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ipv6_action:testaction:1" question_ref="ocil:ssg-kernel_config_ipv6_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_legacy_vsyscall_xonly_action:testaction:1" question_ref="ocil:ssg-kernel_config_legacy_vsyscall_xonly_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_tmp_action:testaction:1" question_ref="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-service_sshd_disabled_action:testaction:1" question_ref="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_kernel_yama_ptrace_scope_action:testaction:1" question_ref="ocil:ssg-sysctl_kernel_yama_ptrace_scope_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_ungroupowned_action:testaction:1" question_ref="ocil:ssg-file_permissions_ungroupowned_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-package_tftp_removed_action:testaction:1" question_ref="ocil:ssg-package_tftp_removed_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fremovexattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-harden_ssh_client_crypto_policy_action:testaction:1" question_ref="ocil:ssg-harden_ssh_client_crypto_policy_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_sshd_private_key_action:testaction:1" question_ref="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-rsyslog_remote_loghost_action:testaction:1" question_ref="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-disable_host_auth_action:testaction:1" question_ref="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_sestatus_conf_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_sestatus_conf_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_action:testaction:1" question_ref="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_module_sig_hash_action:testaction:1" question_ref="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_group_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_backup_etc_gshadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_var_action:testaction:1" question_ref="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_groupownership_system_commands_dirs_action:testaction:1" question_ref="ocil:ssg-file_groupownership_system_commands_dirs_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_ipv6_action:testaction:1" question_ref="ocil:ssg-kernel_config_ipv6_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_var_log_messages_action:testaction:1" question_ref="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-directory_groupowner_etc_sysctld_action:testaction:1" question_ref="ocil:ssg-directory_groupowner_etc_sysctld_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_page_table_isolation_action:testaction:1" question_ref="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-auditd_data_disk_error_action_action:testaction:1" question_ref="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_opt_action:testaction:1" question_ref="ocil:ssg-partition_for_opt_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_permissions_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-file_owner_backup_etc_passwd_action:testaction:1" question_ref="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_spectre_v2_argument_action:testaction:1" question_ref="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-auditd_log_format_action:testaction:1" question_ref="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_usergroup_modification_gshadow_action:testaction:1" question_ref="ocil:ssg-audit_rules_usergroup_modification_gshadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_action:testaction:1" question_ref="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_etc_shadow_action:testaction:1" question_ref="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_privileged_commands_action:testaction:1" question_ref="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_networkconfig_modification_action:testaction:1" question_ref="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_dac_modification_fsetxattr_action:testaction:1" question_ref="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_action:testaction:1" question_ref="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-logind_session_timeout_action:testaction:1" question_ref="ocil:ssg-logind_session_timeout_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-partition_for_boot_action:testaction:1" question_ref="ocil:ssg-partition_for_boot_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-sudo_add_env_reset_action:testaction:1" question_ref="ocil:ssg-sudo_add_env_reset_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-audit_rules_time_clock_settime_action:testaction:1" question_ref="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-accounts_umask_etc_profile_action:testaction:1" question_ref="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-file_groupowner_user_cfg_action:testaction:1" question_ref="ocil:ssg-file_groupowner_user_cfg_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-grub2_nosmep_argument_absent_action:testaction:1" question_ref="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │ -    <ocil:boolean_question_test_action id="ocil:ssg-kernel_config_debug_credentials_action:testaction:1" question_ref="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │ +    <ocil:boolean_question_test_action id="ocil:ssg-sshd_enable_x11_forwarding_action:testaction:1" question_ref="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │        <ocil:when_true>
│ │ │ │          <ocil:result>PASS</ocil:result>
│ │ │ │        </ocil:when_true>
│ │ │ │        <ocil:when_false>
│ │ │ │          <ocil:result>FAIL</ocil:result>
│ │ │ │        </ocil:when_false>
│ │ │ │      </ocil:boolean_question_test_action>
│ │ │ │    </ocil:test_actions>
│ │ │ │    <ocil:questions>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 takes the appropriate action when the audit storage volume is full.
│ │ │ │ -
│ │ │ │ -Check that Debian 12 takes the appropriate action when the audit storage volume is full with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep disk_full_action /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -disk_full_action = 
│ │ │ │ -
│ │ │ │ -If the value of the "disk_full_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full.
│ │ │ │ -      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECURITY_WRITABLE_HOOKS /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-aide_periodic_checking_systemd_timer_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the operating system routinely checks the baseline configuration for unauthorized changes.
│ │ │ │ -
│ │ │ │ -To determine that periodic AIDE execution has been scheduled, run the following command:
│ │ │ │ -$ systemctl list-timers should display aidecheck.timer or similar
│ │ │ │ -that starts a service to run AIDE check.
│ │ │ │ -      Is it the case that AIDE is not configured to scan periodically?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_etc_crypttab_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/crypttab,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/crypttab
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/crypttab does not have an owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure ClientAliveInterval is set correctly, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep ClientAliveCountMax /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -ClientAliveCountMax 0
│ │ │ │ -
│ │ │ │ -In this case, the SSH timeout occurs precisely when
│ │ │ │ -the ClientAliveInterval is set.
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the snmp package is installed:
│ │ │ │ -$ dpkg -l  snmp
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure sshd limits the users who can log in, run the following:
│ │ │ │ -pre&gt;$ sudo grep -rPi '^\h*(allow|deny)(users|groups)\h+\H+(\h+.*)?$' /etc/ssh/sshd_config*
│ │ │ │ -If properly configured, the output should be a list of usernames and/or
│ │ │ │ -groups allowed to log in to this system.
│ │ │ │ -      Is it the case that sshd does not limit the users who can log in?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_sshd_config_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/ssh/sshd_config,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_etc_sudoers_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/sudoers,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/ssh/sshd_config
│ │ │ │ +$ ls -lL /etc/sudoers
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/ssh/sshd_config does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/sudoers does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Ensure that Debian 12 does not disable SELinux.
│ │ │ │ -
│ │ │ │ -Check if "SELinux" is active and in "enforcing" or "permissive" mode with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo getenforce
│ │ │ │ -Enforcing
│ │ │ │ --OR-
│ │ │ │ -Permissive
│ │ │ │ -      Is it the case that SELinux is disabled?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │ +      <ocil:question_text>Make sure that the kernel is not disabling SMAP with the following
│ │ │ │ +commands.
│ │ │ │ +grep -q nosmap /boot/config-`uname -r`
│ │ │ │ +If the command returns a line, it means that SMAP is being disabled.
│ │ │ │ +      Is it the case that the kernel is configured to disable SMAP?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 12 is configured to notify the SA and/or ISSO (at a minimum) in the event of an audit processing failure with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep action_mail_acct /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -action_mail_acct = 
│ │ │ │ -      Is it the case that the value of the "action_mail_acct" keyword is not set to "&lt;sub idref="var_auditd_action_mail_acct" /&gt;" and/or other accounts for security personnel, the "action_mail_acct" keyword is missing, or the retuned line is commented out, ask the system administrator to indicate how they and the ISSO are notified of an audit process failure. If there is no evidence of the proper personnel being notified of an audit processing failure?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that the system is integrated with a centralized authentication mechanism
│ │ │ │ +such as as Active Directory, Kerberos, Directory Server, etc. that has
│ │ │ │ +automated account mechanisms in place.
│ │ │ │ +      Is it the case that the system is not using a centralized authentication mechanism, or it is not automated?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify the number of rounds for the password hashing algorithm is configured, run the following command:
│ │ │ │ -$ sudo grep rounds /etc/pam.d/common-password
│ │ │ │ -The output should show the following match:
│ │ │ │ - 
│ │ │ │ -password [sucess=1 default=ignore] pam_unix.so sha512 rounds=
│ │ │ │ -      Is it the case that rounds is not set to &lt;sub idref="var_password_pam_unix_rounds" /&gt; or is commented out?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-dir_system_commands_group_root_owned_question:question:1">
│ │ │ │ +      <ocil:question_text>System commands are stored in the following directories:
│ │ │ │ +/bin 
│ │ │ │ +/sbin 
│ │ │ │ +/usr/bin 
│ │ │ │ +/usr/sbin 
│ │ │ │ +/usr/local/bin 
│ │ │ │ +/usr/local/sbin
│ │ │ │ +For each of these directories, run the following command to find directories not
│ │ │ │ +owned by root:
│ │ │ │ +$ sudo find -L $DIR ! -group root -type d -exec chgrp root {} \;
│ │ │ │ +      Is it the case that any of these directories are not group owned by root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that GRUB_DISABLE_RECOVERY is set to true in /etc/default/grub to disable recovery boot.
│ │ │ │ -Run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_regular_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the fs.protected_regular kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl fs.protected_regular
│ │ │ │ +2.
│ │ │ │  
│ │ │ │ -$ sudo grep GRUB_DISABLE_RECOVERY /etc/default/grub
│ │ │ │ -      Is it the case that GRUB_DISABLE_RECOVERY is not set to true or is missing?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-directory_owner_etc_selinux_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/selinux,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_sestatus_conf_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/sestatus.conf,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/selinux
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/selinux does not have an owner of root?</ocil:question_text>
│ │ │ │ +$ ls -l /etc/sestatus.conf
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0644
│ │ │ │ +      Is it the case that /etc/sestatus.conf does not have unix mode 0644?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_minimum_age_login_defs_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 enforces 24 hours/one day as the minimum password lifetime for new user accounts.
│ │ │ │ -
│ │ │ │ -Check for the value of "PASS_MIN_DAYS" in "/etc/login.defs" with the following command:
│ │ │ │ -
│ │ │ │ -$ grep -i pass_min_days /etc/login.defs
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +settimeofday system call, run the following command:
│ │ │ │ +$ sudo grep "settimeofday" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -PASS_MIN_DAYS 
│ │ │ │ -      Is it the case that the "PASS_MIN_DAYS" parameter value is not "&lt;sub idref="var_accounts_minimum_age_login_defs" /&gt;" or greater, or is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating /etc/issue.net is returned, then the required value is set.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │ +      <ocil:question_text>To check if UsePrivilegeSeparation is enabled or set correctly, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep UsePrivilegeSeparation /etc/ssh/sshd_config
│ │ │ │ +If configured properly, output should be .
│ │ │ │ +      Is it the case that it is commented out or is not enabled?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_deny_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 is configured to lock an account after 
│ │ │ │ +unsuccessful logon attempts with the command:
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +$ grep 'deny =' /etc/security/faillock.conf
│ │ │ │ +deny = .
│ │ │ │ +      Is it the case that the "deny" option is not set to "&lt;sub idref="var_accounts_passwords_pam_faillock_deny" /&gt;"
│ │ │ │ +or less (but not "0"), is missing or commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_stackprotector_strong_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_STACKPROTECTOR_STRONG /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEBUG_NOTIFIERS /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchmod system call, run the following command:
│ │ │ │ -$ sudo grep "fchmod" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /var/log/messages,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /var/log/messages
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /var/log/messages does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_ypserv_removed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the ypserv package is installed:
│ │ │ │ -$ dpkg -l  ypserv
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_user_dot_group_ownership_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify the local initialization files of all local interactive users are group-
│ │ │ │ +owned by the appropriate user, inspect the primary group of the respective
│ │ │ │ +users in /etc/passwd and verify all initialization files under the
│ │ │ │ +respective users home directory. Check the group owner of all local interactive users
│ │ │ │ +initialization files.
│ │ │ │ +      Is it the case that they are not?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_UNMAP_KERNEL_AT_EL0 /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to see what the timeout interval is:
│ │ │ │ +$ sudo grep ClientAliveInterval /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +ClientAliveInterval 
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure root may not directly login to the system over physical consoles,
│ │ │ │ +run the following command:
│ │ │ │ +cat /etc/securetty
│ │ │ │ +If any output is returned, this is a finding.
│ │ │ │ +      Is it the case that the /etc/securetty file is not empty?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PROC_KCORE /boot/config.*
│ │ │ │ +    $ grep CONFIG_GCC_PLUGIN_STRUCTLEAK_BYREF_ALL /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_telnet_removed_question:question:1">
│ │ │ │ -      <ocil:question_text>The telnet package can be removed with the following command:  $ apt-get remove telnet
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify all squashing has been disabled, run the following command:
│ │ │ │ -$ grep all_squash /etc/exports
│ │ │ │ -      Is it the case that there is output?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv6.conf.default.router_solicitations kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.default.router_solicitations
│ │ │ │ -0.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_nosmap_argument_absent_question:question:1">
│ │ │ │ -      <ocil:question_text>Make sure that the kernel is not disabling SMAP with the following
│ │ │ │ -commands.
│ │ │ │ -grep -q nosmap /boot/config-`uname -r`
│ │ │ │ -If the command returns a line, it means that SMAP is being disabled.
│ │ │ │ -      Is it the case that the kernel is configured to disable SMAP?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/group,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/group
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/group does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that a separate file system/partition has been created for /home with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "poweroff" command with the following command:
│ │ │ │  
│ │ │ │ -$ mountpoint /home
│ │ │ │ +$ sudo auditctl -l | grep poweroff
│ │ │ │  
│ │ │ │ -      Is it the case that "/home is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-dir_perms_world_writable_root_owned_question:question:1">
│ │ │ │ -      <ocil:question_text>The following command will discover and print world-writable directories that
│ │ │ │ -are not owned by root. Run it once for each local partition PART:
│ │ │ │ -$ sudo find PART -xdev -type d -perm -0002 -uid +0 -print
│ │ │ │ -      Is it the case that there are world-writable directories not owned by root?</ocil:question_text>
│ │ │ │ +-a always,exit -F path=/poweroff -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-poweroff
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_perf_event_paranoid_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the kernel.perf_event_paranoid kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.perf_event_paranoid
│ │ │ │ -2.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │ +      <ocil:question_text>To check if RekeyLimit is set correctly, run the
│ │ │ │ +following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv6.conf.all.autoconf kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.all.autoconf
│ │ │ │ -0.
│ │ │ │ +$ sudo grep RekeyLimit /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │ -      <ocil:question_text>The file permissions for all log files written by rsyslog should
│ │ │ │ -be set to 640, or more restrictive. These log files are determined by the
│ │ │ │ -second part of each Rule line in /etc/rsyslog.conf and typically
│ │ │ │ -all appear in /var/log. To see the permissions of a given log
│ │ │ │ -file, run the following command:
│ │ │ │ -$ ls -l LOGFILE
│ │ │ │ -The permissions should be 640, or more restrictive.
│ │ │ │ -      Is it the case that the permissions are not correct?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/passwd,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/passwd
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/passwd does not have a group owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_shells_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/shells,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/shells
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0644
│ │ │ │ -      Is it the case that /etc/shells does not have unix mode 0644?</ocil:question_text>
│ │ │ │ +If configured properly, output should be
│ │ │ │ +RekeyLimit  
│ │ │ │ +      Is it the case that it is commented out or is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_sysrq_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the kernel.sysrq kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.conf.all.shared_media kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl kernel.sysrq
│ │ │ │ +$ sysctl net.ipv4.conf.all.shared_media
│ │ │ │  0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_page_alloc_shuffle_argument_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include page_alloc.shuffle=1, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*page_alloc.shuffle=1.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that randomization of the page allocator is not enabled in the kernel?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_setroubleshoot-server_removed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the setroubleshoot-server package is installed:
│ │ │ │ +$ dpkg -l  setroubleshoot-server
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │ -      <ocil:question_text>To check if the installed Operating System is 64-bit, run the following command:
│ │ │ │ -$ uname -m
│ │ │ │ -The output should be one of the following: x86_64, aarch64, ppc64le or s390x.
│ │ │ │ -If the output is i686 or i386 the operating system is 32-bit.
│ │ │ │ -Check if the installed CPU supports 64-bit operating systems by running the following command:
│ │ │ │ -$ lscpu | grep "CPU op-mode"
│ │ │ │ -If the output contains 64bit, the CPU supports 64-bit operating systems.
│ │ │ │ -      Is it the case that the installed operating sytem is 32-bit but the CPU supports operation in 64-bit?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ +/bin
│ │ │ │ +/sbin
│ │ │ │ +/usr/bin
│ │ │ │ +/usr/sbin
│ │ │ │ +/usr/local/bin
│ │ │ │ +/usr/local/sbin
│ │ │ │ +To find system executables directories that are group-writable or
│ │ │ │ +world-writable, run the following command for each directory DIR
│ │ │ │ +which contains system executables:
│ │ │ │ +$ sudo find -L DIR -perm /022 -type d
│ │ │ │ +      Is it the case that any of these files are group-writable or world-writable?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure all GIDs referenced in /etc/passwd are defined in /etc/group,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo pwck -qr
│ │ │ │ +There should be no output.
│ │ │ │ +      Is it the case that GIDs referenced in /etc/passwd are returned as not defined in /etc/group?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_ALL /boot/config.*
│ │ │ │ +    $ grep CONFIG_PANIC_TIMEOUT /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    For each kernel installed, a line with value "" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_kptr_restrict_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the kernel.kptr_restrict kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.kptr_restrict
│ │ │ │ -The output of the command should indicate either:
│ │ │ │ -kernel.kptr_restrict = 1
│ │ │ │ -or:
│ │ │ │ -kernel.kptr_restrict = 2
│ │ │ │ -The output of the command should not indicate:
│ │ │ │ -kernel.kptr_restrict = 0
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 takes the appropriate action when an audit processing failure occurs.
│ │ │ │  
│ │ │ │ -The preferable way how to assure the runtime compliance is to have
│ │ │ │ -correct persistent configuration, and rebooting the system.
│ │ │ │ +Check that Debian 12 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │  
│ │ │ │ -The persistent kernel parameter configuration is performed by specifying the appropriate
│ │ │ │ -assignment in any file located in the /etc/sysctl.d directory.
│ │ │ │ -Verify that there is not any existing incorrect configuration by executing the following command:
│ │ │ │ -$ grep -r '^\s*kernel.kptr_restrict\s*=' /etc/sysctl.conf /etc/sysctl.d
│ │ │ │ -The command should not find any assignments other than:
│ │ │ │ -kernel.kptr_restrict = 1
│ │ │ │ -or:
│ │ │ │ -kernel.kptr_restrict = 2
│ │ │ │ +$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -Conflicting assignments are not allowed.
│ │ │ │ -      Is it the case that the kernel.kptr_restrict is not set to 1 or 2 or is configured to be 0?</ocil:question_text>
│ │ │ │ +disk_error_action = HALT
│ │ │ │ +
│ │ │ │ +If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ +      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_fifos_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the fs.protected_fifos kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the kernel.perf_cpu_time_max_percent kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl fs.protected_fifos
│ │ │ │ -2.
│ │ │ │ +$ sysctl kernel.perf_cpu_time_max_percent
│ │ │ │ +1.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_time_settimeofday_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -settimeofday system call, run the following command:
│ │ │ │ -$ sudo grep "settimeofday" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-mount_option_var_log_nosuid_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the nosuid option is configured for the /var/log mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/var/log\s'
│ │ │ │ +    . . . /var/log . . . nosuid . . .
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/var/log" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_opasswd_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/security/opasswd" with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep -E '(/etc/security/opasswd)'
│ │ │ │ +$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ --w /etc/security/opasswd -p wa -k identity
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-mount_option_var_tmp_noexec_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the noexec option is configured for the /var/tmp mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/var/tmp\s'
│ │ │ │ -    . . . /var/tmp . . . noexec . . .
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-rsyslog_remote_tls_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that rsyslog's Forwarding Output Module is configured
│ │ │ │ +to use TLS for logging to remote server, run the following command:
│ │ │ │ +$ grep omfwd /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ +The output should include record similar to
│ │ │ │ +action(type="omfwd" protocol="tcp" Target="&lt;remote system&gt;" port="6514"
│ │ │ │ +    StreamDriver="gtls" StreamDriverMode="1" StreamDriverAuthMode="x509/name" streamdriver.CheckExtendedKeyPurpose="on")
│ │ │ │  
│ │ │ │ -      Is it the case that the "/var/tmp" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │ +where the &lt;remote system&gt; present in the configuration line above must be a valid IP address or a host name of the remote logging server.
│ │ │ │ +      Is it the case that omfwd is not configured with gtls and AuthMode?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_BINFMT_MISC /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_etc_ipsec_secrets_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/ipsec.secrets,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ipsec.secrets
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ipsec.secrets does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_ip_forward_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.ip_forward kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.ip_forward
│ │ │ │ -0.
│ │ │ │ -The ability to forward packets is only appropriate for routers.
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/gshadow,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/gshadow
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /etc/gshadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the cron package is installed:
│ │ │ │ -$ dpkg -l  cron
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_sudoersd_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/sudoers.d,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/sudoers.d
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/sudoers.d does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's GSSAPIAuthentication option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +unlinkat system call, run the following command:
│ │ │ │ +$ sudo grep "unlinkat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -$ sudo grep -i GSSAPIAuthentication /etc/ssh/sshd_config
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-dir_system_commands_root_owned_question:question:1">
│ │ │ │ +      <ocil:question_text>System commands are stored in the following directories:
│ │ │ │ +/bin 
│ │ │ │ +/sbin 
│ │ │ │ +/usr/bin 
│ │ │ │ +/usr/sbin 
│ │ │ │ +/usr/local/bin 
│ │ │ │ +/usr/local/sbin
│ │ │ │ +For each of these directories, run the following command to find directories not
│ │ │ │ +owned by root:
│ │ │ │ +$ sudo find -L $DIR ! -user root -type d
│ │ │ │ +      Is it the case that any of these directories are not owned by root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │  If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │ -
│ │ │ │ -$ grep nullok /etc/pam.d/system-auth /etc/pam.d/password-auth
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_core_bpf_jit_harden_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.core.bpf_jit_harden kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.core.bpf_jit_harden
│ │ │ │ +2.
│ │ │ │  
│ │ │ │ -If this produces any output, it may be possible to log into accounts
│ │ │ │ -with empty passwords. Remove any instances of the nullok option to
│ │ │ │ -prevent logins with empty passwords.
│ │ │ │ -      Is it the case that NULL passwords can be used?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_randomize_memory_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_RANDOMIZE_MEMORY /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_X86_VSYSCALL_EMULATION /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's GSSAPIAuthentication option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 takes the appropriate action when the audit files have reached maximum size.
│ │ │ │  
│ │ │ │ -$ sudo grep -i GSSAPIAuthentication /etc/ssh/sshd_config
│ │ │ │ +Check that Debian 12 takes the appropriate action when the audit files have reached maximum size with the following command:
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +max_log_file_action = 
│ │ │ │ +      Is it the case that the value of the "max_log_file_action" option is not "ROTATE", "SINGLE", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full. If there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's UsePAM option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to see what the max sessions number is:
│ │ │ │ +$ sudo grep MaxSessions /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +MaxSessions 
│ │ │ │ +      Is it the case that MaxSessions is not configured or not configured correctly?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_chronyd_or_ntpd_enabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +chrony service:
│ │ │ │ +$ sudo systemctl is-active chrony
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │  
│ │ │ │ -$ sudo grep -i UsePAM /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +Run the following command to determine the current status of the
│ │ │ │ +ntpd service:
│ │ │ │ +$ sudo systemctl is-active ntpd
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_talk-server_removed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the talk-server package is installed:
│ │ │ │ +$ dpkg -l  talk-server
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify the audispd's syslog plugin is active, run the following command:
│ │ │ │ -$ sudo grep active /etc/audit/plugins.d/syslog.conf
│ │ │ │ -If the plugin is active, the output will show yes.
│ │ │ │ -      Is it the case that it is not activated?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the rsyslog package is installed: $ dpkg -l  rsyslog
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv6.conf.all.router_solicitations kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv6.conf.all.router_solicitations
│ │ │ │ +0.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmod_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -lremovexattr system call, run the following command:
│ │ │ │ -$ sudo grep "lremovexattr" /etc/audit/audit.*
│ │ │ │ +fchmod system call, run the following command:
│ │ │ │ +$ sudo grep "fchmod" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-directory_owner_etc_sudoersd_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/sudoers.d,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/sudoers.d
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/sudoers.d does not have an owner of root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if use_pty has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults.*\buse_pty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that use_pty is not enabled in sudo?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_setroubleshoot-server_removed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the setroubleshoot-server package is installed:
│ │ │ │ -$ dpkg -l  setroubleshoot-server
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_user_dot_user_ownership_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify all local initialization files for interactive users are owned by the
│ │ │ │ +primary user, run the following command:
│ │ │ │ +$ sudo ls -al /home/USER/.*
│ │ │ │ +The user initialization files should be owned by USER.
│ │ │ │ +      Is it the case that they are not?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "shutdown" command with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep shutdown
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.conf.all.drop_gratuitous_arp kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.drop_gratuitous_arp
│ │ │ │ +1.
│ │ │ │  
│ │ │ │ --a always,exit -F path=/shutdown -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-shutdown
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_vsyscall_emulate_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_BUG /boot/config.*
│ │ │ │ +    $ grep CONFIG_LEGACY_VSYSCALL_EMULATE /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -cron service:
│ │ │ │ -$ sudo systemctl is-active cron
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-mount_option_var_log_noexec_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the noexec option is configured for the /var/log mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/var/log\s'
│ │ │ │ +    . . . /var/log . . . noexec . . .
│ │ │ │ +
│ │ │ │ +      Is it the case that the "/var/log" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_slub_debug_argument_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include slub_debug=, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*slub_debug=.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that SLUB/SLAB poisoning is not enabled?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_efi_user_cfg_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /boot/grub2/user.cfg,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /boot/grub2/user.cfg
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /boot/grub2/user.cfg does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -rmdir system call, run the following command:
│ │ │ │ -$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -unlink system call, run the following command:
│ │ │ │ -$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -unlinkat system call, run the following command:
│ │ │ │ -$ sudo grep "unlinkat" /etc/audit/audit.*
│ │ │ │ +init_module system call, run the following command:
│ │ │ │ +$ sudo grep "init_module" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  To determine if the system is configured to audit calls to the
│ │ │ │ -rename system call, run the following command:
│ │ │ │ -$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │ +finit_module system call, run the following command:
│ │ │ │ +$ sudo grep "finit_module" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  To determine if the system is configured to audit calls to the
│ │ │ │ -renameat system call, run the following command:
│ │ │ │ -$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │ +delete_module system call, run the following command:
│ │ │ │ +$ sudo grep "delete_module" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_user_dot_group_ownership_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify the local initialization files of all local interactive users are group-
│ │ │ │ -owned by the appropriate user, inspect the primary group of the respective
│ │ │ │ -users in /etc/passwd and verify all initialization files under the
│ │ │ │ -respective users home directory. Check the group owner of all local interactive users
│ │ │ │ -initialization files.
│ │ │ │ -      Is it the case that they are not?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_kmod_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "kmod" command with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep kmod
│ │ │ │ -
│ │ │ │ --a always,exit -F path=/usr/bin/kmod -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-kmod
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_polyinstantiated_tmp_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to ensure that /tmp is configured as a
│ │ │ │ +polyinstantiated directory:
│ │ │ │ +$ sudo grep /tmp /etc/security/namespace.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +/tmp     /tmp/tmp-inst/            level      root,adm
│ │ │ │ +      Is it the case that is not configured?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -chmod system call, run the following command:
│ │ │ │ -$ sudo grep "chmod" /etc/audit/audit.*
│ │ │ │ +mount system call, run the following command:
│ │ │ │ +$ sudo grep "mount" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_shadow_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/passwd with the following command:
│ │ │ │ -
│ │ │ │ -$  sudo auditctl -l | grep -E '(/etc/shadow)'
│ │ │ │ -
│ │ │ │ --w /etc/shadow -p wa -k identity
│ │ │ │ -      Is it the case that command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 notifies the SA and ISSO (at a minimum) when allocated audit record storage volume reaches 75 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -w space_left_action /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -space_left_action = 
│ │ │ │ -
│ │ │ │ -If the value of the "space_left_action" is not set to "", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ -      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the postfix package is installed: $ dpkg -l  postfix
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that Audit Daemon is configured to flush to disk after
│ │ │ │ -every  records, run the following command:
│ │ │ │ -$ sudo grep freq /etc/audit/auditd.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -freq = 
│ │ │ │ -      Is it the case that freq isn't set to &lt;sub idref="var_auditd_freq" /&gt;?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudoers_no_root_target_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the users are allowed to run commands as root, run the following commands:
│ │ │ │ +$ sudo grep -PR '^\s*((?!root\b)[\w]+)\s*(\w+)\s*=\s*(.*,)?\s*[^\(\s]' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +and
│ │ │ │ +$ sudo grep -PR '^\s*((?!root\b)[\w]+)\s*(\w+)\s*=\s*(.*,)?\s*\([\w\s]*\b(root|ALL)\b[\w\s]*\)' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +Both commands should return no output.
│ │ │ │ +      Is it the case that /etc/sudoers file contains rules that allow non-root users to run commands as root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_x11_forwarding_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_stackleak_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_GCC_PLUGIN_STACKLEAK /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /boot/System.map*,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/shadow-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /boot/System.map*
│ │ │ │ +$ ls -l /etc/shadow-
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /boot/System.map* does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_add_use_pty_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if use_pty has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults.*\buse_pty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that use_pty is not enabled in sudo?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_group_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/group" with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep -E '(/etc/group)'
│ │ │ │ -
│ │ │ │ --w /etc/group -p wa -k identity
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv6.conf.all.max_addresses kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.all.max_addresses
│ │ │ │ -1.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /etc/shadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PANIC_ON_OOPS /boot/config.*
│ │ │ │ +    $ grep CONFIG_SECCOMP_FILTER /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that Audit Daemon is configured to write logs to the disk, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep write_logs /etc/audit/auditd.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -write_logs = yes
│ │ │ │ -      Is it the case that write_logs isn't set to yes?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /var/log,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_iptables_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/iptables,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /var/log
│ │ │ │ +$ ls -l /etc/iptables
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │ -drwxr-xr-x
│ │ │ │ -      Is it the case that /var/log does not have unix mode drwxr-xr-x?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │ -      <ocil:question_text>To properly set the permissions of /etc/audit/, run the command:
│ │ │ │ -$ sudo chmod 0640 /etc/audit/
│ │ │ │ -
│ │ │ │ -To properly set the permissions of /etc/audit/rules.d/, run the command:
│ │ │ │ -$ sudo chmod 0640 /etc/audit/rules.d/
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +0700
│ │ │ │ +      Is it the case that /etc/iptables does not have unix mode 0700?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_FS /boot/config.*
│ │ │ │ +    $ grep CONFIG_ACPI_CUSTOM_METHOD /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify all accounts have unique names, run the following command:
│ │ │ │ -$ sudo getent passwd | awk -F: '{ print $1}' | uniq -d
│ │ │ │ -No output should be returned.
│ │ │ │ -      Is it the case that a line is returned?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command and verify remote server is configured properly:
│ │ │ │ +# grep -E "^(server|pool)" /etc/chrony/chrony.conf
│ │ │ │ +      Is it the case that a remote time server is not configured?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -delete_module system call, run the following command:
│ │ │ │ -$ sudo grep "delete_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │ +      <ocil:question_text>To check which SSH protocol version is allowed, check version of openssh-server with following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +$ dpkg -s openssh-server | grep Version
│ │ │ │ +
│ │ │ │ +Versions equal to or higher than 7.4 only allow Protocol 2.
│ │ │ │ +If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ +$ sudo grep Protocol /etc/ssh/sshd_config
│ │ │ │ +If configured properly, output should be Protocol 2
│ │ │ │ +      Is it the case that it is commented out or is not set correctly to Protocol 2?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that a separate file system/partition has been created for /var with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the ftruncate system call.
│ │ │ │  
│ │ │ │ -$ mountpoint /var
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that "/var is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.conf.all.send_redirects kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.send_redirects
│ │ │ │ -0.
│ │ │ │ +$ sudo grep -r ftruncate /etc/audit/rules.d
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_selinux_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/selinux,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/selinux
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/selinux does not have a group owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to ensure the default FORWARD policy is DROP:
│ │ │ │ -grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ -The output should be similar to the following:
│ │ │ │ -$ sudo grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ -:FORWARD DROP [0:0
│ │ │ │ -      Is it the case that the default policy for the FORWARD chain is not set to DROP?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_etc_shells_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/shells,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/shells
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/shells does not have an owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.conf.all.arp_filter kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.arp_filter
│ │ │ │ -.
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +$ sudo grep ftruncate /etc/audit/audit.rules
│ │ │ │ +
│ │ │ │ +The output should be the following:
│ │ │ │ +
│ │ │ │ +-a always,exit -F arch=b32 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_user_cfg_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /boot/grub/user.cfg,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /boot/grub/user.cfg
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /boot/grub/user.cfg does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-apparmor_configured_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +apparmor service:
│ │ │ │ +$ sudo systemctl is-active apparmor
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that it is not?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_wx_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_vdsm_nopasswd_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if NOPASSWD has been configured for the vdsm user for sudo,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo grep -ri nopasswd /etc/sudoers.d/
│ │ │ │ +The command should return output only for the vdsm user.
│ │ │ │ +      Is it the case that nopasswd is set for any users beyond vdsm?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_bug_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_WX /boot/config.*
│ │ │ │ +    $ grep CONFIG_BUG /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_sshd_config_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/ssh/sshd_config,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ssh/sshd_config does not have a group owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_ipsecd_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/ipsec.d,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/ipsec.d
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0700
│ │ │ │ -      Is it the case that /etc/ipsec.d does not have unix mode 0700?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_enable_pam_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's UsePAM option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i UsePAM /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/gshadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/gshadow
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -shadow
│ │ │ │ -      Is it the case that /etc/gshadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-aide_periodic_cron_checking_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the operating system routinely checks the baseline configuration for unauthorized changes.
│ │ │ │ +
│ │ │ │ +To determine that periodic AIDE execution has been scheduled, run the following command:
│ │ │ │ +$ grep aide /etc/crontab
│ │ │ │ +The output should return something similar to the following:
│ │ │ │ +05 4 * * * root /usr/sbin/aide --check
│ │ │ │ +
│ │ │ │ +NOTE: The usage of special cron times, such as @daily or @weekly, is acceptable.
│ │ │ │ +      Is it the case that AIDE is not configured to scan periodically?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_kea_removed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the kea package is installed:
│ │ │ │ -$ dpkg -l  kea
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include iommu=force, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*iommu=force.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that I/OMMU is not activated?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_modules_disabled_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the kernel.modules_disabled kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_filter_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.conf.all.arp_filter kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl kernel.modules_disabled
│ │ │ │ -1.
│ │ │ │ +$ sysctl net.ipv4.conf.all.arp_filter
│ │ │ │ +.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the system commands contained in the following directories are owned by "root" with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin ! -user root -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system commands are found to not be owned by root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +systemd-journald service:
│ │ │ │ +$ sudo systemctl is-active systemd-journald
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the systemd-journald service is not running?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_source_route kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_sudoers_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/sudoers,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/sudoers
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0440
│ │ │ │ +      Is it the case that /etc/sudoers does not have unix mode 0440?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_router_solicitations_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv6.conf.default.router_solicitations kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.all.accept_source_route
│ │ │ │ +$ sysctl net.ipv6.conf.default.router_solicitations
│ │ │ │  0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit attempts to
│ │ │ │ -alter time via the /etc/localtime file, run the following
│ │ │ │ -command:
│ │ │ │ -$ sudo auditctl -l | grep "watch=/etc/localtime"
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -      Is it the case that the system is not configured to audit time changes?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_set_login_grace_time_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure LoginGraceTime is set correctly, run the following command:
│ │ │ │ +$ sudo grep LoginGraceTime /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +LoginGraceTime 
│ │ │ │ +If the option is set to a number greater than 0, then the unauthenticated session will be disconnected
│ │ │ │ +after the configured number seconds.
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_stig_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 takes the appropriate action when an audit processing failure occurs.
│ │ │ │ -
│ │ │ │ -Check that Debian 12 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's StrictModes option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │ +$ sudo grep -i StrictModes /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -disk_error_action = HALT
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ -      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_postfix_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the postfix package is installed: $ dpkg -l  postfix
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/gshadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/gshadow
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/gshadow does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the operating system authenticates the remote logging server for off-loading audit logs with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i '$ActionSendStreamDriverAuthMode' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ -The output should be
│ │ │ │ -$/etc/rsyslog.conf:$ActionSendStreamDriverAuthMode x509/name
│ │ │ │ -      Is it the case that $ActionSendStreamDriverAuthMode in /etc/rsyslog.conf is not set to x509/name?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │ +      <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ +$ sudo postconf alias_maps
│ │ │ │ +Query the Postfix alias maps for an alias for the postmaster user:
│ │ │ │ +$ sudo postmap -q postmaster hash:/etc/aliases
│ │ │ │ +The output should return root.
│ │ │ │ +      Is it the case that the alias is not set or is not root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_sudo_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "sudo" command with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the audit system prevents unauthorized changes with the following command:
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep sudo
│ │ │ │ +$ sudo grep "^\s*[^#]" /etc/audit/audit.rules | tail -1
│ │ │ │ +-e 2
│ │ │ │  
│ │ │ │ --a always,exit -F path=/usr/bin/sudo -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-sudo
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the audit system is not set to be immutable by adding the "-e 2" option to the end of "/etc/audit/audit.rules"?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_password_pam_unix_remember_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify the password reuse setting is compliant, run the following command:
│ │ │ │ -$ grep remember /etc/pam.d/common-password
│ │ │ │ -The output should show the following at the end of the line:
│ │ │ │ -remember=
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -In newer systems, the pam_pwhistory PAM module options can also be set in
│ │ │ │ -"/etc/security/pwhistory.conf" file. Use the following command to verify:
│ │ │ │ -$ grep remember /etc/security/pwhistory.conf
│ │ │ │ -remember = 
│ │ │ │ -
│ │ │ │ -The pam_pwhistory remember option must be configured only in one file.
│ │ │ │ -      Is it the case that the value of remember is not equal to or greater than the expected value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure the default password is not set, run the following command:
│ │ │ │ +$ sudo grep -v "^#" /etc/snmp/snmpd.conf| grep -E 'public|private'
│ │ │ │ +There should be no output.
│ │ │ │ +      Is it the case that the default SNMP passwords public and private have not been changed or removed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that a separate file system/partition has been created for /var/log/audit with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/group-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/group-
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/group- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that Audit Daemon is configured to resolve all uid, gid, syscall,
│ │ │ │ +architecture, and socket address information before writing the event to disk,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo grep log_format /etc/audit/auditd.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +log_format = ENRICHED
│ │ │ │ +      Is it the case that log_format isn't set to ENRICHED?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_tmout_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to ensure the TMOUT value is configured for all users
│ │ │ │ +on the system:
│ │ │ │  
│ │ │ │ -$ mountpoint /var/log/audit
│ │ │ │ +$ sudo grep TMOUT /etc/profile /etc/profile.d/*.sh
│ │ │ │  
│ │ │ │ -      Is it the case that "/var/log/audit is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +The output should return the following:
│ │ │ │ +TMOUT=
│ │ │ │ +      Is it the case that value of TMOUT is not less than or equal to expected setting?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_randomize_memory_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_LIST /boot/config.*
│ │ │ │ +    $ grep CONFIG_RANDOMIZE_MEMORY /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_page_poison_argument_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include page_poison=1, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*page_poison=1.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that page allocator poisoning is not enabled?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │ -      <ocil:question_text>If IPv6 is disabled, this is not applicable.
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -Run the following command to determine the current status of the
│ │ │ │ -ip6tables service:
│ │ │ │ -$ sudo systemctl is-active ip6tables
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ -determine how many logs the system is configured to retain after rotation:
│ │ │ │ -$ sudo grep num_logs /etc/audit/auditd.conf
│ │ │ │ -num_logs = 5
│ │ │ │ -      Is it the case that the system log file retention has not been properly configured?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │ -      <ocil:question_text>To find world-writable directories that lack the sticky bit, run the following command:
│ │ │ │ -$ sudo find / -type d \( -perm -0002 -a ! -perm -1000 \) -print 2&gt;/dev/null
│ │ │ │ -fixtext: |-
│ │ │ │ -Configure all world-writable directories to have the sticky bit set to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │ -
│ │ │ │ -Set the sticky bit on all world-writable directories using the command, replace "[World-Writable Directory]" with any directory path missing the sticky bit:
│ │ │ │ -
│ │ │ │ -$ chmod a+t [World-Writable Directory]
│ │ │ │ -srg_requirement:
│ │ │ │ -A sticky bit must be set on all Debian 12 public directories to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │ -      Is it the case that any world-writable directories are missing the sticky bit?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_users_home_files_permissions_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify all files and directories contained in interactive user home
│ │ │ │ -directory, excluding local initialization files, have a mode of 0750,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo ls -lLR /home/USER
│ │ │ │ -      Is it the case that home directory files or folders have incorrect permissions?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-file_groupownership_audit_configuration_question:question:1">
│ │ │ │        <ocil:question_text>To properly set the group owner of /etc/audit/, run the command:
│ │ │ │  $ sudo chgrp root /etc/audit/
│ │ │ │  
│ │ │ │  To properly set the group owner of /etc/audit/rules.d/, run the command:
│ │ │ │  $ sudo chgrp root /etc/audit/rules.d/
│ │ │ │        Is it the case that ?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_ra_rtr_pref kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.all.accept_ra_rtr_pref
│ │ │ │ -0.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the system-wide shared library files contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 -perm /022 -type f -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system-wide shared library file is found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-partition_for_usr_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that a separate file system/partition has been created for /usr with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep audit /etc/security/faillock.conf
│ │ │ │ +$ mountpoint /usr
│ │ │ │  
│ │ │ │ -audit
│ │ │ │ -      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_selinux_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/selinux,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/selinux
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0755
│ │ │ │ -      Is it the case that /etc/selinux does not have unix mode 0755?</ocil:question_text>
│ │ │ │ +      Is it the case that "/usr is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_allow_only_protocol2_question:question:1">
│ │ │ │ -      <ocil:question_text>To check which SSH protocol version is allowed, check version of openssh-server with following command:
│ │ │ │ -
│ │ │ │ -$ dpkg -s openssh-server | grep Version
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the system commands contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │  
│ │ │ │ -Versions equal to or higher than 7.4 only allow Protocol 2.
│ │ │ │ -If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ -$ sudo grep Protocol /etc/ssh/sshd_config
│ │ │ │ -If configured properly, output should be Protocol 2
│ │ │ │ -      Is it the case that it is commented out or is not set correctly to Protocol 2?</ocil:question_text>
│ │ │ │ +$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin -perm /022 -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system commands are found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_users_home_files_ownership_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify all files and directories in a local interactive user's
│ │ │ │ -home directory have a valid owner, run the following command:
│ │ │ │ -$ sudo ls -lLR /home/USER
│ │ │ │ -      Is it the case that the user ownership is incorrect?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-logind_session_timeout_question:question:1">
│ │ │ │ +      <ocil:question_text>Display the contents of the file /etc/systemd/logind.conf:
│ │ │ │ +cat /etc/systemd/logind.conf
│ │ │ │ +Ensure that there is a section [login] which contains the
│ │ │ │ +configuration StopIdleSessionSec=.
│ │ │ │ +      Is it the case that the option is not configured?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -finit_module system call, run the following command:
│ │ │ │ -$ sudo grep "finit_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-no_empty_passwords_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include spectre_v2=on, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*spectre_v2=on.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that spectre_v2 mitigation is not enforced?</ocil:question_text>
│ │ │ │ +$ grep nullok /etc/pam.d/system-auth /etc/pam.d/password-auth
│ │ │ │ +
│ │ │ │ +If this produces any output, it may be possible to log into accounts
│ │ │ │ +with empty passwords. Remove any instances of the nullok option to
│ │ │ │ +prevent logins with empty passwords.
│ │ │ │ +      Is it the case that NULL passwords can be used?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if arguments that commands can be executed with are restricted, run the following command:
│ │ │ │ -$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+(?:[ \t]+[^,\s]+)+[ \t]*,)*(\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+[ \t]*(?:,|$))' /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that /etc/sudoers file contains user specifications that allow execution of commands with any arguments?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_cron_enabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +cron service:
│ │ │ │ +$ sudo systemctl is-active cron
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_ia32_emulation_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_GCC_PLUGIN_LATENT_ENTROPY /boot/config.*
│ │ │ │ +    $ grep CONFIG_IA32_EMULATION /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -init_module system call, run the following command:
│ │ │ │ -$ sudo grep "init_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_ypserv_removed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the ypserv package is installed:
│ │ │ │ +$ dpkg -l  ypserv
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the audit log directories have a correct mode or less permissive mode.
│ │ │ │ -
│ │ │ │ -Find the location of the audit logs:
│ │ │ │ -
│ │ │ │ -$ sudo grep "^log_file" /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -Find the group that owns audit logs:
│ │ │ │ -
│ │ │ │ -$ sudo grep "^log_group" /etc/audit/auditd.conf
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -Run the following command to check the mode of the system audit logs:
│ │ │ │ -
│ │ │ │ -$ sudo stat -c "%a %n" [audit_log_directory]
│ │ │ │ -
│ │ │ │ -Replace "[audit_log_directory]" to the correct audit log directory path, by default this location is "/var/log/audit".
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_opasswd_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/security/opasswd" with the following command:
│ │ │ │  
│ │ │ │ +$ sudo auditctl -l | grep -E '(/etc/security/opasswd)'
│ │ │ │  
│ │ │ │ -If the log_group is "root" or is not set, the correct permissions are 0700, otherwise they are 0750.
│ │ │ │ -      Is it the case that audit logs have a more permissive mode?</ocil:question_text>
│ │ │ │ +-w /etc/security/opasswd -p wa -k identity
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 takes the appropriate action when an audit processing failure occurs.
│ │ │ │ -
│ │ │ │ -Check that Debian 12 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the openssh-server package is installed: $ dpkg -l  openssh-server
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_COMPAT_VDSO /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-selinux_not_disabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Ensure that Debian 12 does not disable SELinux.
│ │ │ │  
│ │ │ │ -disk_error_action = 
│ │ │ │ +Check if "SELinux" is active and in "enforcing" or "permissive" mode with the following command:
│ │ │ │  
│ │ │ │ -If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ -      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ +$ sudo getenforce
│ │ │ │ +Enforcing
│ │ │ │ +-OR-
│ │ │ │ +Permissive
│ │ │ │ +      Is it the case that SELinux is disabled?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -rename system call, run the following command:
│ │ │ │ -$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_password_pam_retry_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 is configured to limit the "pwquality" retry option to .
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's IgnoreRhosts option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i IgnoreRhosts /etc/ssh/sshd_config
│ │ │ │ +Check for the use of the "pwquality" retry option in the PAM files with the following command:
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +$ grep pam_pwquality /etc/pam.d/common-password
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +
│ │ │ │ +password requisite pam_pwquality.so retry=
│ │ │ │ +      Is it the case that the value of "retry" is set to "0" or greater than "&lt;sub idref="var_password_pam_retry" /&gt;", or is missing?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_x86_vsyscall_emulation_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_KEXEC /boot/config.*
│ │ │ │ +    $ grep CONFIG_X86_VSYSCALL_EMULATION /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_password_set_max_life_root_question:question:1">
│ │ │ │ -      <ocil:question_text>Check whether the maximum time period for root account password is restricted to  days with the following commands:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_gshadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/gshadow,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/gshadow
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +shadow
│ │ │ │ +      Is it the case that /etc/gshadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_crypttab_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/crypttab,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/crypttab
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0600
│ │ │ │ +      Is it the case that /etc/crypttab does not have unix mode 0600?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_redirects kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv6.conf.all.accept_redirects
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -$ sudo awk -F: '$1 == "root" {print $1 " " $5}' /etc/shadow
│ │ │ │ -      Is it the case that any results are returned that are not associated with a system account?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/security/opasswd" with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +ufw service:
│ │ │ │ +$ sudo systemctl is-active ufw
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the service is not enabled?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_passwd_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/passwd,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/passwd
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/passwd does not have a group owner of root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_users_home_files_groupownership_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify all files and directories in interactive user home directory are
│ │ │ │ +group-owned by a group the user is a member of, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo ls -lLR /home/USER
│ │ │ │ +      Is it the case that the group ownership is incorrect?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if !authenticate has not been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -r \!authenticate /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that !authenticate is specified in the sudo config files?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_password_pam_minlen_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 12 enforces a minimum -character password length with the following command:
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep 
│ │ │ │ +$ grep minlen /etc/security/pwquality.conf
│ │ │ │  
│ │ │ │ --w  -p wa -k logins
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +minlen = 
│ │ │ │ +      Is it the case that the command does not return a "minlen" value of "&lt;sub idref="var_password_pam_minlen" /&gt;" or greater, does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_telnet-server_removed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the telnet-server package is installed:
│ │ │ │ -$ dpkg -l  telnet-server
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_etc_ipsec_conf_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/ipsec.conf,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ipsec.conf
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ipsec.conf does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the kernel.panic_on_oops kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │ +      <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ +$ sudo postconf alias_maps
│ │ │ │ +Query the Postfix alias maps for an alias for the root user:
│ │ │ │ +$ sudo postmap -q root hash:/etc/aliases
│ │ │ │ +The output should return an alias.
│ │ │ │ +      Is it the case that the alias is not set?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.conf.default.accept_source_route kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl kernel.panic_on_oops
│ │ │ │ -1.
│ │ │ │ +$ sysctl net.ipv4.conf.default.accept_source_route
│ │ │ │ +0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permission_user_init_files_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that all user initialization files have a mode of 0740 or
│ │ │ │ -less permissive, run the following command:
│ │ │ │ -$ sudo find /home -type f -name '\.*' \( -perm -0002 -o -perm -0020 \)
│ │ │ │ -There should be no output.
│ │ │ │ -      Is it the case that they are not 0740 or more permissive?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the ntp package is installed: $ dpkg -l  ntp
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.conf.all.accept_source_route kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.accept_source_route
│ │ │ │ -0.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_efi_grub2_cfg_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /boot/grub2/grub.cfg,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /boot/grub2/grub.cfg
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /boot/grub2/grub.cfg does not have an owner of root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_rsh-server_removed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the rsh-server package is installed:
│ │ │ │ +$ dpkg -l  rsh-server
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-aide_scan_notification_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine that periodic AIDE execution has been scheduled, run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +$ grep aide /etc/crontab
│ │ │ │ +The output should return something similar to the following:
│ │ │ │ +05 4 * * * root /usr/sbin/aide --check | /bin/mail -s "$(hostname) - AIDE Integrity Check" root@localhost
│ │ │ │ +The email address that the notifications are sent to can be changed by overriding
│ │ │ │ +.
│ │ │ │ +      Is it the case that AIDE has not been configured or has not been configured to notify personnel of scan details?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "reboot" command with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │ +      <ocil:question_text>If IPv6 is disabled, this is not applicable.
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep reboot
│ │ │ │ +Inspect the file /etc/sysconfig/ip6tables to determine
│ │ │ │ +the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ +$ sudo grep ":INPUT" /etc/sysconfig/ip6tables
│ │ │ │ +      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupownership_system_commands_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the system commands contained in the following directories are group-owned by "root", or a required system account, with the following command:
│ │ │ │  
│ │ │ │ --a always,exit -F path=/reboot -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-reboot
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/local/bin /usr/local/sbin ! -group root -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system commands are returned and is not group-owned by a required system account?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the umask setting is configured correctly in the /etc/profile file
│ │ │ │ +or scripts within /etc/profile.d directory with the following command:
│ │ │ │ +$ grep "umask" /etc/profile*
│ │ │ │ +umask 
│ │ │ │ +      Is it the case that the value for the "umask" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;",
│ │ │ │ +or the "umask" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_0_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure ClientAliveInterval is set correctly, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep ClientAliveCountMax /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +ClientAliveCountMax 0
│ │ │ │ +
│ │ │ │ +In this case, the SSH timeout occurs precisely when
│ │ │ │ +the ClientAliveInterval is set.
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command and verify that time sources are only configured with server directive:
│ │ │ │ +# grep -E "^(server|pool)" /etc/chrony/chrony.conf
│ │ │ │ +A line with the appropriate server should be returned, any line returned starting with pool is a finding.
│ │ │ │ +      Is it the case that an authoritative remote time server is not configured or configured with pool directive?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_ntp_enabled_question:question:1">
│ │ │ │        <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -syslog-ng service:
│ │ │ │ -$ sudo systemctl is-active syslog-ng
│ │ │ │ +ntp service:
│ │ │ │ +$ sudo systemctl is-active ntp
│ │ │ │  If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the "syslog-ng" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_talk_removed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the talk package is installed:
│ │ │ │ -$ dpkg -l  talk
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/group,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/group
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/group does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_drop_gratuitous_arp_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.conf.all.drop_gratuitous_arp kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_ra_rtr_pref kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.drop_gratuitous_arp
│ │ │ │ -1.
│ │ │ │ +$ sysctl net.ipv6.conf.default.accept_ra_rtr_pref
│ │ │ │ +0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_users_home_files_groupownership_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify all files and directories in interactive user home directory are
│ │ │ │ -group-owned by a group the user is a member of, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo ls -lLR /home/USER
│ │ │ │ -      Is it the case that the group ownership is incorrect?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_seccomp_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_structleak_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECCOMP /boot/config.*
│ │ │ │ +    $ grep CONFIG_GCC_PLUGIN_STRUCTLEAK /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │ -      <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the audit system is configured to take an appropriate action when the internal event queue is full:
│ │ │ │ +$ sudo grep -i overflow_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -If the system is configured to prevent the usage of the ipv6 on
│ │ │ │ -network interfaces, it will contain a line of the form:
│ │ │ │ -net.ipv6.conf.all.disable_ipv6 = 1
│ │ │ │ -Such lines may be inside any file in the /etc/sysctl.d directory.
│ │ │ │ -This permits insertion of the IPv6 kernel module (which other parts of the
│ │ │ │ -system expect to be present), but otherwise keeps all network interfaces
│ │ │ │ -from using IPv6. Run the following command to search for such lines in all
│ │ │ │ -files in /etc/sysctl.d:
│ │ │ │ -$ grep -r ipv6 /etc/sysctl.d
│ │ │ │ -      Is it the case that the ipv6 support is disabled on all network interfaces?</ocil:question_text>
│ │ │ │ +The output should contain overflow_action = syslog
│ │ │ │ +
│ │ │ │ +If the value of the "overflow_action" option is not set to syslog,
│ │ │ │ +single, halt or the line is commented out, ask the System Administrator
│ │ │ │ +to indicate how the audit logs are off-loaded to a different system or media.
│ │ │ │ +      Is it the case that auditd overflow action is not set correctly?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/ssh/*.pub,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/ssh/*.pub
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ssh/*.pub does not have a group owner of root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/tallylog" with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo auditctl -l | grep /var/log/tallylog
│ │ │ │ +
│ │ │ │ +-w /var/log/tallylog -p wa -k logins
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the system-wide shared library directories are owned by "root" with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.conf.default.secure_redirects kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.default.secure_redirects
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -$ sudo find /lib /lib64 /usr/lib /usr/lib64 ! -user root -type d -exec stat -c "%n %U" '{}' \;
│ │ │ │ -      Is it the case that any system-wide shared library directory is not owned by root?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-partition_for_boot_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that a separate file system/partition has been created for /boot with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "init" command with the following command:
│ │ │ │  
│ │ │ │ -$ mountpoint /boot
│ │ │ │ +$ sudo auditctl -l | grep init
│ │ │ │  
│ │ │ │ -      Is it the case that "/boot is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +-a always,exit -F path=/init -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-init
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_limit_user_access_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure sshd limits the users who can log in, run the following:
│ │ │ │ +pre&gt;$ sudo grep -rPi '^\h*(allow|deny)(users|groups)\h+\H+(\h+.*)?$' /etc/ssh/sshd_config*
│ │ │ │ +If properly configured, the output should be a list of usernames and/or
│ │ │ │ +groups allowed to log in to this system.
│ │ │ │ +      Is it the case that sshd does not limit the users who can log in?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-sshd_set_loglevel_info_question:question:1">
│ │ │ │        <ocil:question_text>To determine how the SSH daemon's LogLevel option is set, run the following command:
│ │ │ │  
│ │ │ │  $ sudo grep -i LogLevel /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │  If a line indicating INFO is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_systemmap_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /boot/System.map*,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /boot/System.map*
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /boot/System.map* does not have a group owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the aide package is installed: $ dpkg -l  aide
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_etc_ipsec_secrets_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/ipsec.secrets,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-directory_owner_etc_nftables_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/nftables,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/ipsec.secrets
│ │ │ │ +$ ls -lL /etc/nftables
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/ipsec.secrets does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/nftables does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-selinux_state_question:question:1">
│ │ │ │ -      <ocil:question_text>Ensure that Debian 12 verifies correct operation of security functions.
│ │ │ │ -
│ │ │ │ -Check if "SELinux" is active and in "" mode with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo getenforce
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_unauthorized_world_writable_question:question:1">
│ │ │ │ +      <ocil:question_text>To find world-writable files, run the following command:
│ │ │ │ +$ sudo find / -xdev -type f -perm -002
│ │ │ │ +      Is it the case that there is output?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_ra_pinfo kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv6.conf.default.accept_ra_pinfo
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -      Is it the case that SELINUX is not set to enforcing?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_grub2_cfg_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /boot/grub/grub.cfg,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /boot/grub/grub.cfg
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /boot/grub/grub.cfg does not have a group owner of root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_ownership_binary_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the system commands contained in the following directories are owned by "root" with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin ! -user root -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system commands are found to not be owned by root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_crypttab_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/crypttab,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_etc_crypttab_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/crypttab,
│ │ │ │  run the command:
│ │ │ │  $ ls -lL /etc/crypttab
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/crypttab does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/crypttab does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /var/log/messages,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/ssh/*_key,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /var/log/messages
│ │ │ │ +$ ls -lL /etc/ssh/*_key
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /var/log/messages does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/ssh/*_key does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -renameat system call, run the following command:
│ │ │ │ -$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_gssapi_auth_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's GSSAPIAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +$ sudo grep -i GSSAPIAuthentication /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-mount_option_var_log_nosuid_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the nosuid option is configured for the /var/log mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/var/log\s'
│ │ │ │ -    . . . /var/log . . . nosuid . . .
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the fs.suid_dumpable kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl fs.suid_dumpable
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -      Is it the case that the "/var/log" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the system-wide shared library files are owned by "root" with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_sshd_config_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/ssh/sshd_config,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ssh/sshd_config does not have a group owner of root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │ +      <ocil:question_text>To properly set the owner of /var/log/audit, run the command:
│ │ │ │ +$ sudo chown root /var/log/audit 
│ │ │ │  
│ │ │ │ -$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 ! -user root -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system wide shared library file is not owned by root?</ocil:question_text>
│ │ │ │ +To properly set the owner of /var/log/audit/*, run the command:
│ │ │ │ +$ sudo chown root /var/log/audit/* 
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-account_use_centralized_automated_auth_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that the system is integrated with a centralized authentication mechanism
│ │ │ │ -such as as Active Directory, Kerberos, Directory Server, etc. that has
│ │ │ │ -automated account mechanisms in place.
│ │ │ │ -      Is it the case that the system is not using a centralized authentication mechanism, or it is not automated?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-harden_ssh_client_crypto_policy_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify if the OpenSSH Client uses defined Crypto Policy, run:
│ │ │ │ +$ cat /etc/ssh/ssh_config.d/02-ospp.conf
│ │ │ │ +and verify that the line matches
│ │ │ │ +Match final all
│ │ │ │ +RekeyLimit 512M 1h
│ │ │ │ +GSSAPIAuthentication no
│ │ │ │ +Ciphers aes256-ctr,aes256-cbc,aes128-ctr,aes128-cbc
│ │ │ │ +PubkeyAcceptedKeyTypes ssh-rsa,ecdsa-sha2-nistp384,ecdsa-sha2-nistp256
│ │ │ │ +MACs hmac-sha2-512,hmac-sha2-256
│ │ │ │ +KexAlgorithms ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group14-sha1
│ │ │ │ +      Is it the case that Crypto Policy for OpenSSH Client is not configured according to CC requirements?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PAGE_POISONING /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEVKMEM /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_RETPOLINE /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_group_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/group,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /var/log/syslog,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/group
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/group does not have a group owner of root?</ocil:question_text>
│ │ │ │ +$ ls -lL /var/log/syslog
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +syslog
│ │ │ │ +      Is it the case that /var/log/syslog does not have an owner of syslog?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_binary_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the system commands contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-mount_option_var_nosuid_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the nosuid option is configured for the /var mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/var\s'
│ │ │ │ +    . . . /var . . . nosuid . . .
│ │ │ │  
│ │ │ │ -$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/local/bin /usr/local/sbin -perm /022 -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system commands are found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/var" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_user_cfg_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /boot/grub/user.cfg,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_modify_ldt_syscall_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_MODIFY_LDT_SYSCALL /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /var/log/syslog,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /boot/grub/user.cfg
│ │ │ │ +$ ls -l /var/log/syslog
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /var/log/syslog does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-directory_owner_etc_iptables_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/iptables,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/iptables
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /boot/grub/user.cfg does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/iptables does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_dhcp_removed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the dhcp package is installed:
│ │ │ │ -$ dpkg -l  dhcp
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-aide_verify_acls_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine that AIDE is verifying ACLs, run the following command:
│ │ │ │ +$ grep acl /etc/aide/aide.conf
│ │ │ │ +Verify that the acl option is added to the correct ruleset.
│ │ │ │ +      Is it the case that the acl option is missing or not added to the correct ruleset?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_ra_defrtr kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_tftp_removed_question:question:1">
│ │ │ │ +      <ocil:question_text>The tftp package can be removed with the following command:  $ apt-get remove tftp
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_redirects kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.default.accept_ra_defrtr
│ │ │ │ +$ sysctl net.ipv6.conf.default.accept_redirects
│ │ │ │  0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_compat_brk_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify users are provided with feedback on when account accesses last occurred with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep pam_lastlog /etc/pam.d/postlogin
│ │ │ │ +
│ │ │ │ +session [default=1] pam_lastlog.so showfailed
│ │ │ │ +      Is it the case that "pam_lastlog.so" is not properly configured in "/etc/pam.d/postlogin" file?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_security_writable_hooks_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_COMPAT_BRK /boot/config.*
│ │ │ │ +    $ grep CONFIG_SECURITY_WRITABLE_HOOKS /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_devkmem_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_panic_on_oops_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the kernel.panic_on_oops kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.panic_on_oops
│ │ │ │ +1.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_sudoers_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/sudoers,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/sudoers
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/sudoers does not have a group owner of root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if logfile has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults\s*\blogfile\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that logfile is not enabled in sudo?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEVKMEM /boot/config.*
│ │ │ │ +    $ grep CONFIG_SYN_COOKIES /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -init_module system call, run the following command:
│ │ │ │ -$ sudo grep "init_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -finit_module system call, run the following command:
│ │ │ │ -$ sudo grep "finit_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -delete_module system call, run the following command:
│ │ │ │ -$ sudo grep "delete_module" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-partition_for_usr_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that a separate file system/partition has been created for /usr with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-partition_for_home_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that a separate file system/partition has been created for /home with the following command:
│ │ │ │  
│ │ │ │ -$ mountpoint /usr
│ │ │ │ +$ mountpoint /home
│ │ │ │  
│ │ │ │ -      Is it the case that "/usr is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +      Is it the case that "/home is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_modify_ldt_syscall_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_stackprotector_strong_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODIFY_LDT_SYSCALL /boot/config.*
│ │ │ │ +    $ grep CONFIG_STACKPROTECTOR_STRONG /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_proc_kcore_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_PROC_KCORE /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_ungroupowned_question:question:1">
│ │ │ │ -      <ocil:question_text>The following command will locate the mount points related to local devices:
│ │ │ │ -$ findmnt -n -l -k -it $(awk '/nodev/ { print $2 }' /proc/filesystems | paste -sd,)
│ │ │ │ -
│ │ │ │ -The following command will show files which do not belong to a valid group:
│ │ │ │ -$ sudo find MOUNTPOINT -xdev -nogroup 2&gt;/dev/null
│ │ │ │ -
│ │ │ │ -Replace MOUNTPOINT by the mount points listed by the fist command.
│ │ │ │ -
│ │ │ │ -No files without a valid group should be located.
│ │ │ │ -      Is it the case that there is output?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_rsyslog_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the rsyslog package is installed: $ dpkg -l  rsyslog
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_password_all_shadowed_question:question:1">
│ │ │ │ -      <ocil:question_text>To check that no password hashes are stored in
│ │ │ │ -/etc/passwd, run the following command:
│ │ │ │ -awk '!/\S:x|\*/ {print}' /etc/passwd
│ │ │ │ -If it produces any output, then a password hash is
│ │ │ │ -stored in /etc/passwd.
│ │ │ │ -      Is it the case that any stored hashes are found in /etc/passwd?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_shadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/shadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/shadow-
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -shadow
│ │ │ │ -      Is it the case that /etc/shadow- does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_ip_local_port_range_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.ip_local_port_range kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_source_route_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_source_route kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.ip_local_port_range
│ │ │ │ -32768 65535.
│ │ │ │ +$ sysctl net.ipv6.conf.all.accept_source_route
│ │ │ │ +0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_enable_iommu_force_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include iommu=force, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*iommu=force.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that I/OMMU is not activated?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-aide_periodic_cron_checking_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the operating system routinely checks the baseline configuration for unauthorized changes.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_minimum_age_login_defs_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 enforces 24 hours/one day as the minimum password lifetime for new user accounts.
│ │ │ │  
│ │ │ │ -To determine that periodic AIDE execution has been scheduled, run the following command:
│ │ │ │ -$ grep aide /etc/crontab
│ │ │ │ -The output should return something similar to the following:
│ │ │ │ -05 4 * * * root /usr/sbin/aide --check
│ │ │ │ +Check for the value of "PASS_MIN_DAYS" in "/etc/login.defs" with the following command:
│ │ │ │  
│ │ │ │ -NOTE: The usage of special cron times, such as @daily or @weekly, is acceptable.
│ │ │ │ -      Is it the case that AIDE is not configured to scan periodically?</ocil:question_text>
│ │ │ │ +$ grep -i pass_min_days /etc/login.defs
│ │ │ │ +
│ │ │ │ +PASS_MIN_DAYS 
│ │ │ │ +      Is it the case that the "PASS_MIN_DAYS" parameter value is not "&lt;sub idref="var_accounts_minimum_age_login_defs" /&gt;" or greater, or is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_syslog_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /var/log/syslog,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_ipsec_conf_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/ipsec.conf,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /var/log/syslog
│ │ │ │ +$ ls -l /etc/ipsec.conf
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /var/log/syslog does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +0644
│ │ │ │ +      Is it the case that /etc/ipsec.conf does not have unix mode 0644?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_mds_argument_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include mds=, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*mds=.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that MDS mitigations are not configured appropriately?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that McAfee HIPS is installed, run the following command(s):
│ │ │ │ +$ rpm -q MFEhiplsm
│ │ │ │ +      Is it the case that the HBSS HIPS module is not installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_pubkey_auth_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's PermitEmptyPasswords option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i PermitEmptyPasswords /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │  If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -auditd service:
│ │ │ │ -$ sudo systemctl is-active auditd
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the auditd service is not running?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-mount_option_tmp_noexec_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the noexec option is configured for the /tmp mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/tmp\s'
│ │ │ │ -    . . . /tmp . . . noexec . . .
│ │ │ │ -
│ │ │ │ -      Is it the case that the "/tmp" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_etc_chrony_keys_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/chrony.keys,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/chrony.keys
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/chrony.keys does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-security_patches_up_to_date_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 security patches and updates are installed and up to date.
│ │ │ │ -Updates are required to be applied with a frequency determined by organizational policy.
│ │ │ │ -
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │  
│ │ │ │ +$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -Typical update frequency may be overridden by Information Assurance Vulnerability Alert (IAVA) notifications from CYBERCOM.
│ │ │ │ -      Is it the case that Debian 12 is in non-compliance with the organizational patching policy?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include mce=0, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*mce=0.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that MCE tolerance is not set to zero?</ocil:question_text>
│ │ │ │ +If a line indicating prohibit-password is returned, then the required value is set.
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include slab_nomerge=yes, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*slab_nomerge=yes.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that merging of slabs with similar size is enabled?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +umount2 system call, run the following command:
│ │ │ │ +$ sudo grep "umount2" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that only the "root" account has a UID "0" assignment with the
│ │ │ │ -following command:
│ │ │ │ -$ awk -F: '$3 == 0 {print $1}' /etc/passwd
│ │ │ │ -root
│ │ │ │ -      Is it the case that any accounts other than "root" have a UID of "0"?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_source_route_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.conf.all.accept_source_route kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.accept_source_route
│ │ │ │ +0.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-dir_permissions_binary_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ -/bin
│ │ │ │ -/sbin
│ │ │ │ -/usr/bin
│ │ │ │ -/usr/sbin
│ │ │ │ -/usr/local/bin
│ │ │ │ -/usr/local/sbin
│ │ │ │ -To find system executables directories that are group-writable or
│ │ │ │ -world-writable, run the following command for each directory DIR
│ │ │ │ -which contains system executables:
│ │ │ │ -$ sudo find -L DIR -perm /022 -type d
│ │ │ │ -      Is it the case that any of these files are group-writable or world-writable?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_hardened_usercopy_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_HARDENED_USERCOPY /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_var_log_syslog_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /var/log/syslog,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /var/log/syslog
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -syslog
│ │ │ │ -      Is it the case that /var/log/syslog does not have an owner of syslog?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_sysrq_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the kernel.sysrq kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.sysrq
│ │ │ │ +0.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-no_files_unowned_by_user_question:question:1">
│ │ │ │        <ocil:question_text>The following command will locate the mount points related to local devices:
│ │ │ │  $ findmnt -n -l -k -it $(awk '/nodev/ { print $2 }' /proc/filesystems | paste -sd,)
│ │ │ │  
│ │ │ │  The following command will show files which do not belong to a valid user:
│ │ │ │  $ sudo find MOUNTPOINT -xdev -nouser 2&gt;/dev/null
│ │ │ │  
│ │ │ │  Replace MOUNTPOINT by the mount points listed by the fist command.
│ │ │ │  
│ │ │ │  No files without a valid user should be located.
│ │ │ │        Is it the case that files exist that are not owned by a valid user?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_randstruct_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-rsyslog_files_groupownership_question:question:1">
│ │ │ │ +      <ocil:question_text>The group-owner of all log files written by rsyslog should be
│ │ │ │ +adm.
│ │ │ │ +These log files are determined by the second part of each Rule line in
│ │ │ │ +/etc/rsyslog.conf and typically all appear in /var/log.
│ │ │ │ +To see the group-owner of a given log file, run the following command:
│ │ │ │ +$ ls -l LOGFILE
│ │ │ │ +      Is it the case that the group-owner is not correct?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if negation is used to define commands users are allowed to execute using sudo, run the following command:
│ │ │ │ +$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,!\n][^,\n]+,)*\s*(?:\([^\)]+\))?\s*(?!\s*\()(!\S+).*' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that /etc/sudoers file contains rules that define the set of allowed commands using negation?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_vsyscall_none_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_GCC_PLUGIN_RANDSTRUCT /boot/config.*
│ │ │ │ +    $ grep CONFIG_LEGACY_VSYSCALL_NONE /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │ -      Is it the case that the kernel was built with the required value?</ocil:question_text>
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_systemmap_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /boot/System.map*,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the kernel.perf_event_max_sample_rate kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.perf_event_max_sample_rate
│ │ │ │ +1.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_chmod_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +chmod system call, run the following command:
│ │ │ │ +$ sudo grep "chmod" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating /etc/issue is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 disables core dump backtraces by issuing the following command:
│ │ │ │ +
│ │ │ │ +$ grep -i process /etc/systemd/coredump.conf
│ │ │ │ +
│ │ │ │ +ProcessSizeMax=0
│ │ │ │ +      Is it the case that the "ProcessSizeMax" item is missing, commented out, or the value is anything other than "0" and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_var_log_messages_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /var/log/messages,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /boot/System.map*
│ │ │ │ +$ ls -lL /var/log/messages
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /boot/System.map* does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /var/log/messages does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-no_all_squash_exports_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify all squashing has been disabled, run the following command:
│ │ │ │ +$ grep all_squash /etc/exports
│ │ │ │ +      Is it the case that there is output?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_shadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/shadow-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/shadow-
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/shadow- does not have an owner of root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.conf.all.route_localnet kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.route_localnet
│ │ │ │ +0.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the creat system call.
│ │ │ │ +
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -r creat /etc/audit/rules.d
│ │ │ │ +
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep creat /etc/audit/audit.rules
│ │ │ │ +
│ │ │ │ +The output should be the following:
│ │ │ │ +
│ │ │ │ +-a always,exit -F arch=b32 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_add_env_reset_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if env_reset has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults.*\benv_reset\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that env_reset is not enabled in sudo?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_delete_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fremovexattr system call, run the following command:
│ │ │ │ -$ sudo grep "fremovexattr" /etc/audit/audit.*
│ │ │ │ +delete_module system call, run the following command:
│ │ │ │ +$ sudo grep "delete_module" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_add_ignore_dot_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if ignore_dot has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults.*\bignore_dot\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that ignore_dot is not enabled in sudo?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │ +      <ocil:question_text>The existence of the file /etc/hosts.equiv or a file named
│ │ │ │ +.rhosts inside a user home directory indicates the presence
│ │ │ │ +of an Rsh trust relationship.
│ │ │ │ +      Is it the case that these files exist?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_sched_stack_end_check_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_page_poison_argument_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include page_poison=1, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*page_poison=1.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that page allocator poisoning is not enabled?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_pti_argument_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include pti=on, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*pti=on.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that Kernel page-table isolation is not enabled?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SCHED_STACK_END_CHECK /boot/config.*
│ │ │ │ +    $ grep CONFIG_ARM64_SW_TTBR0_PAN /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_redirects_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_redirects kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.all.accept_redirects
│ │ │ │ -0.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_set_loglevel_verbose_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's LogLevel option is set, run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +$ sudo grep -i LogLevel /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating VERBOSE is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/group,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_ipsec_secrets_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/ipsec.secrets,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/group
│ │ │ │ +$ ls -l /etc/ipsec.secrets
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/group does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +0644
│ │ │ │ +      Is it the case that /etc/ipsec.secrets does not have unix mode 0644?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_shared_media_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.conf.all.shared_media kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.shared_media
│ │ │ │ -0.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include rng_core.default_quality=, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*rng_core.default_quality=.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that trust on hardware random number generator is not configured appropriately?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_pinfo_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_ra_pinfo kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.default.accept_ra_pinfo
│ │ │ │ -0.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_rsh_removed_question:question:1">
│ │ │ │ +      <ocil:question_text>The rsh package can be removed with the following command:  $ apt-get remove rsh
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/lastlog" with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +$ sudo auditctl -l | grep /var/log/lastlog
│ │ │ │ +
│ │ │ │ +-w /var/log/lastlog -p wa -k logins
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_shadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/shadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/shadow-
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /etc/shadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sebool_polyinstantiation_enabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to get the current configured value for polyinstantiation_enabled
│ │ │ │ +SELinux boolean:
│ │ │ │ +$ getsebool polyinstantiation_enabled
│ │ │ │ +The expected cofiguration is .
│ │ │ │ +"on" means true, and "off" means false
│ │ │ │ +      Is it the case that polyinstantiation_enabled is not set as expected?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_stackprotector_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_STACKPROTECTOR /boot/config.*
│ │ │ │ +    $ grep CONFIG_RANDOMIZE_BASE /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/gshadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/gshadow-
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/gshadow- does not have an owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-partition_for_var_tmp_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that a separate file system/partition has been created for /var/tmp with the following command:
│ │ │ │ -
│ │ │ │ -$ mountpoint /var/tmp
│ │ │ │ -
│ │ │ │ -      Is it the case that "/var/tmp is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_audispd_syslog_plugin_activated_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify the audispd's syslog plugin is active, run the following command:
│ │ │ │ +$ sudo grep active /etc/audit/plugins.d/syslog.conf
│ │ │ │ +If the plugin is active, the output will show yes.
│ │ │ │ +      Is it the case that it is not activated?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.conf.default.send_redirects kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_autoconf_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv6.conf.all.autoconf kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.default.send_redirects
│ │ │ │ +$ sysctl net.ipv6.conf.all.autoconf
│ │ │ │  0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_password_pam_ocredit_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 12 enforces password complexity by requiring that at least one special character with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep ocredit /etc/security/pwquality.conf /etc/security/pwquality.conf.d/*.conf
│ │ │ │ -
│ │ │ │ -ocredit = 
│ │ │ │ -      Is it the case that value of "ocredit" is a positive number or is commented out?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_library_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the system-wide shared library files contained in the following directories have mode "755" or less permissive with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_defrtr_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_ra_defrtr kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv6.conf.default.accept_ra_defrtr
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 -perm /022 -type f -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system-wide shared library file is found to be group-writable or world-writable?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_syn_cookies_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SYN_COOKIES /boot/config.*
│ │ │ │ +    $ grep CONFIG_MODULE_SIG /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/passwd,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the password warning age, run the command:
│ │ │ │ +$ grep PASS_WARN_AGE /etc/login.defs
│ │ │ │ +The DoD requirement is 7.
│ │ │ │ +      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_disk_full_action_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 takes the appropriate action when the audit storage volume is full.
│ │ │ │ +
│ │ │ │ +Check that Debian 12 takes the appropriate action when the audit storage volume is full with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep disk_full_action /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +disk_full_action = 
│ │ │ │ +
│ │ │ │ +If the value of the "disk_full_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full.
│ │ │ │ +      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-dir_perms_world_writable_root_owned_question:question:1">
│ │ │ │ +      <ocil:question_text>The following command will discover and print world-writable directories that
│ │ │ │ +are not owned by root. Run it once for each local partition PART:
│ │ │ │ +$ sudo find PART -xdev -type d -perm -0002 -uid +0 -print
│ │ │ │ +      Is it the case that there are world-writable directories not owned by root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_etc_gshadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/gshadow,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/passwd
│ │ │ │ +$ ls -lL /etc/gshadow
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/passwd does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/gshadow does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/ssh/*.pub,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/shadow,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/ssh/*.pub
│ │ │ │ +$ ls -l /etc/shadow
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/ssh/*.pub does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /etc/shadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_interval_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure the failed password attempt policy is configured correctly, run the following command:
│ │ │ │ -
│ │ │ │ -$ grep fail_interval /etc/security/faillock.conf
│ │ │ │ -The output should show fail_interval = &lt;interval-in-seconds&gt; where interval-in-seconds is  or greater.
│ │ │ │ -      Is it the case that the "fail_interval" option is not set to "&lt;sub idref="var_accounts_passwords_pam_faillock_fail_interval" /&gt;"
│ │ │ │ -or less (but not "0"), the line is commented out, or the line is missing?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_pam_pwquality_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the libpam-pwquality package is installed:
│ │ │ │ +$ dpkg -l  libpam-pwquality
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_efi_user_cfg_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /boot/grub2/user.cfg,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /boot/grub2/user.cfg
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /boot/grub2/user.cfg does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_ptys_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_LEGACY_PTYS /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-mount_option_var_tmp_nosuid_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the nosuid option is configured for the /var/tmp mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/var/tmp\s'
│ │ │ │ -    . . . /var/tmp . . . nosuid . . .
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the operating system encrypts audit records off-loaded onto a different system
│ │ │ │ +or media from the system being audited with the following commands:
│ │ │ │  
│ │ │ │ -      Is it the case that the "/var/tmp" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ +$ sudo grep -i '$DefaultNetstreamDriver' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ +
│ │ │ │ +The output should be:
│ │ │ │ +
│ │ │ │ +/etc/rsyslog.conf:$DefaultNetstreamDriver gtls
│ │ │ │ +      Is it the case that rsyslogd DefaultNetstreamDriver not set to gtls?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_shadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/shadow-,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_password_pam_unix_remember_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify the password reuse setting is compliant, run the following command:
│ │ │ │ +$ grep remember /etc/pam.d/common-password
│ │ │ │ +The output should show the following at the end of the line:
│ │ │ │ +remember=
│ │ │ │ +
│ │ │ │ +
│ │ │ │ +In newer systems, the pam_pwhistory PAM module options can also be set in
│ │ │ │ +"/etc/security/pwhistory.conf" file. Use the following command to verify:
│ │ │ │ +$ grep remember /etc/security/pwhistory.conf
│ │ │ │ +remember = 
│ │ │ │ +
│ │ │ │ +The pam_pwhistory remember option must be configured only in one file.
│ │ │ │ +      Is it the case that the value of remember is not equal to or greater than the expected value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_systemmap_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /boot/System.map*,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/shadow-
│ │ │ │ +$ ls -lL /boot/System.map*
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/shadow- does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /boot/System.map* does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-apparmor_configured_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │        <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -apparmor service:
│ │ │ │ -$ sudo systemctl is-active apparmor
│ │ │ │ +chronyd service:
│ │ │ │ +$ sudo systemctl is-active chronyd
│ │ │ │  If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that it is not?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/passwd-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/passwd-
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/passwd- does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that the chronyd process is not running?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the kernel.randomize_va_space kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.conf.all.secure_redirects kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl kernel.randomize_va_space
│ │ │ │ -2.
│ │ │ │ +$ sysctl net.ipv4.conf.all.secure_redirects
│ │ │ │ +0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_user_cfg_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /boot/grub/user.cfg,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /boot/grub/user.cfg
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /boot/grub/user.cfg does not have a group owner of root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_renameat_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +renameat system call, run the following command:
│ │ │ │ +$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_ra_defrtr kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +fchownat system call, run the following command:
│ │ │ │ +$ sudo grep "fchownat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_auditd_enabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +auditd service:
│ │ │ │ +$ sudo systemctl is-active auditd
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the auditd service is not running?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_vm_mmap_min_addr_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the vm.mmap_min_addr kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.all.accept_ra_defrtr
│ │ │ │ -0.
│ │ │ │ +$ sysctl vm.mmap_min_addr
│ │ │ │ +65536.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_pam_pwquality_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the libpam-pwquality package is installed:
│ │ │ │ -$ dpkg -l  libpam-pwquality
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_shells_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/shells,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/shells
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0644
│ │ │ │ +      Is it the case that /etc/shells does not have unix mode 0644?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_selinux_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/selinux,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/selinux
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0755
│ │ │ │ +      Is it the case that /etc/selinux does not have unix mode 0755?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_fs_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_DEBUG_FS /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_password_all_shadowed_question:question:1">
│ │ │ │ +      <ocil:question_text>To check that no password hashes are stored in
│ │ │ │ +/etc/passwd, run the following command:
│ │ │ │ +awk '!/\S:x|\*/ {print}' /etc/passwd
│ │ │ │ +If it produces any output, then a password hash is
│ │ │ │ +stored in /etc/passwd.
│ │ │ │ +      Is it the case that any stored hashes are found in /etc/passwd?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_FORCE /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_by_handle_at_question:question:1">
│ │ │ │        <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the open_by_handle_at system call.
│ │ │ │  
│ │ │ │  If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │  $ sudo grep -r open_by_handle_at /etc/audit/rules.d
│ │ │ │ @@ -9654,2338 +9703,2441 @@
│ │ │ │  
│ │ │ │  -a always,exit -F arch=b32 -S open_by_handle_at -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │  -a always,exit -F arch=b64 -S open_by_handle_at -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │  -a always,exit -F arch=b32 -S open_by_handle_at -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │  -a always,exit -F arch=b64 -S open_by_handle_at -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │        Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/group-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/group-
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/group- does not have a group owner of root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_binfmt_misc_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_BINFMT_MISC /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/shadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/shadow
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/shadow does not have an owner of root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_wx_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_DEBUG_WX /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's IgnoreUserKnownHosts option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +rmdir system call, run the following command:
│ │ │ │ +$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -$ sudo grep -i IgnoreUserKnownHosts /etc/ssh/sshd_config
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_cron_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the cron package is installed:
│ │ │ │ +$ dpkg -l  cron
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the system for the existence of any .netrc files,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo find /home -xdev -name .netrc
│ │ │ │ +      Is it the case that any .netrc files exist?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 12 is configured to take action in the event of allocated audit record storage volume reaches 95 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +$ sudo grep admin_space_left_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +admin_space_left_action = single
│ │ │ │ +
│ │ │ │ +If the value of the "admin_space_left_action" is not set to "single", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ +      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the status and frequency of logrotate, run the following command:
│ │ │ │ -$ sudo grep logrotate /var/log/cron*
│ │ │ │ -If logrotate is configured properly, output should include references to
│ │ │ │ -/etc/cron.daily.
│ │ │ │ -      Is it the case that logrotate is not configured to run daily?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_num_logs_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ +determine how many logs the system is configured to retain after rotation:
│ │ │ │ +$ sudo grep num_logs /etc/audit/auditd.conf
│ │ │ │ +num_logs = 5
│ │ │ │ +      Is it the case that the system log file retention has not been properly configured?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.conf.default.rp_filter kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_users_home_files_permissions_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify all files and directories contained in interactive user home
│ │ │ │ +directory, excluding local initialization files, have a mode of 0750,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo ls -lLR /home/USER
│ │ │ │ +      Is it the case that home directory files or folders have incorrect permissions?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_list_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_DEBUG_LIST /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_write_logs_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that Audit Daemon is configured to write logs to the disk, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep write_logs /etc/audit/auditd.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +write_logs = yes
│ │ │ │ +      Is it the case that write_logs isn't set to yes?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the gnutls-utils package is installed: $ dpkg -l  gnutls-utils
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.conf.default.accept_redirects kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.default.rp_filter
│ │ │ │ -1.
│ │ │ │ +$ sysctl net.ipv4.conf.default.accept_redirects
│ │ │ │ +0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect the file /etc/sysconfig/iptables to determine
│ │ │ │ -the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ -$ sudo grep ":INPUT" /etc/sysconfig/iptables
│ │ │ │ -      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/group-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/group-
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/group- does not have an owner of root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_insmod_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that auditing of privileged command use is configured, run the
│ │ │ │ +following command:
│ │ │ │ +
│ │ │ │ +   sudo auditctl -l | grep -w '/sbin/insmod'
│ │ │ │ +
│ │ │ │ +If the system is configured to audit the execution of the module management program "insmod",
│ │ │ │ +the command will return a line.
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_set_idle_timeout_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to see what the timeout interval is:
│ │ │ │ -$ sudo grep ClientAliveInterval /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -ClientAliveInterval 
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_sudo_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "sudo" command with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo auditctl -l | grep sudo
│ │ │ │ +
│ │ │ │ +-a always,exit -F path=/usr/bin/sudo -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-sudo
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_shadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/shadow,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_user_cfg_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /boot/grub/user.cfg,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/shadow
│ │ │ │ +$ ls -l /boot/grub/user.cfg
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /etc/shadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sebool_polyinstantiation_enabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to get the current configured value for polyinstantiation_enabled
│ │ │ │ -SELinux boolean:
│ │ │ │ -$ getsebool polyinstantiation_enabled
│ │ │ │ -The expected cofiguration is .
│ │ │ │ -"on" means true, and "off" means false
│ │ │ │ -      Is it the case that polyinstantiation_enabled is not set as expected?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-mount_option_tmp_nosuid_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the nosuid option is configured for the /tmp mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/tmp\s'
│ │ │ │ -    . . . /tmp . . . nosuid . . .
│ │ │ │ -
│ │ │ │ -      Is it the case that the "/tmp" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /boot/grub/user.cfg does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -removexattr system call, run the following command:
│ │ │ │ -$ sudo grep "removexattr" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_send_redirects_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.conf.all.send_redirects kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.send_redirects
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_slab_freelist_hardened_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SLAB_FREELIST_HARDENED /boot/config.*
│ │ │ │ +    $ grep CONFIG_HIBERNATION /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_set_max_sessions_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to see what the max sessions number is:
│ │ │ │ -$ sudo grep MaxSessions /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -MaxSessions 
│ │ │ │ -      Is it the case that MaxSessions is not configured or not configured correctly?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_config_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/ssh/sshd_config,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /etc/ssh/sshd_config does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-directory_owner_etc_iptables_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/iptables,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_systemmap_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /boot/System.map*,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/iptables
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/iptables does not have an owner of root?</ocil:question_text>
│ │ │ │ +$ ls -l /boot/System.map*
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /boot/System.map* does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_question:question:1">
│ │ │ │ -      <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ -$ sudo postconf alias_maps
│ │ │ │ -Query the Postfix alias maps for an alias for the root user:
│ │ │ │ -$ sudo postmap -q root hash:/etc/aliases
│ │ │ │ -The output should return an alias.
│ │ │ │ -      Is it the case that the alias is not set?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_sudo_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the sudo package is installed: $ dpkg -l  sudo
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the openat system call.
│ │ │ │  
│ │ │ │ -$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │ -If a line indicating /etc/issue is returned, then the required value is set.
│ │ │ │ +$ sudo grep -r openat /etc/audit/rules.d
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep openat /etc/audit/audit.rules
│ │ │ │ +
│ │ │ │ +The output should be the following:
│ │ │ │ +
│ │ │ │ +-a always,exit -F arch=b32 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -unlink system call, run the following command:
│ │ │ │ -$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_systemmap_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /boot/System.map*,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /boot/System.map*
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /boot/System.map* does not have a group owner of root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that a separate file system/partition has been created for /tmp with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +$ mountpoint /tmp
│ │ │ │ +
│ │ │ │ +      Is it the case that "/tmp is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv6.conf.default.autoconf kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_send_redirects_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.conf.default.send_redirects kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.default.autoconf
│ │ │ │ +$ sysctl net.ipv4.conf.default.send_redirects
│ │ │ │  0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the kernel.unprivileged_bpf_disabled kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_selinux_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/selinux,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/selinux
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/selinux does not have a group owner of root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/passwd-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/passwd-
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/passwd- does not have an owner of root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_symlinks_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the fs.protected_symlinks kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl kernel.unprivileged_bpf_disabled
│ │ │ │ +$ sysctl fs.protected_symlinks
│ │ │ │  1.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_stig_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 takes the appropriate action when the audit files have reached maximum size.
│ │ │ │ -
│ │ │ │ -Check that Debian 12 takes the appropriate action when the audit files have reached maximum size with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-mount_option_dev_shm_nodev_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the nodev option is configured for the /dev/shm mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/dev/shm\s'
│ │ │ │ +    . . . /dev/shm . . . nodev . . .
│ │ │ │  
│ │ │ │ -max_log_file_action = 
│ │ │ │ -      Is it the case that the value of the "max_log_file_action" option is not "ROTATE", "SINGLE", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full. If there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/dev/shm" file system does not have the "nodev" option set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_snmpd_disabled_question:question:1">
│ │ │ │ -      <ocil:question_text>To check that the snmpd service is disabled in system boot configuration,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo systemctl is-enabled snmpd
│ │ │ │ -Output should indicate the snmpd service has either not been installed,
│ │ │ │ -or has been disabled at all runlevels, as shown in the example below:
│ │ │ │ -$ sudo systemctl is-enabled snmpd disabled
│ │ │ │ -
│ │ │ │ -Run the following command to verify snmpd is not active (i.e. not running) through current runtime configuration:
│ │ │ │ -$ sudo systemctl is-active snmpd
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-set_password_hashing_algorithm_logindefs_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that the shadow password suite configuration is set to encrypt password with a FIPS 140-2 approved cryptographic hashing algorithm.
│ │ │ │  
│ │ │ │ -If the service is not running the command will return the following output:
│ │ │ │ -inactive
│ │ │ │ +Check the hashing algorithm that is being used to hash passwords with the following command:
│ │ │ │  
│ │ │ │ -The service will also be masked, to check that the snmpd is masked, run the following command:
│ │ │ │ -$ sudo systemctl show snmpd | grep "LoadState\|UnitFileState"
│ │ │ │ +$ sudo grep -i ENCRYPT_METHOD /etc/login.defs
│ │ │ │  
│ │ │ │ -If the service is masked the command will return the following outputs:
│ │ │ │ +ENCRYPT_METHOD 
│ │ │ │ +      Is it the case that ENCRYPT_METHOD is not set to &lt;sub idref="var_password_hashing_algorithm" /&gt;?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_disable_recovery_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that GRUB_DISABLE_RECOVERY is set to true in /etc/default/grub to disable recovery boot.
│ │ │ │ +Run the following command:
│ │ │ │  
│ │ │ │ -LoadState=masked
│ │ │ │ +$ sudo grep GRUB_DISABLE_RECOVERY /etc/default/grub
│ │ │ │ +      Is it the case that GRUB_DISABLE_RECOVERY is not set to true or is missing?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_aide_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the aide package is installed: $ dpkg -l  aide
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit changes to its SELinux
│ │ │ │ +configuration files, run the following command:
│ │ │ │ +$ sudo auditctl -l | grep "dir=/usr/share/selinux"
│ │ │ │ +If the system is configured to watch for changes to its SELinux
│ │ │ │ +configuration, a line should be returned (including
│ │ │ │ +perm=wa indicating permissions that are watched).
│ │ │ │ +      Is it the case that the system is not configured to audit attempts to change the MAC policy?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-mount_option_home_noexec_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the noexec option is configured for the /home mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/home\s'
│ │ │ │ +    . . . /home . . . noexec . . .
│ │ │ │  
│ │ │ │ -UnitFileState=masked
│ │ │ │ -      Is it the case that the "snmpd" is loaded and not masked?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/home" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_hardened_usercopy_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_HARDENED_USERCOPY /boot/config.*
│ │ │ │ +    $ grep CONFIG_SECURITY /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_defaultnetstreamdriver_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the operating system encrypts audit records off-loaded onto a different system
│ │ │ │ -or media from the system being audited with the following commands:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i '$DefaultNetstreamDriver' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ -
│ │ │ │ -The output should be:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_mce_argument_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include mce=0, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*mce=0.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that MCE tolerance is not set to zero?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +fsetxattr system call, run the following command:
│ │ │ │ +$ sudo grep "fsetxattr" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -/etc/rsyslog.conf:$DefaultNetstreamDriver gtls
│ │ │ │ -      Is it the case that rsyslogd DefaultNetstreamDriver not set to gtls?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit changes to its network configuration,
│ │ │ │ -run the following command:
│ │ │ │ -auditctl -l | grep -E '(/etc/issue|/etc/issue.net|/etc/hosts|/etc/sysconfig/network)'
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if requiretty has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults.*\brequiretty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that requiretty is not enabled in sudo?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ +determine how much data the system will retain in each audit log file:
│ │ │ │ +$ sudo grep max_log_file /etc/audit/auditd.conf
│ │ │ │ +max_log_file = 6
│ │ │ │ +      Is it the case that the system audit data threshold has not been properly configured?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure the MaxAuthTries parameter is set, run the following command:
│ │ │ │ +$ sudo grep MaxAuthTries /etc/ssh/sshd_config
│ │ │ │ +If properly configured, output should be:
│ │ │ │ +MaxAuthTries 
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the syslog-ng-core package is installed: $ dpkg -l  syslog-ng-core
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>Shared libraries are stored in the following directories:
│ │ │ │ +/lib
│ │ │ │ +/lib64
│ │ │ │ +/usr/lib
│ │ │ │ +/usr/lib64
│ │ │ │  
│ │ │ │ -If the system is configured to watch for network configuration changes, a line should be returned for
│ │ │ │ -each file specified (and perm=wa should be indicated for each).
│ │ │ │ -      Is it the case that the system is not configured to audit changes of the network configuration?</ocil:question_text>
│ │ │ │ +To find shared libraries that are group-writable or world-writable,
│ │ │ │ +run the following command for each directory DIR which contains shared libraries:
│ │ │ │ +$ sudo find -L DIR -perm /022 -type d
│ │ │ │ +      Is it the case that any of these files are group-writable or world-writable?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_vsyscall_none_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_LEGACY_VSYSCALL_NONE /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_xinetd_removed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the xinetd package is installed:
│ │ │ │ +$ dpkg -l  xinetd
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_syslogng_enabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +syslog-ng service:
│ │ │ │ +$ sudo systemctl is-active syslog-ng
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that the "syslog-ng" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to ensure that /var/tmp is configured as a
│ │ │ │ +polyinstantiated directory:
│ │ │ │ +$ sudo grep /var/tmp /etc/security/namespace.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +/var/tmp /var/tmp/tmp-inst/    level      root,adm
│ │ │ │ +      Is it the case that is not configured?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_mds_argument_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include mds=, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*mds=.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that MDS mitigations are not configured appropriately?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-file_permissions_etc_chrony_keys_question:question:1">
│ │ │ │        <ocil:question_text>To check the permissions of /etc/chrony.keys,
│ │ │ │  run the command:
│ │ │ │  $ ls -l /etc/chrony.keys
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │  0640
│ │ │ │        Is it the case that /etc/chrony.keys does not have unix mode 0640?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │ -      <ocil:question_text>To check that the sshd service is disabled in system boot configuration,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_add_umask_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if umask has been configured for sudo with the appropriate value,
│ │ │ │  run the following command:
│ │ │ │ -$ sudo systemctl is-enabled sshd
│ │ │ │ -Output should indicate the sshd service has either not been installed,
│ │ │ │ -or has been disabled at all runlevels, as shown in the example below:
│ │ │ │ -$ sudo systemctl is-enabled sshd disabled
│ │ │ │ -
│ │ │ │ -Run the following command to verify sshd is not active (i.e. not running) through current runtime configuration:
│ │ │ │ -$ sudo systemctl is-active sshd
│ │ │ │ -
│ │ │ │ -If the service is not running the command will return the following output:
│ │ │ │ -inactive
│ │ │ │ -
│ │ │ │ -The service will also be masked, to check that the sshd is masked, run the following command:
│ │ │ │ -$ sudo systemctl show sshd | grep "LoadState\|UnitFileState"
│ │ │ │ +$ sudo grep -ri '^Defaults.*umask=' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that umask is not set with the appropriate value for sudo?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /var/log,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /var/log
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +drwxr-xr-x
│ │ │ │ +      Is it the case that /var/log does not have unix mode drwxr-xr-x?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │  
│ │ │ │ -If the service is masked the command will return the following outputs:
│ │ │ │ +$ sudo grep audit /etc/security/faillock.conf
│ │ │ │  
│ │ │ │ -LoadState=masked
│ │ │ │ +audit
│ │ │ │ +      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │ +      <ocil:question_text>Ensure that debug-shell service is not enabled with the following command:
│ │ │ │ +grep systemd\.debug-shell=1 /boot/grub2/grubenv /etc/default/grub
│ │ │ │ +If the command returns a line, it means that debug-shell service is being enabled.
│ │ │ │ +      Is it the case that the comand returns a line?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 12 generates an audit record for all uses of the "umount" and system call.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +"umount" system call, run the following command:
│ │ │ │ +$ sudo grep "umount" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line like the following.
│ │ │ │ +-a always,exit -F arch=b32 -S umount -F auid&gt;=1000 -F auid!=unset -k privileged-umount
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_max_addresses_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv6.conf.all.max_addresses kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv6.conf.all.max_addresses
│ │ │ │ +1.
│ │ │ │  
│ │ │ │ -UnitFileState=masked
│ │ │ │ -      Is it the case that the "sshd" is loaded and not masked?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_arm64_sw_ttbr0_pan_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │ +      <ocil:question_text>If the system is not configured to audit time changes, this is a finding.
│ │ │ │ +If the system is 64-bit only, this is not applicable
│ │ │ │ +ocil: |
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +stime system call, run the following command:
│ │ │ │ +$ sudo grep "stime" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if NOPASSWD has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri nopasswd /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that nopasswd is specified in the sudo config files?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_ARM64_SW_TTBR0_PAN /boot/config.*
│ │ │ │ +    $ grep CONFIG_SECURITY_YAMA /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-display_login_attempts_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify users are provided with feedback on when account accesses last occurred with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_space_left_action_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 notifies the SA and ISSO (at a minimum) when allocated audit record storage volume reaches 75 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep pam_lastlog /etc/pam.d/postlogin
│ │ │ │ +$ sudo grep -w space_left_action /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -session [default=1] pam_lastlog.so showfailed
│ │ │ │ -      Is it the case that "pam_lastlog.so" is not properly configured in "/etc/pam.d/postlogin" file?</ocil:question_text>
│ │ │ │ +space_left_action = 
│ │ │ │ +
│ │ │ │ +If the value of the "space_left_action" is not set to "", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ +      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_ra_pinfo kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.all.accept_ra_pinfo
│ │ │ │ -0.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_password_pam_ocredit_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 12 enforces password complexity by requiring that at least one special character with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +$ sudo grep ocredit /etc/security/pwquality.conf /etc/security/pwquality.conf.d/*.conf
│ │ │ │ +
│ │ │ │ +ocredit = 
│ │ │ │ +      Is it the case that value of "ocredit" is a positive number or is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_syslogng_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the syslog-ng-core package is installed: $ dpkg -l  syslog-ng-core
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_grub2_cfg_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /boot/grub/grub.cfg,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /boot/grub/grub.cfg
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /boot/grub/grub.cfg does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_ownership_var_log_audit_question:question:1">
│ │ │ │ -      <ocil:question_text>To properly set the owner of /var/log/audit, run the command:
│ │ │ │ -$ sudo chown root /var/log/audit 
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.tcp_syncookies kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.tcp_syncookies
│ │ │ │ +1.
│ │ │ │  
│ │ │ │ -To properly set the owner of /var/log/audit/*, run the command:
│ │ │ │ -$ sudo chown root /var/log/audit/* 
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_KEY /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_messages_question:question:1">
│ │ │ │        <ocil:question_text>To check the group ownership of /var/log/messages,
│ │ │ │  run the command:
│ │ │ │  $ ls -lL /var/log/messages
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │        Is it the case that /var/log/messages does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_sysctld_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/sysctl.d,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/sysctl.d
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0755
│ │ │ │ -      Is it the case that /etc/sysctl.d does not have unix mode 0755?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_pti_argument_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include pti=on, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*pti=on.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that Kernel page-table isolation is not enabled?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-directory_owner_etc_ipsecd_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/ipsec.d,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-directory_owner_etc_sysctld_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/sysctl.d,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/ipsec.d
│ │ │ │ +$ ls -lL /etc/sysctl.d
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/ipsec.d does not have an owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_openssh-server_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the openssh-server package is installed: $ dpkg -l  openssh-server
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/sysctl.d does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.conf.all.rp_filter parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.rp_filter
│ │ │ │ -The output of the command should indicate either:
│ │ │ │ -net.ipv4.conf.all.rp_filter = 1
│ │ │ │ -or:
│ │ │ │ -net.ipv4.conf.all.rp_filter = 2
│ │ │ │ -The output of the command should not indicate:
│ │ │ │ -net.ipv4.conf.all.rp_filter = 0
│ │ │ │ -
│ │ │ │ -The preferable way how to assure the runtime compliance is to have
│ │ │ │ -correct persistent configuration, and rebooting the system.
│ │ │ │ -
│ │ │ │ -The persistent sysctl parameter configuration is performed by specifying the appropriate
│ │ │ │ -assignment in any file located in the /etc/sysctl.d directory.
│ │ │ │ -Verify that there is not any existing incorrect configuration by executing the following command:
│ │ │ │ -$ grep -r '^\s*net.ipv4.conf.all.rp_filter\s*=' /etc/sysctl.conf /etc/sysctl.d
│ │ │ │ -The command should not find any assignments other than:
│ │ │ │ -net.ipv4.conf.all.rp_filter = 1
│ │ │ │ -or:
│ │ │ │ -net.ipv4.conf.all.rp_filter = 2
│ │ │ │ -
│ │ │ │ -Conflicting assignments are not allowed.
│ │ │ │ -      Is it the case that the net.ipv4.conf.all.rp_filter is not set to 1 or 2 or is configured to be 0?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-disallow_bypass_password_sudo_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the operating system is not configured to bypass password requirements for privilege
│ │ │ │ +escalation. Check the configuration of the "/etc/pam.d/sudo" file with the following command:
│ │ │ │ +$ sudo grep pam_succeed_if /etc/pam.d/sudo
│ │ │ │ +      Is it the case that system is configured to bypass password requirements for privilege escalation?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_etc_sudoers_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/sudoers,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/sudoers
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/sudoers does not have an owner of root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_sendmail_removed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the sendmail package is installed:
│ │ │ │ +$ dpkg -l  sendmail
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-kernel_config_bug_on_data_corruption_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │      $ grep CONFIG_BUG_ON_DATA_CORRUPTION /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_empty_passwords_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's PermitEmptyPasswords option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i PermitEmptyPasswords /etc/ssh/sshd_config
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_l1tf_argument_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include l1tf=, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*l1tf=.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that l1tf mitigations are not configured appropriately?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if NOPASSWD or !authenticate have been configured for
│ │ │ │ +sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "nopasswd\|\!authenticate" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that nopasswd and/or !authenticate is enabled in sudo?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-mount_option_boot_nosuid_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the nosuid option is configured for the /boot mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/boot\s'
│ │ │ │ +    . . . /boot . . . nosuid . . .
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +      Is it the case that the "/boot" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_unlock_time_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 is configured to lock an account until released by an administrator
│ │ │ │ +after  unsuccessful logon
│ │ │ │ +attempts with the command:
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +$ grep 'unlock_time =' /etc/security/faillock.conf
│ │ │ │ +unlock_time = 
│ │ │ │ +      Is it the case that the "unlock_time" option is not set to "&lt;sub idref="var_accounts_passwords_pam_faillock_unlock_time" /&gt;",
│ │ │ │ +the line is missing, or commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_key_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_compat_brk_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_KEY /boot/config.*
│ │ │ │ +    $ grep CONFIG_COMPAT_BRK /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_sudo_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the sudo package is installed: $ dpkg -l  sudo
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_slab_nomerge_argument_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include slab_nomerge=yes, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*slab_nomerge=yes.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that merging of slabs with similar size is enabled?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudoers_no_command_negation_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if negation is used to define commands users are allowed to execute using sudo, run the following command:
│ │ │ │ -$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,!\n][^,\n]+,)*\s*(?:\([^\)]+\))?\s*(?!\s*\()(!\S+).*' /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that /etc/sudoers file contains rules that define the set of allowed commands using negation?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_syslog_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /var/log/syslog,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /var/log/syslog
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +adm
│ │ │ │ +      Is it the case that /var/log/syslog does not have a group owner of adm?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_regular_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the fs.protected_regular kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that Audit Daemon is configured to include local events, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep local_events /etc/audit/auditd.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +local_events = yes
│ │ │ │ +      Is it the case that local_events isn't set to yes?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_security_dmesg_restrict_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_SECURITY_DMESG_RESTRICT /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_efi_grub2_cfg_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /boot/grub2/grub.cfg, run the command:
│ │ │ │ +$ sudo ls -lL /boot/grub2/grub.cfg
│ │ │ │ +If properly configured, the output should indicate the following
│ │ │ │ +permissions: -rwx------
│ │ │ │ +      Is it the case that it does not?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-rsyslog_remote_tls_cacert_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that rsyslog's Forwarding Output Module has CA certificate
│ │ │ │ +configured for its TLS connections to remote server, run the following command:
│ │ │ │ +$ grep DefaultNetstreamDriverCAFile /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ +The output should include record similar to
│ │ │ │ +global(DefaultNetstreamDriverCAFile="/etc/pki/tls/cert.pem")
│ │ │ │ +where the path to the CA file (/etc/pki/tls/cert.pem in case above) must point to the correct CA certificate.
│ │ │ │ +      Is it the case that CA certificate for rsyslog remote logging via TLS is not set?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_modules_disabled_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the kernel.modules_disabled kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl fs.protected_regular
│ │ │ │ -2.
│ │ │ │ +$ sysctl kernel.modules_disabled
│ │ │ │ +1.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_unauthorized_world_writable_question:question:1">
│ │ │ │ -      <ocil:question_text>To find world-writable files, run the following command:
│ │ │ │ -$ sudo find / -xdev -type f -perm -002
│ │ │ │ -      Is it the case that there is output?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_efi_grub2_cfg_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /boot/grub2/grub.cfg,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /boot/grub2/grub.cfg
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /boot/grub2/grub.cfg does not have a group owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_sg_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_all_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_SG /boot/config.*
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_ALL /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_enable_warning_banner_net_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's Banner option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i Banner /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating /etc/issue.net is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_local_question:question:1">
│ │ │ │        <ocil:question_text>The runtime status of the net.ipv4.conf.all.accept_local kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │  $ sysctl net.ipv4.conf.all.accept_local
│ │ │ │  0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_etc_group_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/group,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 limits the number of concurrent sessions to
│ │ │ │ +"" for all
│ │ │ │ +accounts and/or account types with the following command:
│ │ │ │ +$ grep -r -s maxlogins /etc/security/limits.conf /etc/security/limits.d/*.conf
│ │ │ │ +/etc/security/limits.conf:* hard maxlogins 10
│ │ │ │ +This can be set as a global domain (with the * wildcard) but may be set differently for multiple domains.
│ │ │ │ +      Is it the case that the "maxlogins" item is missing, commented out, or the value is set greater
│ │ │ │ +than "&lt;sub idref="var_accounts_max_concurrent_login_sessions" /&gt;" and
│ │ │ │ +is not documented with the Information System Security Officer (ISSO) as an
│ │ │ │ +operational requirement for all domains that have the "maxlogins" item
│ │ │ │ +assigned'?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_freq_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that Audit Daemon is configured to flush to disk after
│ │ │ │ +every  records, run the following command:
│ │ │ │ +$ sudo grep freq /etc/audit/auditd.conf
│ │ │ │ +The output should return the following:
│ │ │ │ +freq = 
│ │ │ │ +      Is it the case that freq isn't set to &lt;sub idref="var_auditd_freq" /&gt;?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_nftables_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/nftables,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/group
│ │ │ │ +$ ls -l /etc/nftables
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0700
│ │ │ │ +      Is it the case that /etc/nftables does not have unix mode 0700?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-directory_owner_etc_sudoersd_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/sudoers.d,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/sudoers.d
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/group does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/sudoers.d does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_symlinks_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the fs.protected_symlinks kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl fs.protected_symlinks
│ │ │ │ -1.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 enforces a delay of at least  seconds between console logon prompts following a failed logon attempt with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +$ sudo grep -i "FAIL_DELAY" /etc/login.defs
│ │ │ │ +FAIL_DELAY 
│ │ │ │ +      Is it the case that the value of "FAIL_DELAY" is not set to "&lt;sub idref="var_accounts_fail_delay" /&gt;" or greater, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_stackleak_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-mount_option_var_tmp_noexec_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the noexec option is configured for the /var/tmp mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/var/tmp\s'
│ │ │ │ +    . . . /var/tmp . . . noexec . . .
│ │ │ │ +
│ │ │ │ +      Is it the case that the "/var/tmp" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-prefer_64bit_os_question:question:1">
│ │ │ │ +      <ocil:question_text>To check if the installed Operating System is 64-bit, run the following command:
│ │ │ │ +$ uname -m
│ │ │ │ +The output should be one of the following: x86_64, aarch64, ppc64le or s390x.
│ │ │ │ +If the output is i686 or i386 the operating system is 32-bit.
│ │ │ │ +Check if the installed CPU supports 64-bit operating systems by running the following command:
│ │ │ │ +$ lscpu | grep "CPU op-mode"
│ │ │ │ +If the output contains 64bit, the CPU supports 64-bit operating systems.
│ │ │ │ +      Is it the case that the installed operating sytem is 32-bit but the CPU supports operation in 64-bit?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the logrotate package is installed: $ dpkg -l  logrotate
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's AllowTcpForwarding option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i AllowTcpForwarding /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +      Is it the case that The AllowTcpForwarding option exists and is disabled?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_GCC_PLUGIN_STACKLEAK /boot/config.*
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_HASH /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    For each kernel installed, a line with value "" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_grub2_cfg_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /boot/grub/grub.cfg, run the command:
│ │ │ │ -$ sudo ls -lL /boot/grub/grub.cfg
│ │ │ │ -If properly configured, the output should indicate the following
│ │ │ │ -permissions: -rw-------
│ │ │ │ -      Is it the case that it does not?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_pub_key_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/ssh/*.pub,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/ssh/*.pub
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/ssh/*.pub does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_vdsm_nopasswd_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if NOPASSWD has been configured for the vdsm user for sudo,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo grep -ri nopasswd /etc/sudoers.d/
│ │ │ │ -The command should return output only for the vdsm user.
│ │ │ │ -      Is it the case that nopasswd is set for any users beyond vdsm?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-dir_ownership_library_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the system-wide shared library directories are owned by "root" with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo find /lib /lib64 /usr/lib /usr/lib64 ! -user root -type d -exec stat -c "%n %U" '{}' \;
│ │ │ │ +      Is it the case that any system-wide shared library directory is not owned by root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-mount_option_dev_shm_nodev_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the nodev option is configured for the /dev/shm mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/dev/shm\s'
│ │ │ │ -    . . . /dev/shm . . . nodev . . .
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-partition_for_var_tmp_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that a separate file system/partition has been created for /var/tmp with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the "/dev/shm" file system does not have the "nodev" option set?</ocil:question_text>
│ │ │ │ +$ mountpoint /var/tmp
│ │ │ │ +
│ │ │ │ +      Is it the case that "/var/tmp is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_l1tf_argument_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include l1tf=, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*l1tf=.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that l1tf mitigations are not configured appropriately?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to ensure postfix routes mail to this system:
│ │ │ │ +$ grep relayhost /etc/postfix/main.cf
│ │ │ │ +If properly configured, the output should show only .
│ │ │ │ +      Is it the case that it is not?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_talk-server_removed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the talk-server package is installed:
│ │ │ │ -$ dpkg -l  talk-server
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_etc_passwd_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/passwd,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/passwd
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/passwd does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │ -      <ocil:question_text>To check which SSH protocol version is allowed, check version of
│ │ │ │ -openssh-server with following command:
│ │ │ │ -$ rpm -qi openssh-server | grep Version
│ │ │ │ -Versions equal to or higher than 7.4 have deprecated the RhostsRSAAuthentication option.
│ │ │ │ -If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ -To determine how the SSH daemon's RhostsRSAAuthentication option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the operating system encrypts audit records off-loaded onto a different system
│ │ │ │ +or media from the system being audited with the following commands:
│ │ │ │  
│ │ │ │ -$ sudo grep -i RhostsRSAAuthentication /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i '$ActionSendStreamDriverMode' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +The output should be:
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +/etc/rsyslog.conf:$ActionSendStreamDriverMode 1
│ │ │ │ +      Is it the case that rsyslogd ActionSendStreamDriverMode is not set to 1?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.tcp_rfc1337 kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.tcp_rfc1337
│ │ │ │ -1.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_forward_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to ensure the default FORWARD policy is DROP:
│ │ │ │ +grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ +The output should be similar to the following:
│ │ │ │ +$ sudo grep ":FORWARD" /etc/sysconfig/iptables
│ │ │ │ +:FORWARD DROP [0:0
│ │ │ │ +      Is it the case that the default policy for the FORWARD chain is not set to DROP?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_remove_no_authenticate_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if !authenticate has not been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -r \!authenticate /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that !authenticate is specified in the sudo config files?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_setroubleshoot-plugins_removed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the setroubleshoot-plugins package is installed:
│ │ │ │ +$ dpkg -l  setroubleshoot-plugins
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_ipsec_secrets_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/ipsec.secrets,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /var/log,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/ipsec.secrets
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0644
│ │ │ │ -      Is it the case that /etc/ipsec.secrets does not have unix mode 0644?</ocil:question_text>
│ │ │ │ +$ ls -lL /var/log
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /var/log does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_tallylog_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/tallylog" with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_faillock_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/security/opasswd" with the following command:
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep /var/log/tallylog
│ │ │ │ +$ sudo auditctl -l | grep 
│ │ │ │  
│ │ │ │ --w /var/log/tallylog -p wa -k logins
│ │ │ │ +-w  -p wa -k logins
│ │ │ │        Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_hardened_usercopy_fallback_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_HARDENED_USERCOPY_FALLBACK /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_rsh_removed_question:question:1">
│ │ │ │ -      <ocil:question_text>The rsh package can be removed with the following command:  $ apt-get remove rsh
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_chown_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -chown system call, run the following command:
│ │ │ │ -$ sudo grep "chown" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_disk_full_action_stig_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 takes the appropriate action when the audit storage volume is full.
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +Check that Debian 12 takes the appropriate action when the audit storage volume is full with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep disk_full_action /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +disk_full_action = 
│ │ │ │ +
│ │ │ │ +If the value of the "disk_full_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full.
│ │ │ │ +      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_refcount_full_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_seccomp_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_REFCOUNT_FULL /boot/config.*
│ │ │ │ +    $ grep CONFIG_SECCOMP /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_ra_rtr_pref_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_ra_rtr_pref kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.default.accept_ra_rtr_pref
│ │ │ │ -0.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │ +      <ocil:question_text>If the device or Debian 12 does not have a camera installed, this requirement is not applicable.
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_tmout_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to ensure the TMOUT value is configured for all users
│ │ │ │ -on the system:
│ │ │ │ +This requirement is not applicable to mobile devices (smartphones and tablets), where the use of the camera is a local AO decision.
│ │ │ │  
│ │ │ │ -$ sudo grep TMOUT /etc/profile /etc/profile.d/*.sh
│ │ │ │ +This requirement is not applicable to dedicated VTC suites located in approved VTC locations that are centrally managed.
│ │ │ │  
│ │ │ │ -The output should return the following:
│ │ │ │ -TMOUT=
│ │ │ │ -      Is it the case that value of TMOUT is not less than or equal to expected setting?</ocil:question_text>
│ │ │ │ +For an external camera, if there is not a method for the operator to manually disconnect the camera at the end of collaborative computing sessions, this is a finding.
│ │ │ │ +
│ │ │ │ +For a built-in camera, the camera must be protected by a camera cover (e.g., laptop camera cover slide) when not in use. If the built-in camera is not protected with a camera cover, or is not physically disabled, this is a finding.
│ │ │ │ +
│ │ │ │ +If the camera is not disconnected, covered, or physically disabled, determine if it is being disabled via software with the following commands:
│ │ │ │ +
│ │ │ │ +Verify the operating system disables the ability to load the uvcvideo kernel module.
│ │ │ │ +
│ │ │ │ +$ sudo grep -r uvcvideo /etc/modprobe.d/* | grep "/bin/true"
│ │ │ │ +
│ │ │ │ +install uvcvideo /bin/true
│ │ │ │ +      Is it the case that the command does not return any output, or the line is commented out, and the collaborative computing device has not been authorized for use?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_dedicated_group_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /usr/bin/sudo,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │ +      <ocil:question_text>To find the location of the AIDE database file, run the following command:
│ │ │ │ +$ sudo ls -l DBDIR/database_file_name
│ │ │ │ +      Is it the case that there is no database file?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /var/log,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /usr/bin/sudo
│ │ │ │ +$ ls -lL /var/log
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /var/log does not have a group owner of root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_pid_max_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the kernel.pid_max kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.pid_max
│ │ │ │ +65536.
│ │ │ │  
│ │ │ │ -      Is it the case that /usr/bin/sudo does not have a group owner of &lt;sub idref="var_sudo_dedicated_group" /&gt;?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_strict_kernel_rwx_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_unmap_kernel_at_el0_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_STRICT_KERNEL_WRX /boot/config.*
│ │ │ │ +    $ grep CONFIG_UNMAP_KERNEL_AT_EL0 /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_dmesg_restrict_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the kernel.dmesg_restrict kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.dmesg_restrict
│ │ │ │ -1.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rmdir_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_finit_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -rmdir system call, run the following command:
│ │ │ │ -$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │ +finit_module system call, run the following command:
│ │ │ │ +$ sudo grep "finit_module" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_router_solicitations_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv6.conf.all.router_solicitations kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.all.router_solicitations
│ │ │ │ -0.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_perf_cpu_time_max_percent_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the kernel.perf_cpu_time_max_percent kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_randomize_va_space_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the kernel.randomize_va_space kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl kernel.perf_cpu_time_max_percent
│ │ │ │ -1.
│ │ │ │ +$ sysctl kernel.randomize_va_space
│ │ │ │ +2.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_set_max_auth_tries_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure the MaxAuthTries parameter is set, run the following command:
│ │ │ │ -$ sudo grep MaxAuthTries /etc/ssh/sshd_config
│ │ │ │ -If properly configured, output should be:
│ │ │ │ -MaxAuthTries 
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_crypttab_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/crypttab,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_shadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/shadow-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/crypttab
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0600
│ │ │ │ -      Is it the case that /etc/crypttab does not have unix mode 0600?</ocil:question_text>
│ │ │ │ +$ ls -lL /etc/shadow-
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +shadow
│ │ │ │ +      Is it the case that /etc/shadow- does not have a group owner of shadow?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_enable_strictmodes_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's StrictModes option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i StrictModes /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-securetty_root_login_console_only_question:question:1">
│ │ │ │ -      <ocil:question_text>To check for virtual console entries which permit root login, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep ^vc/[0-9] /etc/securetty
│ │ │ │ -If any output is returned, then root logins over virtual console devices is permitted.
│ │ │ │ -      Is it the case that root login over virtual console devices is permitted?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-mount_option_home_nosuid_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the nosuid option is configured for the /home mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/home\s'
│ │ │ │ +    . . . /home . . . nosuid . . .
│ │ │ │ +
│ │ │ │ +      Is it the case that the "/home" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that the SA and ISSO (at a minimum) are notified when the audit storage volume is full.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-rsyslog_files_ownership_question:question:1">
│ │ │ │ +      <ocil:question_text>The owner of all log files written by rsyslog should be
│ │ │ │  
│ │ │ │ -Check which action Debian 12 takes when the audit storage volume is full with the following command:
│ │ │ │ +adm.
│ │ │ │  
│ │ │ │ -$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │ -max_log_file_action = 
│ │ │ │ -      Is it the case that the value of the "max_log_file_action" option is set to "ignore", "rotate", or "suspend", or the line is commented out?</ocil:question_text>
│ │ │ │ +These log files are determined by the second part of each Rule line in
│ │ │ │ +/etc/rsyslog.conf and typically all appear in /var/log.
│ │ │ │ +To see the owner of a given log file, run the following command:
│ │ │ │ +$ ls -l LOGFILE
│ │ │ │ +      Is it the case that the owner is not correct?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that the interactive user account passwords last change time is not in the future
│ │ │ │ -The following command should return no output
│ │ │ │ -$ sudo expiration=$(cat /etc/shadow|awk -F ':' '{print $3}');
│ │ │ │ -for edate in ${expiration[@]}; do if [[ $edate &gt; $(( $(date +%s)/86400 )) ]];
│ │ │ │ -then echo "Expiry date in future";
│ │ │ │ -fi; done 
│ │ │ │ -      Is it the case that any interactive user password that has last change time in the future?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_PAGE_POISONING_NO_SANITY /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that the audit system collects unauthorized file accesses, run the following commands:
│ │ │ │ -$ sudo grep EACCES /etc/audit/audit.rules
│ │ │ │ -$ sudo grep EPERM /etc/audit/audit.rules
│ │ │ │ -      Is it the case that 32-bit and 64-bit system calls to creat, open, openat, open_by_handle_at, truncate, and ftruncate are not audited during EACCES and EPERM?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_shells_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/shells,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/shells
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/shells does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.conf.default.shared_media kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.default.shared_media
│ │ │ │ -0.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_interval_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure the failed password attempt policy is configured correctly, run the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +$ grep fail_interval /etc/security/faillock.conf
│ │ │ │ +The output should show fail_interval = &lt;interval-in-seconds&gt; where interval-in-seconds is  or greater.
│ │ │ │ +      Is it the case that the "fail_interval" option is not set to "&lt;sub idref="var_accounts_passwords_pam_faillock_fail_interval" /&gt;"
│ │ │ │ +or less (but not "0"), the line is commented out, or the line is missing?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_modprobe_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that auditing of privileged command use is configured, run the
│ │ │ │ -following command:
│ │ │ │ -
│ │ │ │ -  sudo auditctl -l | grep -w '/sbin/modprobe'
│ │ │ │ -  -w /sbin/modprobe -p x -k modules
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_audit_configuration_question:question:1">
│ │ │ │ +      <ocil:question_text>To properly set the permissions of /etc/audit/, run the command:
│ │ │ │ +$ sudo chmod 0640 /etc/audit/
│ │ │ │  
│ │ │ │ -It should return a relevant line in the audit rules.
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +To properly set the permissions of /etc/audit/rules.d/, run the command:
│ │ │ │ +$ sudo chmod 0640 /etc/audit/rules.d/
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchown system call, run the following command:
│ │ │ │ -$ sudo grep "fchown" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-directory_permissions_var_log_audit_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the audit log directories have a correct mode or less permissive mode.
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-mount_option_var_noexec_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the noexec option is configured for the /var mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/var\s'
│ │ │ │ -    . . . /var . . . noexec . . .
│ │ │ │ +Find the location of the audit logs:
│ │ │ │  
│ │ │ │ -      Is it the case that the "/var" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_password_pam_lcredit_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 12 enforces password complexity by requiring that at least one lower-case character.
│ │ │ │ +$ sudo grep "^log_file" /etc/audit/auditd.conf
│ │ │ │  
│ │ │ │ -Check the value for "lcredit" with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep lcredit /etc/security/pwquality.conf /etc/security/pwquality.conf.d/*.conf
│ │ │ │ +Find the group that owns audit logs:
│ │ │ │  
│ │ │ │ -/etc/security/pwquality.conf:lcredit = -1
│ │ │ │ -      Is it the case that the value of "lcredit" is a positive number or is commented out?</ocil:question_text>
│ │ │ │ +$ sudo grep "^log_group" /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +
│ │ │ │ +Run the following command to check the mode of the system audit logs:
│ │ │ │ +
│ │ │ │ +$ sudo stat -c "%a %n" [audit_log_directory]
│ │ │ │ +
│ │ │ │ +Replace "[audit_log_directory]" to the correct audit log directory path, by default this location is "/var/log/audit".
│ │ │ │ +
│ │ │ │ +
│ │ │ │ +If the log_group is "root" or is not set, the correct permissions are 0700, otherwise they are 0750.
│ │ │ │ +      Is it the case that audit logs have a more permissive mode?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_source_route kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_panic_on_oops_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_PANIC_ON_OOPS /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_fifos_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the fs.protected_fifos kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.default.accept_source_route
│ │ │ │ -0.
│ │ │ │ +$ sysctl fs.protected_fifos
│ │ │ │ +2.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_sestatus_conf_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/sestatus.conf,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_sudoersd_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/sudoers.d,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/sestatus.conf
│ │ │ │ +$ ls -l /etc/sudoers.d
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │ -0644
│ │ │ │ -      Is it the case that /etc/sestatus.conf does not have unix mode 0644?</ocil:question_text>
│ │ │ │ +0750
│ │ │ │ +      Is it the case that /etc/sudoers.d does not have unix mode 0750?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_ntp_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the ntp package is installed: $ dpkg -l  ntp
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the minimum password length, run the command:
│ │ │ │ +$ grep PASS_MIN_LEN /etc/login.defs
│ │ │ │ +The DoD requirement is 15.
│ │ │ │ +      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-no_rsh_trust_files_question:question:1">
│ │ │ │ -      <ocil:question_text>The existence of the file /etc/hosts.equiv or a file named
│ │ │ │ -.rhosts inside a user home directory indicates the presence
│ │ │ │ -of an Rsh trust relationship.
│ │ │ │ -      Is it the case that these files exist?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_ipsec_conf_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/ipsec.conf,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ipsec.conf
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ipsec.conf does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_tftp-server_removed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the tftp-server package is installed:
│ │ │ │ -$ dpkg -l  tftp-server
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_sysctld_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/sysctl.d,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/sysctl.d
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0755
│ │ │ │ +      Is it the case that /etc/sysctl.d does not have unix mode 0755?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_fs_suid_dumpable_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the fs.suid_dumpable kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_kptr_restrict_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the kernel.kptr_restrict kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl fs.suid_dumpable
│ │ │ │ -0.
│ │ │ │ +$ sysctl kernel.kptr_restrict
│ │ │ │ +The output of the command should indicate either:
│ │ │ │ +kernel.kptr_restrict = 1
│ │ │ │ +or:
│ │ │ │ +kernel.kptr_restrict = 2
│ │ │ │ +The output of the command should not indicate:
│ │ │ │ +kernel.kptr_restrict = 0
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +The preferable way how to assure the runtime compliance is to have
│ │ │ │ +correct persistent configuration, and rebooting the system.
│ │ │ │ +
│ │ │ │ +The persistent kernel parameter configuration is performed by specifying the appropriate
│ │ │ │ +assignment in any file located in the /etc/sysctl.d directory.
│ │ │ │ +Verify that there is not any existing incorrect configuration by executing the following command:
│ │ │ │ +$ grep -r '^\s*kernel.kptr_restrict\s*=' /etc/sysctl.conf /etc/sysctl.d
│ │ │ │ +The command should not find any assignments other than:
│ │ │ │ +kernel.kptr_restrict = 1
│ │ │ │ +or:
│ │ │ │ +kernel.kptr_restrict = 2
│ │ │ │ +
│ │ │ │ +Conflicting assignments are not allowed.
│ │ │ │ +      Is it the case that the kernel.kptr_restrict is not set to 1 or 2 or is configured to be 0?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.icmp_ignore_bogus_error_responses kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_kmod_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "kmod" command with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo auditctl -l | grep kmod
│ │ │ │ +
│ │ │ │ +-a always,exit -F path=/usr/bin/kmod -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-kmod
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_module_ipv6_option_disabled_question:question:1">
│ │ │ │ +      <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │ +
│ │ │ │ +If the system is configured to disable the
│ │ │ │ +ipv6 kernel module, it will contain a line
│ │ │ │ +of the form:
│ │ │ │ +options ipv6 disable=1
│ │ │ │ +Such lines may be inside any file in /etc/modprobe.d or the
│ │ │ │ +deprecated/etc/modprobe.conf.  This permits insertion of the IPv6
│ │ │ │ +kernel module (which other parts of the system expect to be present), but
│ │ │ │ +otherwise keeps it inactive.  Run the following command to search for such
│ │ │ │ +lines in all files in /etc/modprobe.d and the deprecated
│ │ │ │ +/etc/modprobe.conf:
│ │ │ │ +$ grep -r ipv6 /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ +      Is it the case that the ipv6 kernel module is not disabled?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_removexattr_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +removexattr system call, run the following command:
│ │ │ │ +$ sudo grep "removexattr" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lsetxattr_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +lsetxattr system call, run the following command:
│ │ │ │ +$ sudo grep "lsetxattr" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_gshadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/gshadow-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/gshadow-
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/gshadow- does not have an owner of root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_rp_filter_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.conf.default.rp_filter kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.icmp_ignore_bogus_error_responses
│ │ │ │ +$ sysctl net.ipv4.conf.default.rp_filter
│ │ │ │  1.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-file_groupownership_sshd_private_key_question:question:1">
│ │ │ │        <ocil:question_text>To check the group ownership of /etc/ssh/*_key,
│ │ │ │  run the command:
│ │ │ │  $ ls -lL /etc/ssh/*_key
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │        Is it the case that /etc/ssh/*_key does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_module_uvcvideo_disabled_question:question:1">
│ │ │ │ -      <ocil:question_text>If the device or Debian 12 does not have a camera installed, this requirement is not applicable.
│ │ │ │ -
│ │ │ │ -This requirement is not applicable to mobile devices (smartphones and tablets), where the use of the camera is a local AO decision.
│ │ │ │ -
│ │ │ │ -This requirement is not applicable to dedicated VTC suites located in approved VTC locations that are centrally managed.
│ │ │ │ -
│ │ │ │ -For an external camera, if there is not a method for the operator to manually disconnect the camera at the end of collaborative computing sessions, this is a finding.
│ │ │ │ -
│ │ │ │ -For a built-in camera, the camera must be protected by a camera cover (e.g., laptop camera cover slide) when not in use. If the built-in camera is not protected with a camera cover, or is not physically disabled, this is a finding.
│ │ │ │ -
│ │ │ │ -If the camera is not disconnected, covered, or physically disabled, determine if it is being disabled via software with the following commands:
│ │ │ │ -
│ │ │ │ -Verify the operating system disables the ability to load the uvcvideo kernel module.
│ │ │ │ -
│ │ │ │ -$ sudo grep -r uvcvideo /etc/modprobe.d/* | grep "/bin/true"
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure logs are sent to a remote host, examine the file
│ │ │ │ +/etc/rsyslog.conf.
│ │ │ │ +If using UDP, a line similar to the following should be present:
│ │ │ │ + *.* @
│ │ │ │ +If using TCP, a line similar to the following should be present:
│ │ │ │ + *.* @@
│ │ │ │ +If using RELP, a line similar to the following should be present:
│ │ │ │ + *.* :omrelp:
│ │ │ │ +      Is it the case that no evidence that the audit logs are being off-loaded to another system or media?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure write permissions are disabled for group and other
│ │ │ │ + for each element in root's path, run the following command:
│ │ │ │ +# ls -ld DIR
│ │ │ │ +      Is it the case that group or other write permissions exist?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permission_user_init_files_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that all user initialization files have a mode of 0740 or
│ │ │ │ +less permissive, run the following command:
│ │ │ │ +$ sudo find /home -type f -name '\.*' \( -perm -0002 -o -perm -0020 \)
│ │ │ │ +There should be no output.
│ │ │ │ +      Is it the case that they are not 0740 or more permissive?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_group_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/group,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/group
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/group does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdriverauthmode_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the operating system authenticates the remote logging server for off-loading audit logs with the following command:
│ │ │ │  
│ │ │ │ -install uvcvideo /bin/true
│ │ │ │ -      Is it the case that the command does not return any output, or the line is commented out, and the collaborative computing device has not been authorized for use?</ocil:question_text>
│ │ │ │ +$ sudo grep -i '$ActionSendStreamDriverAuthMode' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ +The output should be
│ │ │ │ +$/etc/rsyslog.conf:$ActionSendStreamDriverAuthMode x509/name
│ │ │ │ +      Is it the case that $ActionSendStreamDriverAuthMode in /etc/rsyslog.conf is not set to x509/name?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-aide_verify_ext_attributes_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine that AIDE is verifying extended file attributes, run the following command:
│ │ │ │ -$ grep xattrs /etc/aide/aide.conf
│ │ │ │ -Verify that the xattrs option is added to the correct ruleset.
│ │ │ │ -      Is it the case that the xattrs option is missing or not added to the correct ruleset?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_disable_ipv6_question:question:1">
│ │ │ │ +      <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │ +
│ │ │ │ +If the system is configured to prevent the usage of the ipv6 on
│ │ │ │ +network interfaces, it will contain a line of the form:
│ │ │ │ +net.ipv6.conf.all.disable_ipv6 = 1
│ │ │ │ +Such lines may be inside any file in the /etc/sysctl.d directory.
│ │ │ │ +This permits insertion of the IPv6 kernel module (which other parts of the
│ │ │ │ +system expect to be present), but otherwise keeps all network interfaces
│ │ │ │ +from using IPv6. Run the following command to search for such lines in all
│ │ │ │ +files in /etc/sysctl.d:
│ │ │ │ +$ grep -r ipv6 /etc/sysctl.d
│ │ │ │ +      Is it the case that the ipv6 support is disabled on all network interfaces?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-grub2_uefi_password_question:question:1">
│ │ │ │        <ocil:question_text>To verify the boot loader superuser password has been set, run the following command:
│ │ │ │  $ sudo grep "^[\s]*GRUB2_PASSWORD=grub\.pbkdf2\.sha512.*$" /boot/grub2/user.cfg
│ │ │ │  The output should be similar to:
│ │ │ │  GRUB2_PASSWORD=grub.pbkdf2.sha512.10000.C4E08AC72FBFF7E837FD267BFAD7AEB3D42DDC
│ │ │ │  2C99F2A94DD5E2E75C2DC331B719FE55D9411745F82D1B6CFD9E927D61925F9BBDD1CFAA0080E0
│ │ │ │  916F7AB46E0D.1302284FCCC52CD73BA3671C6C12C26FF50BA873293B24EE2A96EE3B57963E6D7
│ │ │ │  0C83964B473EC8F93B07FE749AA6710269E904A9B08A6BBACB00A2D242AD828
│ │ │ │        Is it the case that no password is set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit account changes,
│ │ │ │ -run the following command:
│ │ │ │ -auditctl -l | grep -E '(/etc/passwd|/etc/shadow|/etc/group|/etc/gshadow|/etc/security/opasswd)'
│ │ │ │ -If the system is configured to watch for account changes, lines should be returned for
│ │ │ │ -each file specified (and with perm=wa for each).
│ │ │ │ -      Is it the case that the system is not configured to audit account changes?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include spec_store_bypass_disable=, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*spec_store_bypass_disable=.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that SSB is not configured appropriately?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's PermitUserEnvironment option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_enable_gssapi_auth_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's GSSAPIAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i PermitUserEnvironment /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i GSSAPIAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_polyinstantiated_var_tmp_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to ensure that /var/tmp is configured as a
│ │ │ │ -polyinstantiated directory:
│ │ │ │ -$ sudo grep /var/tmp /etc/security/namespace.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -/var/tmp /var/tmp/tmp-inst/    level      root,adm
│ │ │ │ -      Is it the case that is not configured?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-mount_option_dev_shm_nosuid_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the nosuid option is configured for the /dev/shm mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/dev/shm\s'
│ │ │ │ -    . . . /dev/shm . . . nosuid . . .
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │  
│ │ │ │ -      Is it the case that the "/dev/shm" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ +$ sudo grep audit /etc/security/faillock.conf
│ │ │ │ +
│ │ │ │ +audit
│ │ │ │ +      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_kexec_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_KEXEC /boot/config.*
│ │ │ │ +    
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +rmdir system call, run the following command:
│ │ │ │ +$ sudo grep "rmdir" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +unlink system call, run the following command:
│ │ │ │ +$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +unlinkat system call, run the following command:
│ │ │ │ +$ sudo grep "unlinkat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +rename system call, run the following command:
│ │ │ │ +$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +To determine if the system is configured to audit calls to the
│ │ │ │ +renameat system call, run the following command:
│ │ │ │ +$ sudo grep "renameat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupownership_sshd_pub_key_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/ssh/*.pub,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ssh/*.pub
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ssh/*.pub does not have a group owner of root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ +iptables service:
│ │ │ │ +$ sudo systemctl is-active iptables
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_time_watch_localtime_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit attempts to
│ │ │ │ +alter time via the /etc/localtime file, run the following
│ │ │ │ +command:
│ │ │ │ +$ sudo auditctl -l | grep "watch=/etc/localtime"
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +      Is it the case that the system is not configured to audit time changes?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-accounts_root_gid_zero_question:question:1">
│ │ │ │        <ocil:question_text>To verify that root's primary group is zero run the following command:
│ │ │ │  
│ │ │ │      grep '^root:' /etc/passwd | cut -d : -f 4
│ │ │ │  
│ │ │ │  The command should return:
│ │ │ │  
│ │ │ │  0
│ │ │ │  
│ │ │ │        Is it the case that root has a primary gid not equal to zero?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_ipsec_secrets_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/ipsec.secrets,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ +/bin
│ │ │ │ +/sbin
│ │ │ │ +/usr/bin
│ │ │ │ +/usr/local/bin
│ │ │ │ +/usr/local/sbin
│ │ │ │ +/usr/sbin
│ │ │ │ +For each of these directories, run the following command to find files
│ │ │ │ +not owned by root:
│ │ │ │ +$ sudo find -L DIR/ ! -user root -type d -exec chown root {} \;
│ │ │ │ +      Is it the case that any system executables directories are found to not be owned by root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_kea_removed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the kea package is installed:
│ │ │ │ +$ dpkg -l  kea
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_efi_user_cfg_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /boot/grub2/user.cfg,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/ipsec.secrets
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ +$ ls -lL /boot/grub2/user.cfg
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/ipsec.secrets does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /boot/grub2/user.cfg does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_ptys_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_LEGACY_PTYS /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ +$ grep CONFIG_DEFAULT_MMAP_MIN_ADDR /boot/config.*
│ │ │ │ +For each kernel installed, a line with value should be returned.
│ │ │ │ +If the system architecture is x86_64, the value should be 65536.
│ │ │ │ +If the system architecture is aarch64, the value should be 32768.
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-rsyslog_files_groupownership_question:question:1">
│ │ │ │ -      <ocil:question_text>The group-owner of all log files written by rsyslog should be
│ │ │ │ -adm.
│ │ │ │ -These log files are determined by the second part of each Rule line in
│ │ │ │ -/etc/rsyslog.conf and typically all appear in /var/log.
│ │ │ │ -To see the group-owner of a given log file, run the following command:
│ │ │ │ -$ ls -l LOGFILE
│ │ │ │ -      Is it the case that the group-owner is not correct?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured use a non-default faillock directory to ensure contents persist after reboot:
│ │ │ │ +
│ │ │ │ +$ sudo grep 'dir =' /etc/security/faillock.conf
│ │ │ │ +
│ │ │ │ +dir = /var/log/faillock
│ │ │ │ +      Is it the case that the "dir" option is not set to a non-default documented tally log directory, is missing or commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_disk_full_action_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 takes the appropriate action when the audit storage volume is full.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_passwd_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/passwd" with the following command:
│ │ │ │  
│ │ │ │ -Check that Debian 12 takes the appropriate action when the audit storage volume is full with the following command:
│ │ │ │ +$  sudo auditctl -l | grep -E '(/etc/passwd)'
│ │ │ │  
│ │ │ │ -$ sudo grep disk_full_action /etc/audit/auditd.conf
│ │ │ │ +-w /etc/passwd -p wa -k identity
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_rsyslog-gnutls_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the rsyslog-gnutls package is installed:
│ │ │ │ +$ dpkg -l  rsyslog-gnutls
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that a separate file system/partition has been created for /dev/shm with the following command:
│ │ │ │  
│ │ │ │ -disk_full_action = 
│ │ │ │ +$ mountpoint /dev/shm
│ │ │ │  
│ │ │ │ -If the value of the "disk_full_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit storage volume is full.
│ │ │ │ -      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │ +      Is it the case that "/dev/shm is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure ClientAliveInterval is set correctly, run the following command:
│ │ │ │ -$ sudo grep ClientAliveCountMax /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -ClientAliveCountMax 
│ │ │ │ -For SSH earlier than v8.2, a ClientAliveCountMax value of 0 causes a timeout precisely when
│ │ │ │ -the ClientAliveInterval is set.  Starting with v8.2, a value of 0 disables the timeout
│ │ │ │ -functionality completely.
│ │ │ │ -If the option is set to a number greater than 0, then the session will be disconnected after
│ │ │ │ -ClientAliveInterval * ClientAliveCountMax seconds without receiving a keep alive message.
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_password_pam_lcredit_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 12 enforces password complexity by requiring that at least one lower-case character.
│ │ │ │ +
│ │ │ │ +Check the value for "lcredit" with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep lcredit /etc/security/pwquality.conf /etc/security/pwquality.conf.d/*.conf
│ │ │ │ +
│ │ │ │ +/etc/security/pwquality.conf:lcredit = -1
│ │ │ │ +      Is it the case that the value of "lcredit" is a positive number or is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-timer_logrotate_enabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine the current status of the logrotate timer: $ sudo systemctl is-active logrotate.timer If the timer is running, it should return the following: active
│ │ │ │ -      Is it the case that logrotate timer is not enabled?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-partition_for_var_log_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that a separate file system/partition has been created for /var/log with the following command:
│ │ │ │ +
│ │ │ │ +$ mountpoint /var/log
│ │ │ │ +
│ │ │ │ +      Is it the case that "/var/log is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_sysadmin_actions_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that auditing is configured for system administrator actions, run the following command:
│ │ │ │ -$ sudo auditctl -l | grep "watch=/etc/sudoers\|watch=/etc/sudoers.d\|-w /etc/sudoers\|-w /etc/sudoers.d"
│ │ │ │ -      Is it the case that there is not output?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-dir_perms_world_writable_sticky_bits_question:question:1">
│ │ │ │ +      <ocil:question_text>To find world-writable directories that lack the sticky bit, run the following command:
│ │ │ │ +$ sudo find / -type d \( -perm -0002 -a ! -perm -1000 \) -print 2&gt;/dev/null
│ │ │ │ +fixtext: |-
│ │ │ │ +Configure all world-writable directories to have the sticky bit set to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │ +
│ │ │ │ +Set the sticky bit on all world-writable directories using the command, replace "[World-Writable Directory]" with any directory path missing the sticky bit:
│ │ │ │ +
│ │ │ │ +$ chmod a+t [World-Writable Directory]
│ │ │ │ +srg_requirement:
│ │ │ │ +A sticky bit must be set on all Debian 12 public directories to prevent unauthorized and unintended information transferred via shared system resources.
│ │ │ │ +      Is it the case that any world-writable directories are missing the sticky bit?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │ -$ sudo awk -F: '!$2 {print $1}' /etc/shadow
│ │ │ │ -If this produces any output, it may be possible to log into accounts
│ │ │ │ -with empty passwords.
│ │ │ │ -      Is it the case that Blank or NULL passwords can be used?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-selinux_state_question:question:1">
│ │ │ │ +      <ocil:question_text>Ensure that Debian 12 verifies correct operation of security functions.
│ │ │ │ +
│ │ │ │ +Check if "SELinux" is active and in "" mode with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo getenforce
│ │ │ │ +
│ │ │ │ +      Is it the case that SELINUX is not set to enforcing?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the nss-tools package is installed: $ dpkg -l  nss-tools
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_rp_filter_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.conf.all.rp_filter parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.rp_filter
│ │ │ │ +The output of the command should indicate either:
│ │ │ │ +net.ipv4.conf.all.rp_filter = 1
│ │ │ │ +or:
│ │ │ │ +net.ipv4.conf.all.rp_filter = 2
│ │ │ │ +The output of the command should not indicate:
│ │ │ │ +net.ipv4.conf.all.rp_filter = 0
│ │ │ │ +
│ │ │ │ +The preferable way how to assure the runtime compliance is to have
│ │ │ │ +correct persistent configuration, and rebooting the system.
│ │ │ │ +
│ │ │ │ +The persistent sysctl parameter configuration is performed by specifying the appropriate
│ │ │ │ +assignment in any file located in the /etc/sysctl.d directory.
│ │ │ │ +Verify that there is not any existing incorrect configuration by executing the following command:
│ │ │ │ +$ grep -r '^\s*net.ipv4.conf.all.rp_filter\s*=' /etc/sysctl.conf /etc/sysctl.d
│ │ │ │ +The command should not find any assignments other than:
│ │ │ │ +net.ipv4.conf.all.rp_filter = 1
│ │ │ │ +or:
│ │ │ │ +net.ipv4.conf.all.rp_filter = 2
│ │ │ │ +
│ │ │ │ +Conflicting assignments are not allowed.
│ │ │ │ +      Is it the case that the net.ipv4.conf.all.rp_filter is not set to 1 or 2 or is configured to be 0?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_vsyscall_emulate_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_slab_merge_default_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_LEGACY_VSYSCALL_EMULATE /boot/config.*
│ │ │ │ +    $ grep CONFIG_SLAB_MERGE_DEFAULT /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the chrony package is installed: $ dpkg -l  chrony
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_audit_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured to log user name information when unsuccessful logon attempts occur:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's KerberosAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep audit /etc/security/faillock.conf
│ │ │ │ +$ sudo grep -i KerberosAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -audit
│ │ │ │ -      Is it the case that the "audit" option is not set, is missing or commented out?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-aide_verify_acls_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine that AIDE is verifying ACLs, run the following command:
│ │ │ │ -$ grep acl /etc/aide/aide.conf
│ │ │ │ -Verify that the acl option is added to the correct ruleset.
│ │ │ │ -      Is it the case that the acl option is missing or not added to the correct ruleset?</ocil:question_text>
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_notifiers_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_zero_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_NOTIFIERS /boot/config.*
│ │ │ │ +    $ grep CONFIG_PAGE_POISONING_ZERO /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-rsyslog_encrypt_offload_actionsendstreamdrivermode_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the operating system encrypts audit records off-loaded onto a different system
│ │ │ │ -or media from the system being audited with the following commands:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i '$ActionSendStreamDriverMode' /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ -
│ │ │ │ -The output should be:
│ │ │ │ -
│ │ │ │ -/etc/rsyslog.conf:$ActionSendStreamDriverMode 1
│ │ │ │ -      Is it the case that rsyslogd ActionSendStreamDriverMode is not set to 1?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_etc_sestatus_conf_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/sestatus.conf,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_sestatus_conf_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/sestatus.conf,
│ │ │ │  run the command:
│ │ │ │  $ ls -lL /etc/sestatus.conf
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/sestatus.conf does not have an owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-dir_system_commands_root_owned_question:question:1">
│ │ │ │ -      <ocil:question_text>System commands are stored in the following directories:
│ │ │ │ -/bin 
│ │ │ │ -/sbin 
│ │ │ │ -/usr/bin 
│ │ │ │ -/usr/sbin 
│ │ │ │ -/usr/local/bin 
│ │ │ │ -/usr/local/sbin
│ │ │ │ -For each of these directories, run the following command to find directories not
│ │ │ │ -owned by root:
│ │ │ │ -$ sudo find -L $DIR ! -user root -type d
│ │ │ │ -      Is it the case that any of these directories are not owned by root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/sestatus.conf does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_rsh-server_removed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the rsh-server package is installed:
│ │ │ │ -$ dpkg -l  rsh-server
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_spec_store_bypass_disable_argument_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include spec_store_bypass_disable=, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*spec_store_bypass_disable=.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that SSB is not configured appropriately?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_add_umask_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if umask has been configured for sudo with the appropriate value,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo grep -ri '^Defaults.*umask=' /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that umask is not set with the appropriate value for sudo?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_slab_freelist_hardened_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_SLAB_FREELIST_HARDENED /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_mac_modification_usr_share_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit changes to its SELinux
│ │ │ │ -configuration files, run the following command:
│ │ │ │ -$ sudo auditctl -l | grep "dir=/usr/share/selinux"
│ │ │ │ -If the system is configured to watch for changes to its SELinux
│ │ │ │ -configuration, a line should be returned (including
│ │ │ │ -perm=wa indicating permissions that are watched).
│ │ │ │ -      Is it the case that the system is not configured to audit attempts to change the MAC policy?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that the system backups user data.
│ │ │ │ +      Is it the case that it is not?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_unlock_time_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 is configured to lock an account until released by an administrator
│ │ │ │ -after  unsuccessful logon
│ │ │ │ -attempts with the command:
│ │ │ │ -
│ │ │ │ -$ grep 'unlock_time =' /etc/security/faillock.conf
│ │ │ │ -unlock_time = 
│ │ │ │ -      Is it the case that the "unlock_time" option is not set to "&lt;sub idref="var_accounts_passwords_pam_faillock_unlock_time" /&gt;",
│ │ │ │ -the line is missing, or commented out?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_page_alloc_shuffle_argument_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include page_alloc.shuffle=1, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*page_alloc.shuffle=1.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that randomization of the page allocator is not enabled in the kernel?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-dir_permissions_library_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>Shared libraries are stored in the following directories:
│ │ │ │ -/lib
│ │ │ │ -/lib64
│ │ │ │ -/usr/lib
│ │ │ │ -/usr/lib64
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_kernel_module_loading_init_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +init_module system call, run the following command:
│ │ │ │ +$ sudo grep "init_module" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -To find shared libraries that are group-writable or world-writable,
│ │ │ │ -run the following command for each directory DIR which contains shared libraries:
│ │ │ │ -$ sudo find -L DIR -perm /022 -type d
│ │ │ │ -      Is it the case that any of these files are group-writable or world-writable?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-set_password_hashing_algorithm_logindefs_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that the shadow password suite configuration is set to encrypt password with a FIPS 140-2 approved cryptographic hashing algorithm.
│ │ │ │ -
│ │ │ │ -Check the hashing algorithm that is being used to hash passwords with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_rmmod_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that auditing of privileged command use is configured, run the
│ │ │ │ +following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i ENCRYPT_METHOD /etc/login.defs
│ │ │ │ +   sudo auditctl -l | grep -w '/sbin/rmmod'
│ │ │ │  
│ │ │ │ -ENCRYPT_METHOD 
│ │ │ │ -      Is it the case that ENCRYPT_METHOD is not set to &lt;sub idref="var_password_hashing_algorithm" /&gt;?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_use_priv_separation_question:question:1">
│ │ │ │ -      <ocil:question_text>To check if UsePrivilegeSeparation is enabled or set correctly, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep UsePrivilegeSeparation /etc/ssh/sshd_config
│ │ │ │ -If configured properly, output should be .
│ │ │ │ -      Is it the case that it is commented out or is not enabled?</ocil:question_text>
│ │ │ │ +If the system is configured to audit the execution of the module management program "rmmod",
│ │ │ │ +the command will return a line.
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-directory_owner_etc_sysctld_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/sysctl.d,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_iptables_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/iptables,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/sysctl.d
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ +$ ls -lL /etc/iptables
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/sysctl.d does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/iptables does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_user_dot_user_ownership_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify all local initialization files for interactive users are owned by the
│ │ │ │ -primary user, run the following command:
│ │ │ │ -$ sudo ls -al /home/USER/.*
│ │ │ │ -The user initialization files should be owned by USER.
│ │ │ │ -      Is it the case that they are not?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_password_pam_dcredit_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 12 enforces password complexity by requiring that at least one numeric character be used.
│ │ │ │ +
│ │ │ │ +Check the value for "dcredit" with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep dcredit /etc/security/pwquality.conf /etc/security/pwquality.conf.d/*.conf
│ │ │ │ +
│ │ │ │ +/etc/security/pwquality.conf:dcredit = 
│ │ │ │ +      Is it the case that the value of "dcredit" is a positive number or is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_tcp_syncookies_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.tcp_syncookies kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_password_set_max_life_root_question:question:1">
│ │ │ │ +      <ocil:question_text>Check whether the maximum time period for root account password is restricted to  days with the following commands:
│ │ │ │ +
│ │ │ │ +$ sudo awk -F: '$1 == "root" {print $1 " " $5}' /etc/shadow
│ │ │ │ +      Is it the case that any results are returned that are not associated with a system account?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_autoconf_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv6.conf.default.autoconf kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.tcp_syncookies
│ │ │ │ -1.
│ │ │ │ +$ sysctl net.ipv6.conf.default.autoconf
│ │ │ │ +0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │ -      <ocil:question_text>To properly set the owner of /etc/audit/, run the command:
│ │ │ │ -$ sudo chown root /etc/audit/ 
│ │ │ │ -
│ │ │ │ -To properly set the owner of /etc/audit/rules.d/, run the command:
│ │ │ │ -$ sudo chown root /etc/audit/rules.d/ 
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-ensure_logrotate_activated_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the status and frequency of logrotate, run the following command:
│ │ │ │ +$ sudo grep logrotate /var/log/cron*
│ │ │ │ +If logrotate is configured properly, output should include references to
│ │ │ │ +/etc/cron.daily.
│ │ │ │ +      Is it the case that logrotate is not configured to run daily?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's PrintLastLog option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_user_known_hosts_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's IgnoreUserKnownHosts option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i PrintLastLog /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep -i IgnoreUserKnownHosts /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │  If a line indicating yes is returned, then the required value is set.
│ │ │ │  
│ │ │ │        Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-mount_option_var_log_noexec_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the noexec option is configured for the /var/log mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/var/log\s'
│ │ │ │ -    . . . /var/log . . . noexec . . .
│ │ │ │ -
│ │ │ │ -      Is it the case that the "/var/log" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_strict_kernel_rwx_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_STRICT_KERNEL_WRX /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_password_question:question:1">
│ │ │ │ -      <ocil:question_text>First, check whether the password is defined in either /boot/grub/user.cfg or
│ │ │ │ -/boot/grub/grub.cfg.
│ │ │ │ -Run the following commands:
│ │ │ │ -$ sudo grep '^[\s]*GRUB2_PASSWORD=grub\.pbkdf2\.sha512.*$' /boot/grub/user.cfg
│ │ │ │ -$ sudo grep '^[\s]*password_pbkdf2[\s]+.*[\s]+grub\.pbkdf2\.sha512.*$' /boot/grub/grub.cfg
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -Second, check that a superuser is defined in /boot/grub/grub.cfg.
│ │ │ │ -$ sudo grep '^[\s]*set[\s]+superusers=("?)[a-zA-Z_]+\1$'  /boot/grub/grub.cfg
│ │ │ │ -      Is it the case that it does not produce any output?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_strict_module_rwx_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_STRICT_MODULE_RWX /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-partition_for_dev_shm_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that a separate file system/partition has been created for /dev/shm with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 defines default permissions for all authenticated users in such a way that the user can only read and modify their own files with the following command:
│ │ │ │  
│ │ │ │ -$ mountpoint /dev/shm
│ │ │ │ +# grep -i umask /etc/login.defs
│ │ │ │  
│ │ │ │ -      Is it the case that "/dev/shm is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-configure_user_data_backups_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that the system backups user data.
│ │ │ │ -      Is it the case that it is not?</ocil:question_text>
│ │ │ │ +UMASK 
│ │ │ │ +      Is it the case that the value for the "UMASK" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;", or the "UMASK" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_password_pam_ucredit_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 12 enforces password complexity by requiring that at least one upper-case character.
│ │ │ │ -
│ │ │ │ -Check the value for "ucredit" with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep ucredit /etc/security/pwquality.conf /etc/security/pwquality.conf.d/*.conf
│ │ │ │ -
│ │ │ │ -ucredit = -1
│ │ │ │ -      Is it the case that the value of "ucredit" is a positive number or is commented out?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_SLUB_DEBUG /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-snmpd_not_default_password_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure the default password is not set, run the following command:
│ │ │ │ -$ sudo grep -v "^#" /etc/snmp/snmpd.conf| grep -E 'public|private'
│ │ │ │ -There should be no output.
│ │ │ │ -      Is it the case that the default SNMP passwords public and private have not been changed or removed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_chrony_keys_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/chrony.keys,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/chrony.keys
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +chrony
│ │ │ │ +      Is it the case that /etc/chrony.keys does not have a group owner of chrony?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_kerb_auth_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's KerberosAuthentication option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i KerberosAuthentication /etc/ssh/sshd_config
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 disables storing core dumps for all users by issuing the following command:
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +$ grep -i storage /etc/systemd/coredump.conf
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +Storage=none
│ │ │ │ +      Is it the case that Storage is not set to none or is commented out and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_passwd_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/passwd" with the following command:
│ │ │ │ -
│ │ │ │ -$  sudo auditctl -l | grep -E '(/etc/passwd)'
│ │ │ │ -
│ │ │ │ --w /etc/passwd -p wa -k identity
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_tftp-server_removed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the tftp-server package is installed:
│ │ │ │ +$ dpkg -l  tftp-server
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_media_export_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -mount system call, run the following command:
│ │ │ │ -$ sudo grep "mount" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-aide_periodic_checking_systemd_timer_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the operating system routinely checks the baseline configuration for unauthorized changes.
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_time_stime_question:question:1">
│ │ │ │ -      <ocil:question_text>If the system is not configured to audit time changes, this is a finding.
│ │ │ │ -If the system is 64-bit only, this is not applicable
│ │ │ │ -ocil: |
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -stime system call, run the following command:
│ │ │ │ -$ sudo grep "stime" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +To determine that periodic AIDE execution has been scheduled, run the following command:
│ │ │ │ +$ systemctl list-timers should display aidecheck.timer or similar
│ │ │ │ +that starts a service to run AIDE check.
│ │ │ │ +      Is it the case that AIDE is not configured to scan periodically?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_force_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_hardened_usercopy_fallback_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_FORCE /boot/config.*
│ │ │ │ +    $ grep CONFIG_HARDENED_USERCOPY_FALLBACK /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_vm_mmap_min_addr_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the vm.mmap_min_addr kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_shared_media_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.conf.default.shared_media kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl vm.mmap_min_addr
│ │ │ │ -65536.
│ │ │ │ +$ sysctl net.ipv4.conf.default.shared_media
│ │ │ │ +0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_seccomp_filter_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECCOMP_FILTER /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if NOEXEC has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults.*\bnoexec\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that noexec is not enabled in sudo?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_password_pam_minclass_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the value of the "minclass" option in "/etc/security/pwquality.conf" with the following command:
│ │ │ │ -
│ │ │ │ -$ grep minclass /etc/security/pwquality.conf
│ │ │ │ -
│ │ │ │ -minclass = 
│ │ │ │ -      Is it the case that the value of "minclass" is set to less than "&lt;sub idref="var_password_pam_minclass" /&gt;" or is commented out?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_etc_shadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/shadow,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/shadow
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/shadow does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_require_authentication_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if NOPASSWD or !authenticate have been configured for
│ │ │ │ -sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "nopasswd\|\!authenticate" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that nopasswd and/or !authenticate is enabled in sudo?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_crypttab_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/crypttab,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/crypttab
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/crypttab does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_var_log_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /var/log,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_nftables_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/nftables,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /var/log
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ +$ ls -lL /etc/nftables
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /var/log does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/nftables does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_core_bpf_jit_harden_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.core.bpf_jit_harden kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_ip_forward_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.ip_forward kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.core.bpf_jit_harden
│ │ │ │ -2.
│ │ │ │ -
│ │ │ │ +$ sysctl net.ipv4.ip_forward
│ │ │ │ +0.
│ │ │ │ +The ability to forward packets is only appropriate for routers.
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/ssh/*_key,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_password_last_change_is_in_past_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that the interactive user account passwords last change time is not in the future
│ │ │ │ +The following command should return no output
│ │ │ │ +$ sudo expiration=$(cat /etc/shadow|awk -F ':' '{print $3}');
│ │ │ │ +for edate in ${expiration[@]}; do if [[ $edate &gt; $(( $(date +%s)/86400 )) ]];
│ │ │ │ +then echo "Expiry date in future";
│ │ │ │ +fi; done 
│ │ │ │ +      Is it the case that any interactive user password that has last change time in the future?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_efi_user_cfg_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /boot/grub2/user.cfg,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/ssh/*_key
│ │ │ │ +$ ls -l /boot/grub2/user.cfg
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │  -rw-------
│ │ │ │ -      Is it the case that /etc/ssh/*_key does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_enable_pubkey_auth_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's PubkeyAuthentication option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i PubkeyAuthentication /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ -
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +      Is it the case that /boot/grub2/user.cfg does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-mount_option_opt_nosuid_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the nosuid option is configured for the /opt mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/opt\s'
│ │ │ │ -    . . . /opt . . . nosuid . . .
│ │ │ │ -
│ │ │ │ -      Is it the case that the "/opt" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_ipsecd_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/ipsec.d,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/ipsec.d
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +0700
│ │ │ │ +      Is it the case that /etc/ipsec.d does not have unix mode 0700?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_SHA512 /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │ +      <ocil:question_text>To check if compression is enabled or set correctly, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep Compression /etc/ssh/sshd_config
│ │ │ │ +If configured properly, output should be no or delayed.
│ │ │ │ +      Is it the case that it is commented out, or is not set to no or delayed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_retpoline_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_slab_freelist_random_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_RETPOLINE /boot/config.*
│ │ │ │ +    $ grep CONFIG_SLAB_FREELIST_RANDOM /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-dir_system_commands_group_root_owned_question:question:1">
│ │ │ │ -      <ocil:question_text>System commands are stored in the following directories:
│ │ │ │ -/bin 
│ │ │ │ -/sbin 
│ │ │ │ -/usr/bin 
│ │ │ │ -/usr/sbin 
│ │ │ │ -/usr/local/bin 
│ │ │ │ -/usr/local/sbin
│ │ │ │ -For each of these directories, run the following command to find directories not
│ │ │ │ -owned by root:
│ │ │ │ -$ sudo find -L $DIR ! -group root -type d -exec chgrp root {} \;
│ │ │ │ -      Is it the case that any of these directories are not group owned by root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/ssh/*.pub,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/ssh/*.pub
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ssh/*.pub does not have an owner of root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_group_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/group" with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo auditctl -l | grep -E '(/etc/group)'
│ │ │ │ +
│ │ │ │ +-w /etc/group -p wa -k identity
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_rsyslog-gnutls_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the rsyslog-gnutls package is installed:
│ │ │ │ -$ dpkg -l  rsyslog-gnutls
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-mount_option_tmp_nosuid_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the nosuid option is configured for the /tmp mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/tmp\s'
│ │ │ │ +    . . . /tmp . . . nosuid . . .
│ │ │ │ +
│ │ │ │ +      Is it the case that the "/tmp" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_source_route_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.conf.default.accept_source_route kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.conf.all.arp_ignore kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.default.accept_source_route
│ │ │ │ -0.
│ │ │ │ +$ sysctl net.ipv4.conf.all.arp_ignore
│ │ │ │ +.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/shadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/shadow
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -shadow
│ │ │ │ -      Is it the case that /etc/shadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the audit package is installed: $ dpkg -l  audit
│ │ │ │ -      Is it the case that the audit package is not installed?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect /etc/audit/auditd.conf and locate the following line to
│ │ │ │ -determine how much data the system will retain in each audit log file:
│ │ │ │ -$ sudo grep max_log_file /etc/audit/auditd.conf
│ │ │ │ -max_log_file = 6
│ │ │ │ -      Is it the case that the system audit data threshold has not been properly configured?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_add_ignore_dot_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if ignore_dot has been configured for sudo, run the following command:
│ │ │ │ +$ sudo grep -ri "^[\s]*Defaults.*\bignore_dot\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return a matching output.
│ │ │ │ +      Is it the case that ignore_dot is not enabled in sudo?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_password_pam_retry_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 is configured to limit the "pwquality" retry option to .
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -Check for the use of the "pwquality" retry option in the PAM files with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_rsa_question:question:1">
│ │ │ │ +      <ocil:question_text>To check which SSH protocol version is allowed, check version of
│ │ │ │ +openssh-server with following command:
│ │ │ │ +$ rpm -qi openssh-server | grep Version
│ │ │ │ +Versions equal to or higher than 7.4 have deprecated the RhostsRSAAuthentication option.
│ │ │ │ +If version is lower than 7.4, run the following command to check configuration:
│ │ │ │ +To determine how the SSH daemon's RhostsRSAAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ grep pam_pwquality /etc/pam.d/common-password
│ │ │ │ +$ sudo grep -i RhostsRSAAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -password requisite pam_pwquality.so retry=
│ │ │ │ -      Is it the case that the value of "retry" is set to "0" or greater than "&lt;sub idref="var_password_pam_retry" /&gt;", or is missing?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_ypbind_removed_question:question:1">
│ │ │ │ -      <ocil:question_text>The ypbind package can be removed with the following command:  $ apt-get remove ypbind
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 12 generates an audit record for all uses of the "umount" and system call.
│ │ │ │ -To determine if the system is configured to audit calls to the
│ │ │ │ -"umount" system call, run the following command:
│ │ │ │ -$ sudo grep "umount" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line like the following.
│ │ │ │ --a always,exit -F arch=b32 -S umount -F auid&gt;=1000 -F auid!=unset -k privileged-umount
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -clock_settime system call, run the following command:
│ │ │ │ -$ sudo grep "clock_settime" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-security_patches_up_to_date_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 security patches and updates are installed and up to date.
│ │ │ │ +Updates are required to be applied with a frequency determined by organizational policy.
│ │ │ │  
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_rekey_limit_question:question:1">
│ │ │ │ -      <ocil:question_text>To check if RekeyLimit is set correctly, run the
│ │ │ │ -following command:
│ │ │ │  
│ │ │ │ -$ sudo grep RekeyLimit /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If configured properly, output should be
│ │ │ │ -RekeyLimit  
│ │ │ │ -      Is it the case that it is commented out or is not set?</ocil:question_text>
│ │ │ │ +Typical update frequency may be overridden by Information Assurance Vulnerability Alert (IAVA) notifications from CYBERCOM.
│ │ │ │ +      Is it the case that Debian 12 is in non-compliance with the organizational patching policy?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_etc_chrony_keys_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/chrony.keys,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/chrony.keys
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/chrony.keys does not have an owner of root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_audit_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the audit package is installed: $ dpkg -l  audit
│ │ │ │ +      Is it the case that the audit package is not installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_passwords_pam_faillock_deny_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 is configured to lock an account after 
│ │ │ │ -unsuccessful logon attempts with the command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-mount_option_boot_noexec_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the noexec option is configured for the /boot mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/boot\s'
│ │ │ │ +    . . . /boot . . . noexec . . .
│ │ │ │  
│ │ │ │ -$ grep 'deny =' /etc/security/faillock.conf
│ │ │ │ -deny = .
│ │ │ │ -      Is it the case that the "deny" option is not set to "&lt;sub idref="var_accounts_passwords_pam_faillock_deny" /&gt;"
│ │ │ │ -or less (but not "0"), is missing or commented out?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_iptables_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/iptables,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/iptables
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0700
│ │ │ │ -      Is it the case that /etc/iptables does not have unix mode 0700?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_slub_debug_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SLUB_DEBUG /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/boot" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_security_yama_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECURITY_YAMA /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_grub2_cfg_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /boot/grub/grub.cfg, run the command:
│ │ │ │ +$ sudo ls -lL /boot/grub/grub.cfg
│ │ │ │ +If properly configured, the output should indicate the following
│ │ │ │ +permissions: -rw-------
│ │ │ │ +      Is it the case that it does not?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv6.conf.default.max_addresses kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_unprivileged_bpf_disabled_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the kernel.unprivileged_bpf_disabled kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.default.max_addresses
│ │ │ │ +$ sysctl kernel.unprivileged_bpf_disabled
│ │ │ │  1.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_bashrc_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the umask setting is configured correctly in the /etc/bash.bashrc file with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep "umask" /etc/bash.bashrc
│ │ │ │ -
│ │ │ │ -umask 
│ │ │ │ -      Is it the case that the value for the "umask" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;", or the "umask" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_no_uid_except_zero_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that only the "root" account has a UID "0" assignment with the
│ │ │ │ +following command:
│ │ │ │ +$ awk -F: '$3 == 0 {print $1}' /etc/passwd
│ │ │ │ +root
│ │ │ │ +      Is it the case that any accounts other than "root" have a UID of "0"?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-postfix_client_configure_mail_alias_postmaster_question:question:1">
│ │ │ │ -      <ocil:question_text>Find the list of alias maps used by the Postfix mail server:
│ │ │ │ -$ sudo postconf alias_maps
│ │ │ │ -Query the Postfix alias maps for an alias for the postmaster user:
│ │ │ │ -$ sudo postmap -q postmaster hash:/etc/aliases
│ │ │ │ -The output should return root.
│ │ │ │ -      Is it the case that the alias is not set or is not root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_set_keepalive_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure ClientAliveInterval is set correctly, run the following command:
│ │ │ │ +$ sudo grep ClientAliveCountMax /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should be:
│ │ │ │ +ClientAliveCountMax 
│ │ │ │ +For SSH earlier than v8.2, a ClientAliveCountMax value of 0 causes a timeout precisely when
│ │ │ │ +the ClientAliveInterval is set.  Starting with v8.2, a value of 0 disables the timeout
│ │ │ │ +functionality completely.
│ │ │ │ +If the option is set to a number greater than 0, then the session will be disconnected after
│ │ │ │ +ClientAliveInterval * ClientAliveCountMax seconds without receiving a keep alive message.
│ │ │ │ +      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_iptables_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/iptables,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_pub_key_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/ssh/*.pub,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/iptables
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ +$ ls -lL /etc/ssh/*.pub
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/iptables does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/ssh/*.pub does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-audit_sudo_log_events_question:question:1">
│ │ │ │        <ocil:question_text>Verify the operating system audits activities performed during nonlocal
│ │ │ │  maintenance and diagnostic sessions. Run the following command:
│ │ │ │  $ sudo auditctl -l | grep sudo.log
│ │ │ │  -w /var/log/sudo.log -p wa -k maintenance
│ │ │ │  
│ │ │ │        Is it the case that Audit rule is not present?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_efi_user_cfg_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /boot/grub2/user.cfg,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-directory_owner_etc_selinux_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/selinux,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /boot/grub2/user.cfg
│ │ │ │ +$ ls -lL /etc/selinux
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/selinux does not have an owner of root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-rsyslog_files_permissions_question:question:1">
│ │ │ │ +      <ocil:question_text>The file permissions for all log files written by rsyslog should
│ │ │ │ +be set to 640, or more restrictive. These log files are determined by the
│ │ │ │ +second part of each Rule line in /etc/rsyslog.conf and typically
│ │ │ │ +all appear in /var/log. To see the permissions of a given log
│ │ │ │ +file, run the following command:
│ │ │ │ +$ ls -l LOGFILE
│ │ │ │ +The permissions should be 640, or more restrictive.
│ │ │ │ +      Is it the case that the permissions are not correct?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit changes to its SELinux
│ │ │ │ +configuration files, run the following command:
│ │ │ │ +$ sudo auditctl -l | grep "dir=/etc/selinux"
│ │ │ │ +If the system is configured to watch for changes to its SELinux
│ │ │ │ +configuration, a line should be returned (including
│ │ │ │ +perm=wa indicating permissions that are watched).
│ │ │ │ +      Is it the case that the system is not configured to audit attempts to change the MAC policy?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_action_mail_acct_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 12 is configured to notify the SA and/or ISSO (at a minimum) in the event of an audit processing failure with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep action_mail_acct /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +action_mail_acct = 
│ │ │ │ +      Is it the case that the value of the "action_mail_acct" keyword is not set to "&lt;sub idref="var_auditd_action_mail_acct" /&gt;" and/or other accounts for security personnel, the "action_mail_acct" keyword is missing, or the retuned line is commented out, ask the system administrator to indicate how they and the ISSO are notified of an audit process failure. If there is no evidence of the proper personnel being notified of an audit processing failure?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_grub2_cfg_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /boot/grub/grub.cfg,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /boot/grub/grub.cfg
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /boot/grub2/user.cfg does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /boot/grub/grub.cfg does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-chronyd_server_directive_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command and verify that time sources are only configured with server directive:
│ │ │ │ -# grep -E "^(server|pool)" /etc/chrony/chrony.conf
│ │ │ │ -A line with the appropriate server should be returned, any line returned starting with pool is a finding.
│ │ │ │ -      Is it the case that an authoritative remote time server is not configured or configured with pool directive?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_print_last_log_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's PrintLastLog option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i PrintLastLog /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_custom_logfile_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if logfile has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults\s*\blogfile\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that logfile is not enabled in sudo?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure the user home directory is not group-writable or world-readable, run the following:
│ │ │ │ +# ls -ld /home/USER
│ │ │ │ +      Is it the case that the user home directory is group-writable or world-readable?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-mount_option_nodev_nonroot_local_partitions_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify the nodev option is configured for non-root local partitions, run the following command:
│ │ │ │ -$ sudo mount | grep '^/dev\S* on /\S' | grep --invert-match 'nodev'
│ │ │ │ -The output shows local non-root partitions mounted without the nodev option, and there should be no output at all.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchown_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +fchown system call, run the following command:
│ │ │ │ +$ sudo grep "fchown" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -      Is it the case that some mounts appear among output lines?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_structleak_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-directory_owner_etc_ipsecd_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/ipsec.d,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ipsec.d
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ipsec.d does not have an owner of root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_sg_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_GCC_PLUGIN_STRUCTLEAK /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEBUG_SG /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-no_netrc_files_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the system for the existence of any .netrc files,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo find /home -xdev -name .netrc
│ │ │ │ -      Is it the case that any .netrc files exist?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_unlink_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -setxattr system call, run the following command:
│ │ │ │ -$ sudo grep "setxattr" /etc/audit/audit.*
│ │ │ │ +unlink system call, run the following command:
│ │ │ │ +$ sudo grep "unlink" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_perf_event_max_sample_rate_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the kernel.perf_event_max_sample_rate kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.perf_event_max_sample_rate
│ │ │ │ -1.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_ipsec_secrets_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/ipsec.secrets,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ipsec.secrets
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ipsec.secrets does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_root_password_login_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating prohibit-password is returned, then the required value is set.
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_talk_removed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the talk package is installed:
│ │ │ │ +$ dpkg -l  talk
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_slab_merge_default_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_pam_apparmor_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the pam_apparmor package is installed: $ dpkg -l  pam_apparmor
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SLAB_MERGE_DEFAULT /boot/config.*
│ │ │ │ +    $ grep CONFIG_PAGE_TABLE_ISOLATION /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_efi_grub2_cfg_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /boot/grub2/grub.cfg, run the command:
│ │ │ │ -$ sudo ls -lL /boot/grub2/grub.cfg
│ │ │ │ -If properly configured, the output should indicate the following
│ │ │ │ -permissions: -rwx------
│ │ │ │ -      Is it the case that it does not?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-account_unique_name_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify all accounts have unique names, run the following command:
│ │ │ │ +$ sudo getent passwd | awk -F: '{ print $1}' | uniq -d
│ │ │ │ +No output should be returned.
│ │ │ │ +      Is it the case that a line is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_vmap_stack_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_VMAP_STACK /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-sshd_set_maxstartups_question:question:1">
│ │ │ │        <ocil:question_text>To check if MaxStartups is configured, run the following command:
│ │ │ │  $ sudo grep -r ^[\s]*MaxStartups /etc/ssh/sshd_config*
│ │ │ │  If configured, this command should output the configuration.
│ │ │ │        Is it the case that maxstartups is not configured?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_local_events_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that Audit Daemon is configured to include local events, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep local_events /etc/audit/auditd.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -local_events = yes
│ │ │ │ -      Is it the case that local_events isn't set to yes?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_ufw_enabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -ufw service:
│ │ │ │ -$ sudo systemctl is-active ufw
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the service is not enabled?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_immutable_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the audit system prevents unauthorized changes with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep "^\s*[^#]" /etc/audit/audit.rules | tail -1
│ │ │ │ --e 2
│ │ │ │ -
│ │ │ │ -      Is it the case that the audit system is not set to be immutable by adding the "-e 2" option to the end of "/etc/audit/audit.rules"?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_chrony_keys_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/chrony.keys,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/chrony.keys
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -chrony
│ │ │ │ -      Is it the case that /etc/chrony.keys does not have a group owner of chrony?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-postfix_network_listening_disabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to ensure postfix accepts mail messages from only the local system:
│ │ │ │ -$ grep inet_interfaces /etc/postfix/main.cf
│ │ │ │ -If properly configured, the output should show only .
│ │ │ │ -      Is it the case that it does not?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-mount_option_home_nosuid_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the nosuid option is configured for the /home mount point,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-mount_option_var_tmp_nosuid_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the nosuid option is configured for the /var/tmp mount point,
│ │ │ │      run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/home\s'
│ │ │ │ -    . . . /home . . . nosuid . . .
│ │ │ │ -
│ │ │ │ -      Is it the case that the "/home" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_config_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/ssh/sshd_config,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /etc/ssh/sshd_config does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -rsyslog service:
│ │ │ │ -$ sudo systemctl is-active rsyslog
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the "rsyslog" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.conf.all.accept_redirects kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.accept_redirects
│ │ │ │ -0.
│ │ │ │ +    $ sudo mount | grep '\s/var/tmp\s'
│ │ │ │ +    . . . /var/tmp . . . nosuid . . .
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/var/tmp" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-disallow_bypass_password_sudo_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the operating system is not configured to bypass password requirements for privilege
│ │ │ │ -escalation. Check the configuration of the "/etc/pam.d/sudo" file with the following command:
│ │ │ │ -$ sudo grep pam_succeed_if /etc/pam.d/sudo
│ │ │ │ -      Is it the case that system is configured to bypass password requirements for privilege escalation?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_password_pam_unix_rounds_password_auth_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify the number of rounds for the password hashing algorithm is configured, run the following command:
│ │ │ │ +$ sudo grep rounds /etc/pam.d/common-password
│ │ │ │ +The output should show the following match:
│ │ │ │ + 
│ │ │ │ +password [sucess=1 default=ignore] pam_unix.so sha512 rounds=
│ │ │ │ +      Is it the case that rounds is not set to &lt;sub idref="var_password_pam_unix_rounds" /&gt; or is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_gnutls-utils_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the gnutls-utils package is installed: $ dpkg -l  gnutls-utils
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-securetty_root_login_console_only_question:question:1">
│ │ │ │ +      <ocil:question_text>To check for virtual console entries which permit root login, run the
│ │ │ │ +following command:
│ │ │ │ +$ sudo grep ^vc/[0-9] /etc/securetty
│ │ │ │ +If any output is returned, then root logins over virtual console devices is permitted.
│ │ │ │ +      Is it the case that root login over virtual console devices is permitted?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's HostbasedAuthentication option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that a separate file system/partition has been created for /srv with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i HostbasedAuthentication /etc/ssh/sshd_config
│ │ │ │ +$ mountpoint /srv
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +      Is it the case that "/srv is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_ownership_audit_configuration_question:question:1">
│ │ │ │ +      <ocil:question_text>To properly set the owner of /etc/audit/, run the command:
│ │ │ │ +$ sudo chown root /etc/audit/ 
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +To properly set the owner of /etc/audit/rules.d/, run the command:
│ │ │ │ +$ sudo chown root /etc/audit/rules.d/ 
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the open system call.
│ │ │ │  
│ │ │ │ -$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │ +If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │  
│ │ │ │ -If a line indicating yes is returned, then the required value is set.
│ │ │ │ +$ sudo grep -r open /etc/audit/rules.d
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_strict_module_rwx_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_STRICT_MODULE_RWX /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_root_login_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's PermitRootLogin option is set, run the following command:
│ │ │ │ +If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep -i PermitRootLogin /etc/ssh/sshd_config
│ │ │ │ +$ sudo grep open /etc/audit/audit.rules
│ │ │ │  
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ +The output should be the following:
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_rng_core_default_quality_argument_question:question:1">
│ │ │ │ -      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ -in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ -If they include rng_core.default_quality=, then the parameter
│ │ │ │ -is configured at boot time.
│ │ │ │ -$ sudo grep 'kernelopts.*rng_core.default_quality=.*' GRUBENV_FILE_LOCATION
│ │ │ │ -Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ -      Is it the case that trust on hardware random number generator is not configured appropriately?</ocil:question_text>
│ │ │ │ +-a always,exit -F arch=b32 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b32 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F arch=b64 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-mount_option_var_nosuid_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the nosuid option is configured for the /var mount point,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-mount_option_tmp_noexec_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the noexec option is configured for the /tmp mount point,
│ │ │ │      run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/var\s'
│ │ │ │ -    . . . /var . . . nosuid . . .
│ │ │ │ -
│ │ │ │ -      Is it the case that the "/var" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_root_path_dirs_no_write_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure write permissions are disabled for group and other
│ │ │ │ - for each element in root's path, run the following command:
│ │ │ │ -# ls -ld DIR
│ │ │ │ -      Is it the case that group or other write permissions exist?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_sysctld_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/sysctl.d,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/sysctl.d
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/sysctl.d does not have a group owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-account_passwords_pam_faillock_dir_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the "/etc/security/faillock.conf" file is configured use a non-default faillock directory to ensure contents persist after reboot:
│ │ │ │ -
│ │ │ │ -$ sudo grep 'dir =' /etc/security/faillock.conf
│ │ │ │ +    $ sudo mount | grep '\s/tmp\s'
│ │ │ │ +    . . . /tmp . . . noexec . . .
│ │ │ │  
│ │ │ │ -dir = /var/log/faillock
│ │ │ │ -      Is it the case that the "dir" option is not set to a non-default documented tally log directory, is missing or commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/tmp" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_arp_ignore_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.conf.all.arp_ignore kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_defrtr_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_ra_defrtr kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.arp_ignore
│ │ │ │ -.
│ │ │ │ +$ sysctl net.ipv6.conf.all.accept_ra_defrtr
│ │ │ │ +0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │ -      <ocil:question_text>To check for serial port entries which permit root login,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo grep ^ttyS/[0-9] /etc/securetty
│ │ │ │ -If any output is returned, then root login over serial ports is permitted.
│ │ │ │ -      Is it the case that root login over serial ports is permitted?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │ +      <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │ +
│ │ │ │ +If the system is configured to prevent the usage of the ipv6 on
│ │ │ │ +network interfaces, it will contain a line of the form:
│ │ │ │ +net.ipv6.conf.default.disable_ipv6 = 1
│ │ │ │ +Such lines may be inside any file in the /etc/sysctl.d directory.
│ │ │ │ +This permits insertion of the IPv6 kernel module (which other parts of the
│ │ │ │ +system expect to be present), but otherwise keeps network interfaces
│ │ │ │ +from using IPv6. Run the following command to search for such lines in all
│ │ │ │ +files in /etc/sysctl.d:
│ │ │ │ +$ grep -r ipv6 /etc/sysctl.d
│ │ │ │ +      Is it the case that the ipv6 support is disabled by default on network interfaces?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/gshadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/gshadow-
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /etc/gshadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_telnet_removed_question:question:1">
│ │ │ │ +      <ocil:question_text>The telnet package can be removed with the following command:  $ apt-get remove telnet
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_set_login_grace_time_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure LoginGraceTime is set correctly, run the following command:
│ │ │ │ -$ sudo grep LoginGraceTime /etc/ssh/sshd_config
│ │ │ │ -If properly configured, the output should be:
│ │ │ │ -LoginGraceTime 
│ │ │ │ -If the option is set to a number greater than 0, then the unauthenticated session will be disconnected
│ │ │ │ -after the configured number seconds.
│ │ │ │ -      Is it the case that it is commented out or not configured properly?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_etc_sestatus_conf_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/sestatus.conf,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/sestatus.conf
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/sestatus.conf does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │ -      <ocil:question_text>If the system is configured to prevent the loading of the rds kernel module,
│ │ │ │ -it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ -These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-mount_option_nodev_nonroot_local_partitions_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify the nodev option is configured for non-root local partitions, run the following command:
│ │ │ │ +$ sudo mount | grep '^/dev\S* on /\S' | grep --invert-match 'nodev'
│ │ │ │ +The output shows local non-root partitions mounted without the nodev option, and there should be no output at all.
│ │ │ │  
│ │ │ │ -Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ -$ grep -r rds /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +      Is it the case that some mounts appear among output lines?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_umount2_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -umount2 system call, run the following command:
│ │ │ │ -$ sudo grep "umount2" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_nss-tools_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the nss-tools package is installed: $ dpkg -l  nss-tools
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-mount_option_srv_nosuid_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the nosuid option is configured for the /srv mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/srv\s'
│ │ │ │ -    . . . /srv . . . nosuid . . .
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_pinfo_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_ra_pinfo kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv6.conf.all.accept_ra_pinfo
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -      Is it the case that the "/srv" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_secure_redirects_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.conf.default.secure_redirects kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_source_route_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_source_route kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.default.secure_redirects
│ │ │ │ +$ sysctl net.ipv6.conf.default.accept_source_route
│ │ │ │  0.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-coredump_disable_backtraces_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 disables core dump backtraces by issuing the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │ +      <ocil:question_text>To ensure that XDMCP is disabled in /etc/gdm/custom.conf, run the following command:
│ │ │ │ +grep -Pzo "\[xdmcp\]\nEnable=false" /etc/gdm/custom.conf
│ │ │ │ +The output should return the following:
│ │ │ │  
│ │ │ │ -$ grep -i process /etc/systemd/coredump.conf
│ │ │ │ +[xdmcp]
│ │ │ │ +Enable=false
│ │ │ │  
│ │ │ │ -ProcessSizeMax=0
│ │ │ │ -      Is it the case that the "ProcessSizeMax" item is missing, commented out, or the value is anything other than "0" and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │ +      Is it the case that the Enable is not set to false or is missing in the xdmcp section of the /etc/gdm/custom.conf gdm configuration file?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-rsyslog_remote_tls_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that rsyslog's Forwarding Output Module is configured
│ │ │ │ -to use TLS for logging to remote server, run the following command:
│ │ │ │ -$ grep omfwd /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ -The output should include record similar to
│ │ │ │ -action(type="omfwd" protocol="tcp" Target="&lt;remote system&gt;" port="6514"
│ │ │ │ -    StreamDriver="gtls" StreamDriverMode="1" StreamDriverAuthMode="x509/name" streamdriver.CheckExtendedKeyPurpose="on")
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_ip6tables_enabled_question:question:1">
│ │ │ │ +      <ocil:question_text>If IPv6 is disabled, this is not applicable.
│ │ │ │  
│ │ │ │ -where the &lt;remote system&gt; present in the configuration line above must be a valid IP address or a host name of the remote logging server.
│ │ │ │ -      Is it the case that omfwd is not configured with gtls and AuthMode?</ocil:question_text>
│ │ │ │ +
│ │ │ │ +
│ │ │ │ +Run the following command to determine the current status of the
│ │ │ │ +ip6tables service:
│ │ │ │ +$ sudo systemctl is-active ip6tables
│ │ │ │ +If the service is running, it should return the following: active
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_hibernation_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_HIBERNATION /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_rename_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +rename system call, run the following command:
│ │ │ │ +$ sudo grep "rename" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-rsyslog_remote_tls_cacert_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that rsyslog's Forwarding Output Module has CA certificate
│ │ │ │ -configured for its TLS connections to remote server, run the following command:
│ │ │ │ -$ grep DefaultNetstreamDriverCAFile /etc/rsyslog.conf /etc/rsyslog.d/*.conf
│ │ │ │ -The output should include record similar to
│ │ │ │ -global(DefaultNetstreamDriverCAFile="/etc/pki/tls/cert.pem")
│ │ │ │ -where the path to the CA file (/etc/pki/tls/cert.pem in case above) must point to the correct CA certificate.
│ │ │ │ -      Is it the case that CA certificate for rsyslog remote logging via TLS is not set?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudo_dedicated_group_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /usr/bin/sudo,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /usr/bin/sudo
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +
│ │ │ │ +      Is it the case that /usr/bin/sudo does not have a group owner of &lt;sub idref="var_sudo_dedicated_group" /&gt;?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_systemd-journald_enabled_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_rsyslog_enabled_question:question:1">
│ │ │ │        <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -systemd-journald service:
│ │ │ │ -$ sudo systemctl is-active systemd-journald
│ │ │ │ +rsyslog service:
│ │ │ │ +$ sudo systemctl is-active rsyslog
│ │ │ │  If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the systemd-journald service is not running?</ocil:question_text>
│ │ │ │ +      Is it the case that the "rsyslog" service is disabled, masked, or not started.?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_grub2_cfg_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /boot/grub/grub.cfg,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-restrict_serial_port_logins_question:question:1">
│ │ │ │ +      <ocil:question_text>To check for serial port entries which permit root login,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo grep ^ttyS/[0-9] /etc/securetty
│ │ │ │ +If any output is returned, then root login over serial ports is permitted.
│ │ │ │ +      Is it the case that root login over serial ports is permitted?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_etc_shells_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/shells,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /boot/grub/grub.cfg
│ │ │ │ +$ ls -lL /etc/shells
│ │ │ │  If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /boot/grub/grub.cfg does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/shells does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_accept_redirects_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv6.conf.default.accept_redirects kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv6.conf.default.accept_redirects
│ │ │ │ -0.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-partition_for_var_log_audit_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that a separate file system/partition has been created for /var/log/audit with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_logon_fail_delay_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 enforces a delay of at least  seconds between console logon prompts following a failed logon attempt with the following command:
│ │ │ │ +$ mountpoint /var/log/audit
│ │ │ │  
│ │ │ │ -$ sudo grep -i "FAIL_DELAY" /etc/login.defs
│ │ │ │ -FAIL_DELAY 
│ │ │ │ -      Is it the case that the value of "FAIL_DELAY" is not set to "&lt;sub idref="var_accounts_fail_delay" /&gt;" or greater, or the line is commented out?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_ntp_enabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -ntp service:
│ │ │ │ -$ sudo systemctl is-active ntp
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_mac_modification_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit changes to its SELinux
│ │ │ │ -configuration files, run the following command:
│ │ │ │ -$ sudo auditctl -l | grep "dir=/etc/selinux"
│ │ │ │ -If the system is configured to watch for changes to its SELinux
│ │ │ │ -configuration, a line should be returned (including
│ │ │ │ -perm=wa indicating permissions that are watched).
│ │ │ │ -      Is it the case that the system is not configured to audit attempts to change the MAC policy?</ocil:question_text>
│ │ │ │ +      Is it the case that "/var/log/audit is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_compression_question:question:1">
│ │ │ │ -      <ocil:question_text>To check if compression is enabled or set correctly, run the
│ │ │ │ -following command:
│ │ │ │ -$ sudo grep Compression /etc/ssh/sshd_config
│ │ │ │ -If configured properly, output should be no or delayed.
│ │ │ │ -      Is it the case that it is commented out, or is not set to no or delayed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_slub_debug_argument_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include slub_debug=, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*slub_debug=.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that SLUB/SLAB poisoning is not enabled?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-aide_scan_notification_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine that periodic AIDE execution has been scheduled, run the following command:
│ │ │ │ -
│ │ │ │ -$ grep aide /etc/crontab
│ │ │ │ -The output should return something similar to the following:
│ │ │ │ -05 4 * * * root /usr/sbin/aide --check | /bin/mail -s "$(hostname) - AIDE Integrity Check" root@localhost
│ │ │ │ -The email address that the notifications are sent to can be changed by overriding
│ │ │ │ -.
│ │ │ │ -      Is it the case that AIDE has not been configured or has not been configured to notify personnel of scan details?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_chrony_installed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the chrony package is installed: $ dpkg -l  chrony
│ │ │ │ +      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_openat_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the openat system call.
│ │ │ │ -
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -r openat /etc/audit/rules.d
│ │ │ │ -
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep openat /etc/audit/audit.rules
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_password_pam_minclass_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the value of the "minclass" option in "/etc/security/pwquality.conf" with the following command:
│ │ │ │  
│ │ │ │ -The output should be the following:
│ │ │ │ +$ grep minclass /etc/security/pwquality.conf
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S openat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S openat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /var/log,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /var/log
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /var/log does not have a group owner of root?</ocil:question_text>
│ │ │ │ +minclass = 
│ │ │ │ +      Is it the case that the value of "minclass" is set to less than "&lt;sub idref="var_password_pam_minclass" /&gt;" or is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_default_mmap_min_addr_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_stackprotector_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -$ grep CONFIG_DEFAULT_MMAP_MIN_ADDR /boot/config.*
│ │ │ │ -For each kernel installed, a line with value should be returned.
│ │ │ │ -If the system architecture is x86_64, the value should be 65536.
│ │ │ │ -If the system architecture is aarch64, the value should be 32768.
│ │ │ │ +    $ grep CONFIG_STACKPROTECTOR /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_xinetd_removed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the xinetd package is installed:
│ │ │ │ -$ dpkg -l  xinetd
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_login_defs_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 defines default permissions for all authenticated users in such a way that the user can only read and modify their own files with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +fchmodat system call, run the following command:
│ │ │ │ +$ sudo grep "fchmodat" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -# grep -i umask /etc/login.defs
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_perf_event_paranoid_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the kernel.perf_event_paranoid kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.perf_event_paranoid
│ │ │ │ +2.
│ │ │ │  
│ │ │ │ -UMASK 
│ │ │ │ -      Is it the case that the value for the "UMASK" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;", or the "UMASK" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_shells_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/shells,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/shells
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/shells does not have a group owner of root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that the audit system collects unauthorized file accesses, run the following commands:
│ │ │ │ +$ sudo grep EACCES /etc/audit/audit.rules
│ │ │ │ +$ sudo grep EPERM /etc/audit/audit.rules
│ │ │ │ +      Is it the case that 32-bit and 64-bit system calls to creat, open, openat, open_by_handle_at, truncate, and ftruncate are not audited during EACCES and EPERM?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_efi_user_cfg_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /boot/grub2/user.cfg,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /boot/grub2/user.cfg
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /boot/grub2/user.cfg does not have an owner of root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_users_home_files_ownership_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify all files and directories in a local interactive user's
│ │ │ │ +home directory have a valid owner, run the following command:
│ │ │ │ +$ sudo ls -lLR /home/USER
│ │ │ │ +      Is it the case that the user ownership is incorrect?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_acpi_custom_method_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_ACPI_CUSTOM_METHOD /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_net-snmp_removed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the snmp package is installed:
│ │ │ │ +$ dpkg -l  snmp
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_password_pam_dcredit_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 12 enforces password complexity by requiring that at least one numeric character be used.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_snmpd_disabled_question:question:1">
│ │ │ │ +      <ocil:question_text>To check that the snmpd service is disabled in system boot configuration,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo systemctl is-enabled snmpd
│ │ │ │ +Output should indicate the snmpd service has either not been installed,
│ │ │ │ +or has been disabled at all runlevels, as shown in the example below:
│ │ │ │ +$ sudo systemctl is-enabled snmpd disabled
│ │ │ │  
│ │ │ │ -Check the value for "dcredit" with the following command:
│ │ │ │ +Run the following command to verify snmpd is not active (i.e. not running) through current runtime configuration:
│ │ │ │ +$ sudo systemctl is-active snmpd
│ │ │ │  
│ │ │ │ -$ sudo grep dcredit /etc/security/pwquality.conf /etc/security/pwquality.conf.d/*.conf
│ │ │ │ +If the service is not running the command will return the following output:
│ │ │ │ +inactive
│ │ │ │  
│ │ │ │ -/etc/security/pwquality.conf:dcredit = 
│ │ │ │ -      Is it the case that the value of "dcredit" is a positive number or is commented out?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_no_sanity_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PAGE_POISONING_NO_SANITY /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-partition_for_var_log_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that a separate file system/partition has been created for /var/log with the following command:
│ │ │ │ +The service will also be masked, to check that the snmpd is masked, run the following command:
│ │ │ │ +$ sudo systemctl show snmpd | grep "LoadState\|UnitFileState"
│ │ │ │  
│ │ │ │ -$ mountpoint /var/log
│ │ │ │ +If the service is masked the command will return the following outputs:
│ │ │ │  
│ │ │ │ -      Is it the case that "/var/log is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-no_direct_root_logins_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure root may not directly login to the system over physical consoles,
│ │ │ │ -run the following command:
│ │ │ │ -cat /etc/securetty
│ │ │ │ -If any output is returned, this is a finding.
│ │ │ │ -      Is it the case that the /etc/securetty file is not empty?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-mount_option_boot_nosuid_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the nosuid option is configured for the /boot mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/boot\s'
│ │ │ │ -    . . . /boot . . . nosuid . . .
│ │ │ │ +LoadState=masked
│ │ │ │  
│ │ │ │ -      Is it the case that the "/boot" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-aide_build_database_question:question:1">
│ │ │ │ -      <ocil:question_text>To find the location of the AIDE database file, run the following command:
│ │ │ │ -$ sudo ls -l DBDIR/database_file_name
│ │ │ │ -      Is it the case that there is no database file?</ocil:question_text>
│ │ │ │ +UnitFileState=masked
│ │ │ │ +      Is it the case that the "snmpd" is loaded and not masked?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-package_openssh-server_removed_question:question:1">
│ │ │ │        <ocil:question_text>Run the following command to determine if the openssh-server package is installed: $ dpkg -l  openssh-server
│ │ │ │        Is it the case that the package is installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_module_ipv6_option_disabled_question:question:1">
│ │ │ │ -      <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │ -
│ │ │ │ -If the system is configured to disable the
│ │ │ │ -ipv6 kernel module, it will contain a line
│ │ │ │ -of the form:
│ │ │ │ -options ipv6 disable=1
│ │ │ │ -Such lines may be inside any file in /etc/modprobe.d or the
│ │ │ │ -deprecated/etc/modprobe.conf.  This permits insertion of the IPv6
│ │ │ │ -kernel module (which other parts of the system expect to be present), but
│ │ │ │ -otherwise keeps it inactive.  Run the following command to search for such
│ │ │ │ -lines in all files in /etc/modprobe.d and the deprecated
│ │ │ │ -/etc/modprobe.conf:
│ │ │ │ -$ grep -r ipv6 /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ -      Is it the case that the ipv6 kernel module is not disabled?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_password_minlen_login_defs_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the minimum password length, run the command:
│ │ │ │ -$ grep PASS_MIN_LEN /etc/login.defs
│ │ │ │ -The DoD requirement is 15.
│ │ │ │ -      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_gshadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/gshadow,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/gshadow
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r-----
│ │ │ │ -      Is it the case that /etc/gshadow does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_rmmod_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that auditing of privileged command use is configured, run the
│ │ │ │ -following command:
│ │ │ │ -
│ │ │ │ -   sudo auditctl -l | grep -w '/sbin/rmmod'
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +lchown system call, run the following command:
│ │ │ │ +$ sudo grep "lchown" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │ -If the system is configured to audit the execution of the module management program "rmmod",
│ │ │ │ -the command will return a line.
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-mount_option_boot_noexec_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the noexec option is configured for the /boot mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/boot\s'
│ │ │ │ -    . . . /boot . . . noexec . . .
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_all_accept_ra_rtr_pref_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv6.conf.all.accept_ra_rtr_pref kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv6.conf.all.accept_ra_rtr_pref
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ -      Is it the case that the "/boot" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_compat_vdso_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_COMPAT_VDSO /boot/config.*
│ │ │ │ -    
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_gshadow_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/gshadow" with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep -E '(/etc/gshadow)'
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-partition_for_opt_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that a separate file system/partition has been created for /opt with the following command:
│ │ │ │  
│ │ │ │ --w /etc/gshadow -p wa -k identity
│ │ │ │ +$ mountpoint /opt
│ │ │ │  
│ │ │ │ -If the command does not return a line, or the line is commented out, this is a finding.
│ │ │ │ -      Is it the case that the system is not configured to audit account changes?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_polyinstantiated_tmp_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to ensure that /tmp is configured as a
│ │ │ │ -polyinstantiated directory:
│ │ │ │ -$ sudo grep /tmp /etc/security/namespace.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -/tmp     /tmp/tmp-inst/            level      root,adm
│ │ │ │ -      Is it the case that is not configured?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_ipsec_conf_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/ipsec.conf,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/ipsec.conf
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0644
│ │ │ │ -      Is it the case that /etc/ipsec.conf does not have unix mode 0644?</ocil:question_text>
│ │ │ │ +      Is it the case that "/opt is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_vsyscall_xonly_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_fortify_source_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_LEGACY_VSYSCALL_XONLY /boot/config.*
│ │ │ │ +    $ grep CONFIG_FORTIFY_SOURCE /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-chronyd_specify_remote_server_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command and verify remote server is configured properly:
│ │ │ │ -# grep -E "^(server|pool)" /etc/chrony/chrony.conf
│ │ │ │ -      Is it the case that a remote time server is not configured?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_add_requiretty_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if requiretty has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults.*\brequiretty\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that requiretty is not enabled in sudo?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-rsyslog_files_ownership_question:question:1">
│ │ │ │ -      <ocil:question_text>The owner of all log files written by rsyslog should be
│ │ │ │ -
│ │ │ │ -adm.
│ │ │ │ -
│ │ │ │ -These log files are determined by the second part of each Rule line in
│ │ │ │ -/etc/rsyslog.conf and typically all appear in /var/log.
│ │ │ │ -To see the owner of a given log file, run the following command:
│ │ │ │ -$ ls -l LOGFILE
│ │ │ │ -      Is it the case that the owner is not correct?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sudoers_explicit_command_args_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if arguments that commands can be executed with are restricted, run the following command:
│ │ │ │ +$ sudo grep -PR '^(?:\s*[^#=]+)=(?:\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+(?:[ \t]+[^,\s]+)+[ \t]*,)*(\s*(?:\([^\)]+\))?\s*(?!\s*\()[^,\s]+[ \t]*(?:,|$))' /etc/sudoers /etc/sudoers.d/
│ │ │ │ +The command should return no output.
│ │ │ │ +      Is it the case that /etc/sudoers file contains user specifications that allow execution of commands with any arguments?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_sudoers_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/sudoers,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_user_cfg_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /boot/grub/user.cfg,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/sudoers
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ +$ ls -lL /boot/grub/user.cfg
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/sudoers does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /boot/grub/user.cfg does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/passwd-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/passwd-
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/passwd- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_telnet-server_removed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the telnet-server package is installed:
│ │ │ │ +$ dpkg -l  telnet-server
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_sudoersd_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/sudoers.d,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_group_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/group-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/sudoers.d
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ +$ ls -lL /etc/group-
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/sudoers.d does not have a group owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_structleak_byref_all_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_GCC_PLUGIN_STRUCTLEAK_BYREF_ALL /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-gid_passwd_group_same_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure all GIDs referenced in /etc/passwd are defined in /etc/group,
│ │ │ │ -run the following command:
│ │ │ │ -$ sudo pwck -qr
│ │ │ │ -There should be no output.
│ │ │ │ -      Is it the case that GIDs referenced in /etc/passwd are returned as not defined in /etc/group?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_pam_apparmor_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the pam_apparmor package is installed: $ dpkg -l  pam_apparmor
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_nftables_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/nftables,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/nftables
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0700
│ │ │ │ -      Is it the case that /etc/nftables does not have unix mode 0700?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/group- does not have an owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_creat_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the creat system call.
│ │ │ │ -
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -r creat /etc/audit/rules.d
│ │ │ │ -
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep creat /etc/audit/audit.rules
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_shutdown_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "shutdown" command with the following command:
│ │ │ │  
│ │ │ │ -The output should be the following:
│ │ │ │ +$ sudo auditctl -l | grep shutdown
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S creat -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S creat -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ +-a always,exit -F path=/shutdown -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-shutdown
│ │ │ │        Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-coredump_disable_storage_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 disables storing core dumps for all users by issuing the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_sysadmin_actions_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that auditing is configured for system administrator actions, run the following command:
│ │ │ │ +$ sudo auditctl -l | grep "watch=/etc/sudoers\|watch=/etc/sudoers.d\|-w /etc/sudoers\|-w /etc/sudoers.d"
│ │ │ │ +      Is it the case that there is not output?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_password_question:question:1">
│ │ │ │ +      <ocil:question_text>First, check whether the password is defined in either /boot/grub/user.cfg or
│ │ │ │ +/boot/grub/grub.cfg.
│ │ │ │ +Run the following commands:
│ │ │ │ +$ sudo grep '^[\s]*GRUB2_PASSWORD=grub\.pbkdf2\.sha512.*$' /boot/grub/user.cfg
│ │ │ │ +$ sudo grep '^[\s]*password_pbkdf2[\s]+.*[\s]+grub\.pbkdf2\.sha512.*$' /boot/grub/grub.cfg
│ │ │ │  
│ │ │ │ -$ grep -i storage /etc/systemd/coredump.conf
│ │ │ │  
│ │ │ │ -Storage=none
│ │ │ │ -      Is it the case that Storage is not set to none or is commented out and the need for core dumps is not documented with the Information System Security Officer (ISSO) as an operational requirement for all domains that have the "core" item assigned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_MFEhiplsm_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that McAfee HIPS is installed, run the following command(s):
│ │ │ │ -$ rpm -q MFEhiplsm
│ │ │ │ -      Is it the case that the HBSS HIPS module is not installed?</ocil:question_text>
│ │ │ │ +Second, check that a superuser is defined in /boot/grub/grub.cfg.
│ │ │ │ +$ sudo grep '^[\s]*set[\s]+superusers=("?)[a-zA-Z_]+\1$'  /boot/grub/grub.cfg
│ │ │ │ +      Is it the case that it does not produce any output?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_efi_grub2_cfg_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /boot/grub2/grub.cfg,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_efi_grub2_cfg_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /boot/grub2/grub.cfg,
│ │ │ │  run the command:
│ │ │ │  $ ls -lL /boot/grub2/grub.cfg
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /boot/grub2/grub.cfg does not have an owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /boot/grub2/grub.cfg does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_vmap_stack_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_VMAP_STACK /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_tcp_rfc1337_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.tcp_rfc1337 kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.tcp_rfc1337
│ │ │ │ +1.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_hardlinks_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the fs.protected_hardlinks kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_max_addresses_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv6.conf.default.max_addresses kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl fs.protected_hardlinks
│ │ │ │ +$ sysctl net.ipv6.conf.default.max_addresses
│ │ │ │  1.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_slab_freelist_random_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SLAB_FREELIST_RANDOM /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_modprobe_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that auditing of privileged command use is configured, run the
│ │ │ │ +following command:
│ │ │ │ +
│ │ │ │ +  sudo auditctl -l | grep -w '/sbin/modprobe'
│ │ │ │ +  -w /sbin/modprobe -p x -k modules
│ │ │ │ +
│ │ │ │ +It should return a relevant line in the audit rules.
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchmodat_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_chown_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchmodat system call, run the following command:
│ │ │ │ -$ sudo grep "fchmodat" /etc/audit/audit.*
│ │ │ │ +chown system call, run the following command:
│ │ │ │ +$ sudo grep "chown" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_poweroff_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "poweroff" command with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep poweroff
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-mount_option_var_noexec_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the noexec option is configured for the /var mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/var\s'
│ │ │ │ +    . . . /var . . . noexec . . .
│ │ │ │  
│ │ │ │ --a always,exit -F path=/poweroff -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-poweroff
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/var" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_ipsecd_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/ipsec.d,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/ipsec.d
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ipsec.d does not have a group owner of root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that auditing of privileged command use is configured, run the following command
│ │ │ │ +to search privileged commands in relevant partitions and check if they are covered by auditd
│ │ │ │ +rules:
│ │ │ │ +
│ │ │ │ +FILTER_NODEV=$(awk '/nodev/ { print $2 }' /proc/filesystems | paste -sd,)
│ │ │ │ +PARTITIONS=$(findmnt -n -l -k -it $FILTER_NODEV | grep -Pv "noexec|nosuid" | awk '{ print $1 }')
│ │ │ │ +for PARTITION in $PARTITIONS; do
│ │ │ │ +  for PRIV_CMD in $(find "${PARTITION}" -xdev -perm /6000 -type f 2&gt;/dev/null); do
│ │ │ │ +    grep -qr "${PRIV_CMD}" /etc/audit/rules.d /etc/audit/audit.rules &amp;&amp;
│ │ │ │ +      printf "OK: ${PRIV_CMD}\n" || printf "WARNING - rule not found for: ${PRIV_CMD}\n"
│ │ │ │ +  done
│ │ │ │ +done
│ │ │ │ +
│ │ │ │ +The output should not contain any WARNING.
│ │ │ │ +      Is it the case that any setuid or setgid programs doesn't have a line in the audit rules?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lsetxattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_setxattr_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -lsetxattr system call, run the following command:
│ │ │ │ -$ sudo grep "lsetxattr" /etc/audit/audit.*
│ │ │ │ +setxattr system call, run the following command:
│ │ │ │ +$ sudo grep "setxattr" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudoers_no_root_target_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the users are allowed to run commands as root, run the following commands:
│ │ │ │ -$ sudo grep -PR '^\s*((?!root\b)[\w]+)\s*(\w+)\s*=\s*(.*,)?\s*[^\(\s]' /etc/sudoers /etc/sudoers.d/
│ │ │ │ -and
│ │ │ │ -$ sudo grep -PR '^\s*((?!root\b)[\w]+)\s*(\w+)\s*=\s*(.*,)?\s*\([\w\s]*\b(root|ALL)\b[\w\s]*\)' /etc/sudoers /etc/sudoers.d/
│ │ │ │ -Both commands should return no output.
│ │ │ │ -      Is it the case that /etc/sudoers file contains rules that allow non-root users to run commands as root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_password_pam_ucredit_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 12 enforces password complexity by requiring that at least one upper-case character.
│ │ │ │ +
│ │ │ │ +Check the value for "ucredit" with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep ucredit /etc/security/pwquality.conf /etc/security/pwquality.conf.d/*.conf
│ │ │ │ +
│ │ │ │ +ucredit = -1
│ │ │ │ +      Is it the case that the value of "ucredit" is a positive number or is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_overflow_action_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the audit system is configured to take an appropriate action when the internal event queue is full:
│ │ │ │ -$ sudo grep -i overflow_action /etc/audit/auditd.conf
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_fs_protected_hardlinks_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the fs.protected_hardlinks kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl fs.protected_hardlinks
│ │ │ │ +1.
│ │ │ │  
│ │ │ │ -The output should contain overflow_action = syslog
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_icmp_ignore_bogus_error_responses_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.icmp_ignore_bogus_error_responses kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.icmp_ignore_bogus_error_responses
│ │ │ │ +1.
│ │ │ │  
│ │ │ │ -If the value of the "overflow_action" option is not set to syslog,
│ │ │ │ -single, halt or the line is commented out, ask the System Administrator
│ │ │ │ -to indicate how the audit logs are off-loaded to a different system or media.
│ │ │ │ -      Is it the case that auditd overflow action is not set correctly?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_home_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure the user home directory is not group-writable or world-readable, run the following:
│ │ │ │ -# ls -ld /home/USER
│ │ │ │ -      Is it the case that the user home directory is group-writable or world-readable?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_ip_local_port_range_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.ip_local_port_range kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.ip_local_port_range
│ │ │ │ +32768 65535.
│ │ │ │ +
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_security_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECURITY /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-aide_verify_ext_attributes_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine that AIDE is verifying extended file attributes, run the following command:
│ │ │ │ +$ grep xattrs /etc/aide/aide.conf
│ │ │ │ +Verify that the xattrs option is added to the correct ruleset.
│ │ │ │ +      Is it the case that the xattrs option is missing or not added to the correct ruleset?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_admin_space_left_action_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 12 is configured to take action in the event of allocated audit record storage volume reaches 95 percent of the repository maximum audit record storage capacity with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_reboot_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "reboot" command with the following command:
│ │ │ │  
│ │ │ │ -$ sudo grep admin_space_left_action /etc/audit/auditd.conf
│ │ │ │ +$ sudo auditctl -l | grep reboot
│ │ │ │  
│ │ │ │ -admin_space_left_action = single
│ │ │ │ +-a always,exit -F path=/reboot -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-reboot
│ │ │ │ +      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-mount_option_srv_nosuid_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the nosuid option is configured for the /srv mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/srv\s'
│ │ │ │ +    . . . /srv . . . nosuid . . .
│ │ │ │  
│ │ │ │ -If the value of the "admin_space_left_action" is not set to "single", or if the line is commented out, ask the System Administrator to indicate how the system is providing real-time alerts to the SA and ISSO.
│ │ │ │ -      Is it the case that there is no evidence that real-time alerts are configured on the system?</ocil:question_text>
│ │ │ │ +      Is it the case that the "/srv" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_login_events_lastlog_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/var/log/lastlog" with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_do_not_permit_user_env_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's PermitUserEnvironment option is set, run the following command:
│ │ │ │  
│ │ │ │ -$ sudo auditctl -l | grep /var/log/lastlog
│ │ │ │ +$ sudo grep -i PermitUserEnvironment /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ --w /var/log/lastlog -p wa -k logins
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-gnome_gdm_disable_xdmcp_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure that XDMCP is disabled in /etc/gdm/custom.conf, run the following command:
│ │ │ │ -grep -Pzo "\[xdmcp\]\nEnable=false" /etc/gdm/custom.conf
│ │ │ │ -The output should return the following:
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -[xdmcp]
│ │ │ │ -Enable=false
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_ownership_library_dirs_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the system-wide shared library files are owned by "root" with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the Enable is not set to false or is missing in the xdmcp section of the /etc/gdm/custom.conf gdm configuration file?</ocil:question_text>
│ │ │ │ +$ sudo find -L /lib /lib64 /usr/lib /usr/lib64 ! -user root -exec ls -l {} \;
│ │ │ │ +      Is it the case that any system wide shared library file is not owned by root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_pid_max_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the kernel.pid_max kernel parameter can be queried
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_yama_ptrace_scope_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the kernel.yama.ptrace_scope kernel parameter can be queried
│ │ │ │  by running the following command:
│ │ │ │ -$ sysctl kernel.pid_max
│ │ │ │ -65536.
│ │ │ │ +$ sysctl kernel.yama.ptrace_scope
│ │ │ │ +1.
│ │ │ │  
│ │ │ │        Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_truncate_question:question:1">
│ │ │ │        <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the truncate system call.
│ │ │ │  
│ │ │ │  If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ @@ -12000,602 +12152,450 @@
│ │ │ │  
│ │ │ │  -a always,exit -F arch=b32 -S truncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │  -a always,exit -F arch=b64 -S truncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │  -a always,exit -F arch=b32 -S truncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │  -a always,exit -F arch=b64 -S truncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │        Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │ -      <ocil:question_text>Make sure that the kernel is not disabling SMEP with the following
│ │ │ │ -commands.
│ │ │ │ -grep -q nosmep /boot/config-`uname -r`
│ │ │ │ -If the command returns a line, it means that SMEP is being disabled.
│ │ │ │ -      Is it the case that the kernel is configured to disable SMEP?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-no_empty_passwords_etc_shadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To verify that null passwords cannot be used, run the following command:
│ │ │ │ +$ sudo awk -F: '!$2 {print $1}' /etc/shadow
│ │ │ │ +If this produces any output, it may be possible to log into accounts
│ │ │ │ +with empty passwords.
│ │ │ │ +      Is it the case that Blank or NULL passwords can be used?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_zero_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_disable_rhosts_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's IgnoreRhosts option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i IgnoreRhosts /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_owner_sshd_config_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the ownership of /etc/ssh/sshd_config,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/ssh/sshd_config
│ │ │ │ +If properly configured, the output should indicate the following owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/ssh/sshd_config does not have an owner of root?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_randstruct_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PAGE_POISONING_ZERO /boot/config.*
│ │ │ │ +    $ grep CONFIG_GCC_PLUGIN_RANDSTRUCT /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-dir_ownership_binary_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>System executables are stored in the following directories by default:
│ │ │ │ -/bin
│ │ │ │ -/sbin
│ │ │ │ -/usr/bin
│ │ │ │ -/usr/local/bin
│ │ │ │ -/usr/local/sbin
│ │ │ │ -/usr/sbin
│ │ │ │ -For each of these directories, run the following command to find files
│ │ │ │ -not owned by root:
│ │ │ │ -$ sudo find -L DIR/ ! -user root -type d -exec chown root {} \;
│ │ │ │ -      Is it the case that any system executables directories are found to not be owned by root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_iptables_enabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -iptables service:
│ │ │ │ -$ sudo systemctl is-active iptables
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ +      Is it the case that the kernel was built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_set_loglevel_verbose_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's LogLevel option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i LogLevel /etc/ssh/sshd_config
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_shadow_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/passwd with the following command:
│ │ │ │  
│ │ │ │ -If a line indicating VERBOSE is returned, then the required value is set.
│ │ │ │ +$  sudo auditctl -l | grep -E '(/etc/shadow)'
│ │ │ │  
│ │ │ │ -      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │ +-w /etc/shadow -p wa -k identity
│ │ │ │ +      Is it the case that command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-directory_permissions_etc_sudoersd_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/sudoers.d,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_gshadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/gshadow-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/sudoers.d
│ │ │ │ +$ ls -l /etc/gshadow-
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │ -0750
│ │ │ │ -      Is it the case that /etc/sudoers.d does not have unix mode 0750?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_max_concurrent_login_sessions_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 limits the number of concurrent sessions to
│ │ │ │ -"" for all
│ │ │ │ -accounts and/or account types with the following command:
│ │ │ │ -$ grep -r -s maxlogins /etc/security/limits.conf /etc/security/limits.d/*.conf
│ │ │ │ -/etc/security/limits.conf:* hard maxlogins 10
│ │ │ │ -This can be set as a global domain (with the * wildcard) but may be set differently for multiple domains.
│ │ │ │ -      Is it the case that the "maxlogins" item is missing, commented out, or the value is set greater
│ │ │ │ -than "&lt;sub idref="var_accounts_max_concurrent_login_sessions" /&gt;" and
│ │ │ │ -is not documented with the Information System Security Officer (ISSO) as an
│ │ │ │ -operational requirement for all domains that have the "maxlogins" item
│ │ │ │ -assigned'?</ocil:question_text>
│ │ │ │ +-rw-r-----
│ │ │ │ +      Is it the case that /etc/gshadow- does not have unix mode -rw-r-----?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_sendmail_removed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the sendmail package is installed:
│ │ │ │ -$ dpkg -l  sendmail
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lremovexattr_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ +lremovexattr system call, run the following command:
│ │ │ │ +$ sudo grep "lremovexattr" /etc/audit/audit.*
│ │ │ │ +If the system is configured to audit this activity, it will return a line.
│ │ │ │ +
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_security_dmesg_restrict_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_page_poisoning_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_SECURITY_DMESG_RESTRICT /boot/config.*
│ │ │ │ +    $ grep CONFIG_PAGE_POISONING /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_nftables_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/nftables,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/nftables
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/nftables does not have a group owner of root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-mount_option_opt_nosuid_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the nosuid option is configured for the /opt mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/opt\s'
│ │ │ │ +    . . . /opt . . . nosuid . . .
│ │ │ │ +
│ │ │ │ +      Is it the case that the "/opt" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_ownership_sshd_private_key_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/ssh/*_key,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/ssh/*_key
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ssh/*_key does not have an owner of root?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit account changes,
│ │ │ │ +run the following command:
│ │ │ │ +auditctl -l | grep -E '(/etc/passwd|/etc/shadow|/etc/group|/etc/gshadow|/etc/security/opasswd)'
│ │ │ │ +If the system is configured to watch for account changes, lines should be returned for
│ │ │ │ +each file specified (and with perm=wa for each).
│ │ │ │ +      Is it the case that the system is not configured to audit account changes?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_route_localnet_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.conf.all.route_localnet kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.route_localnet
│ │ │ │ -0.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_bashrc_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the umask setting is configured correctly in the /etc/bash.bashrc file with the following command:
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ +$ sudo grep "umask" /etc/bash.bashrc
│ │ │ │ +
│ │ │ │ +umask 
│ │ │ │ +      Is it the case that the value for the "umask" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;", or the "umask" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_add_noexec_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if NOEXEC has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults.*\bnoexec\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that noexec is not enabled in sudo?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-timer_logrotate_enabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine the current status of the logrotate timer: $ sudo systemctl is-active logrotate.timer If the timer is running, it should return the following: active
│ │ │ │ +      Is it the case that logrotate timer is not enabled?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_sudoers_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/sudoers,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -l /etc/sudoers
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ -0440
│ │ │ │ -      Is it the case that /etc/sudoers does not have unix mode 0440?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-mount_option_dev_shm_nosuid_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify the nosuid option is configured for the /dev/shm mount point,
│ │ │ │ +    run the following command:
│ │ │ │ +    $ sudo mount | grep '\s/dev/shm\s'
│ │ │ │ +    . . . /dev/shm . . . nosuid . . .
│ │ │ │ +
│ │ │ │ +      Is it the case that the "/dev/shm" file system does not have the "nosuid" option set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_ia32_emulation_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_IA32_EMULATION /boot/config.*
│ │ │ │ +    $ grep CONFIG_DEBUG_CREDENTIALS /boot/config.*
│ │ │ │      
│ │ │ │ -    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ -    lines should be returned.
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_chronyd_or_ntpd_enabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -chrony service:
│ │ │ │ -$ sudo systemctl is-active chrony
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -
│ │ │ │ -Run the following command to determine the current status of the
│ │ │ │ -ntpd service:
│ │ │ │ -$ sudo systemctl is-active ntpd
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-directory_owner_etc_nftables_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/nftables,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/nftables
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/nftables does not have an owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_setroubleshoot-plugins_removed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the setroubleshoot-plugins package is installed:
│ │ │ │ -$ dpkg -l  setroubleshoot-plugins
│ │ │ │ -      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_fortify_source_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_sched_stack_end_check_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_FORTIFY_SOURCE /boot/config.*
│ │ │ │ +    $ grep CONFIG_SCHED_STACK_END_CHECK /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_remove_nopasswd_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if NOPASSWD has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri nopasswd /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return no output.
│ │ │ │ -      Is it the case that nopasswd is specified in the sudo config files?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_ypbind_removed_question:question:1">
│ │ │ │ +      <ocil:question_text>The ypbind package can be removed with the following command:  $ apt-get remove ypbind
│ │ │ │ +      Is it the case that ?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_insmod_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that auditing of privileged command use is configured, run the
│ │ │ │ -following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │ +      <ocil:question_text>If the system is configured to prevent the loading of the tipc kernel module,
│ │ │ │ +it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ +These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │  
│ │ │ │ -   sudo auditctl -l | grep -w '/sbin/insmod'
│ │ │ │ +Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ +$ grep -r tipc /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ +      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/passwd,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -l /etc/passwd
│ │ │ │ +If properly configured, the output should indicate the following permissions:
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/passwd does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-set_iptables_default_rule_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect the file /etc/sysconfig/iptables to determine
│ │ │ │ +the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ +$ sudo grep ":INPUT" /etc/sysconfig/iptables
│ │ │ │ +      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_dmesg_restrict_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the kernel.dmesg_restrict kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl kernel.dmesg_restrict
│ │ │ │ +1.
│ │ │ │  
│ │ │ │ -If the system is configured to audit the execution of the module management program "insmod",
│ │ │ │ -the command will return a line.
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_ipsec_conf_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/ipsec.conf,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_ipsecd_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/ipsec.d,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/ipsec.conf
│ │ │ │ +$ ls -lL /etc/ipsec.d
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/ipsec.conf does not have a group owner of root?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/ipsec.d does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-service_chronyd_enabled_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine the current status of the
│ │ │ │ -chronyd service:
│ │ │ │ -$ sudo systemctl is-active chronyd
│ │ │ │ -If the service is running, it should return the following: active
│ │ │ │ -      Is it the case that the chronyd process is not running?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_passwd_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/passwd-,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /etc/passwd-
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/passwd- does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -adjtimex system call, run the following command:
│ │ │ │ -$ sudo grep "adjtimex" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-package_dhcp_removed_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to determine if the dhcp package is installed:
│ │ │ │ +$ dpkg -l  dhcp
│ │ │ │ +      Is it the case that the package is installed?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_module_rds_disabled_question:question:1">
│ │ │ │ +      <ocil:question_text>If the system is configured to prevent the loading of the rds kernel module,
│ │ │ │ +it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ +These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │  
│ │ │ │ +Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ +$ grep -r rds /etc/modprobe.conf /etc/modprobe.d
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_password_pam_minlen_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 12 enforces a minimum -character password length with the following command:
│ │ │ │ -
│ │ │ │ -$ grep minlen /etc/security/pwquality.conf
│ │ │ │ -
│ │ │ │ -minlen = 
│ │ │ │ -      Is it the case that the command does not return a "minlen" value of "&lt;sub idref="var_password_pam_minlen" /&gt;" or greater, does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_sha512_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_MODULE_SIG_SHA512 /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_lchown_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -lchown system call, run the following command:
│ │ │ │ -$ sudo grep "lchown" /etc/audit/audit.*
│ │ │ │ -If the system is configured to audit this activity, it will return a line.
│ │ │ │ -
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_refcount_full_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ +    $ grep CONFIG_REFCOUNT_FULL /boot/config.*
│ │ │ │ +    
│ │ │ │ +    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ +    
│ │ │ │ +      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-mount_option_home_noexec_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the noexec option is configured for the /home mount point,
│ │ │ │ -    run the following command:
│ │ │ │ -    $ sudo mount | grep '\s/home\s'
│ │ │ │ -    . . . /home . . . noexec . . .
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_retention_max_log_file_action_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that the SA and ISSO (at a minimum) are notified when the audit storage volume is full.
│ │ │ │  
│ │ │ │ -      Is it the case that the "/home" file system does not have the "noexec" option set?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_var_log_syslog_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /var/log/syslog,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /var/log/syslog
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -adm
│ │ │ │ -      Is it the case that /var/log/syslog does not have a group owner of adm?</ocil:question_text>
│ │ │ │ +Check which action Debian 12 takes when the audit storage volume is full with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep max_log_file_action /etc/audit/auditd.conf
│ │ │ │ +max_log_file_action = 
│ │ │ │ +      Is it the case that the value of the "max_log_file_action" option is set to "ignore", "rotate", or "suspend", or the line is commented out?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fchownat_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_time_adjtimex_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fchownat system call, run the following command:
│ │ │ │ -$ sudo grep "fchownat" /etc/audit/audit.*
│ │ │ │ +adjtimex system call, run the following command:
│ │ │ │ +$ sudo grep "adjtimex" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_panic_timeout_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-postfix_network_listening_disabled_question:question:1">
│ │ │ │ +      <ocil:question_text>Run the following command to ensure postfix accepts mail messages from only the local system:
│ │ │ │ +$ grep inet_interfaces /etc/postfix/main.cf
│ │ │ │ +If properly configured, the output should show only .
│ │ │ │ +      Is it the case that it does not?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_legacy_vsyscall_xonly_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PANIC_TIMEOUT /boot/config.*
│ │ │ │ +    $ grep CONFIG_LEGACY_VSYSCALL_XONLY /boot/config.*
│ │ │ │      
│ │ │ │ -    For each kernel installed, a line with value "" should be returned.
│ │ │ │ +    Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │ +    lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-postfix_client_configure_relayhost_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to ensure postfix routes mail to this system:
│ │ │ │ -$ grep relayhost /etc/postfix/main.cf
│ │ │ │ -If properly configured, the output should show only .
│ │ │ │ -      Is it the case that it is not?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_ftruncate_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the ftruncate system call.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-service_sshd_disabled_question:question:1">
│ │ │ │ +      <ocil:question_text>To check that the sshd service is disabled in system boot configuration,
│ │ │ │ +run the following command:
│ │ │ │ +$ sudo systemctl is-enabled sshd
│ │ │ │ +Output should indicate the sshd service has either not been installed,
│ │ │ │ +or has been disabled at all runlevels, as shown in the example below:
│ │ │ │ +$ sudo systemctl is-enabled sshd disabled
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ +Run the following command to verify sshd is not active (i.e. not running) through current runtime configuration:
│ │ │ │ +$ sudo systemctl is-active sshd
│ │ │ │  
│ │ │ │ -$ sudo grep -r ftruncate /etc/audit/rules.d
│ │ │ │ +If the service is not running the command will return the following output:
│ │ │ │ +inactive
│ │ │ │  
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ +The service will also be masked, to check that the sshd is masked, run the following command:
│ │ │ │ +$ sudo systemctl show sshd | grep "LoadState\|UnitFileState"
│ │ │ │  
│ │ │ │ -$ sudo grep ftruncate /etc/audit/audit.rules
│ │ │ │ +If the service is masked the command will return the following outputs:
│ │ │ │  
│ │ │ │ -The output should be the following:
│ │ │ │ +LoadState=masked
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S ftruncate -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S ftruncate -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +UnitFileState=masked
│ │ │ │ +      Is it the case that the "sshd" is loaded and not masked?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-partition_for_srv_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that a separate file system/partition has been created for /srv with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_ungroupowned_question:question:1">
│ │ │ │ +      <ocil:question_text>The following command will locate the mount points related to local devices:
│ │ │ │ +$ findmnt -n -l -k -it $(awk '/nodev/ { print $2 }' /proc/filesystems | paste -sd,)
│ │ │ │  
│ │ │ │ -$ mountpoint /srv
│ │ │ │ +The following command will show files which do not belong to a valid group:
│ │ │ │ +$ sudo find MOUNTPOINT -xdev -nogroup 2&gt;/dev/null
│ │ │ │  
│ │ │ │ -      Is it the case that "/srv is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +Replace MOUNTPOINT by the mount points listed by the fist command.
│ │ │ │ +
│ │ │ │ +No files without a valid group should be located.
│ │ │ │ +      Is it the case that there is output?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_etc_ipsec_conf_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/ipsec.conf,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/gshadow-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/ipsec.conf
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/ipsec.conf does not have an owner of root?</ocil:question_text>
│ │ │ │ +$ ls -lL /etc/gshadow-
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +shadow
│ │ │ │ +      Is it the case that /etc/gshadow- does not have a group owner of shadow?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_file_deletion_events_unlinkat_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fremovexattr_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -unlinkat system call, run the following command:
│ │ │ │ -$ sudo grep "unlinkat" /etc/audit/audit.*
│ │ │ │ +fremovexattr system call, run the following command:
│ │ │ │ +$ sudo grep "fremovexattr" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sshd_disable_tcp_forwarding_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine how the SSH daemon's AllowTcpForwarding option is set, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -i AllowTcpForwarding /etc/ssh/sshd_config
│ │ │ │ -
│ │ │ │ -If a line indicating no is returned, then the required value is set.
│ │ │ │ -      Is it the case that The AllowTcpForwarding option exists and is disabled?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_group_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/group-,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_sshd_private_key_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/ssh/*_key,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/group-
│ │ │ │ +$ ls -l /etc/ssh/*_key
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/group- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +-rw-------
│ │ │ │ +      Is it the case that /etc/ssh/*_key does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_module_tipc_disabled_question:question:1">
│ │ │ │ -      <ocil:question_text>If the system is configured to prevent the loading of the tipc kernel module,
│ │ │ │ -it will contain lines inside any file in /etc/modprobe.d or the deprecated /etc/modprobe.conf.
│ │ │ │ -These lines instruct the module loading system to run another program (such as /bin/false) upon a module install event.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-disable_host_auth_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's HostbasedAuthentication option is set, run the following command:
│ │ │ │  
│ │ │ │ -Run the following command to search for such lines in all files in /etc/modprobe.d and the deprecated /etc/modprobe.conf:
│ │ │ │ -$ grep -r tipc /etc/modprobe.conf /etc/modprobe.d
│ │ │ │ -      Is it the case that no line is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv6_conf_default_disable_ipv6_question:question:1">
│ │ │ │ -      <ocil:question_text>If the system uses IPv6, this is not applicable.
│ │ │ │ +$ sudo grep -i HostbasedAuthentication /etc/ssh/sshd_config
│ │ │ │  
│ │ │ │ -If the system is configured to prevent the usage of the ipv6 on
│ │ │ │ -network interfaces, it will contain a line of the form:
│ │ │ │ -net.ipv6.conf.default.disable_ipv6 = 1
│ │ │ │ -Such lines may be inside any file in the /etc/sysctl.d directory.
│ │ │ │ -This permits insertion of the IPv6 kernel module (which other parts of the
│ │ │ │ -system expect to be present), but otherwise keeps network interfaces
│ │ │ │ -from using IPv6. Run the following command to search for such lines in all
│ │ │ │ -files in /etc/sysctl.d:
│ │ │ │ -$ grep -r ipv6 /etc/sysctl.d
│ │ │ │ -      Is it the case that the ipv6 support is disabled by default on network interfaces?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_password_warn_age_login_defs_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the password warning age, run the command:
│ │ │ │ -$ grep PASS_WARN_AGE /etc/login.defs
│ │ │ │ -The DoD requirement is 7.
│ │ │ │ -      Is it the case that it is not set to the required value?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_default_accept_redirects_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.conf.default.accept_redirects kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.default.accept_redirects
│ │ │ │ -0.
│ │ │ │ +If a line indicating no is returned, then the required value is set.
│ │ │ │  
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_logrotate_installed_question:question:1">
│ │ │ │ -      <ocil:question_text>Run the following command to determine if the logrotate package is installed: $ dpkg -l  logrotate
│ │ │ │ -      Is it the case that the package is not installed?</ocil:question_text>
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_randomize_base_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-kernel_config_gcc_plugin_latent_entropy_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_RANDOMIZE_BASE /boot/config.*
│ │ │ │ +    $ grep CONFIG_GCC_PLUGIN_LATENT_ENTROPY /boot/config.*
│ │ │ │      
│ │ │ │      For each kernel installed, a line with value "y" should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_privileged_commands_init_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that Debian 12 is configured to audit the execution of the "init" command with the following command:
│ │ │ │ -
│ │ │ │ -$ sudo auditctl -l | grep init
│ │ │ │ -
│ │ │ │ --a always,exit -F path=/init -F perm=x -F auid&gt;=1000 -F auid!=unset -k privileged-init
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_etc_passwd_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /etc/passwd,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_group_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/group-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /etc/passwd
│ │ │ │ -If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-r--r--
│ │ │ │ -      Is it the case that /etc/passwd does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │ +$ ls -lL /etc/group-
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /etc/group- does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-set_ip6tables_default_rule_question:question:1">
│ │ │ │ -      <ocil:question_text>If IPv6 is disabled, this is not applicable.
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-partition_for_var_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that a separate file system/partition has been created for /var with the following command:
│ │ │ │  
│ │ │ │ -Inspect the file /etc/sysconfig/ip6tables to determine
│ │ │ │ -the default policy for the INPUT chain. It should be set to DROP:
│ │ │ │ -$ sudo grep ":INPUT" /etc/sysconfig/ip6tables
│ │ │ │ -      Is it the case that the default policy for the INPUT chain is not set to DROP?</ocil:question_text>
│ │ │ │ +$ mountpoint /var
│ │ │ │ +
│ │ │ │ +      Is it the case that "/var is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │      <ocil:boolean_question id="ocil:ssg-kernel_config_ipv6_question:question:1">
│ │ │ │        <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │      $ grep CONFIG_IPV6 /boot/config.*
│ │ │ │      
│ │ │ │      Configs with value 'n' are not explicitly set in the file, so either commented lines or no
│ │ │ │      lines should be returned.
│ │ │ │      
│ │ │ │        Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-partition_for_tmp_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that a separate file system/partition has been created for /tmp with the following command:
│ │ │ │ -
│ │ │ │ -$ mountpoint /tmp
│ │ │ │ -
│ │ │ │ -      Is it the case that "/tmp is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_kernel_yama_ptrace_scope_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the kernel.yama.ptrace_scope kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl kernel.yama.ptrace_scope
│ │ │ │ -1.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-package_tftp_removed_question:question:1">
│ │ │ │ -      <ocil:question_text>The tftp package can be removed with the following command:  $ apt-get remove tftp
│ │ │ │ -      Is it the case that ?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_secure_redirects_question:question:1">
│ │ │ │ -      <ocil:question_text>The runtime status of the net.ipv4.conf.all.secure_redirects kernel parameter can be queried
│ │ │ │ -by running the following command:
│ │ │ │ -$ sysctl net.ipv4.conf.all.secure_redirects
│ │ │ │ -0.
│ │ │ │ -
│ │ │ │ -      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-harden_ssh_client_crypto_policy_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify if the OpenSSH Client uses defined Crypto Policy, run:
│ │ │ │ -$ cat /etc/ssh/ssh_config.d/02-ospp.conf
│ │ │ │ -and verify that the line matches
│ │ │ │ -Match final all
│ │ │ │ -RekeyLimit 512M 1h
│ │ │ │ -GSSAPIAuthentication no
│ │ │ │ -Ciphers aes256-ctr,aes256-cbc,aes128-ctr,aes128-cbc
│ │ │ │ -PubkeyAcceptedKeyTypes ssh-rsa,ecdsa-sha2-nistp384,ecdsa-sha2-nistp256
│ │ │ │ -MACs hmac-sha2-512,hmac-sha2-256
│ │ │ │ -KexAlgorithms ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group14-sha1
│ │ │ │ -      Is it the case that Crypto Policy for OpenSSH Client is not configured according to CC requirements?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-rsyslog_remote_loghost_question:question:1">
│ │ │ │ -      <ocil:question_text>To ensure logs are sent to a remote host, examine the file
│ │ │ │ -/etc/rsyslog.conf.
│ │ │ │ -If using UDP, a line similar to the following should be present:
│ │ │ │ - *.* @
│ │ │ │ -If using TCP, a line similar to the following should be present:
│ │ │ │ - *.* @@
│ │ │ │ -If using RELP, a line similar to the following should be present:
│ │ │ │ - *.* :omrelp:
│ │ │ │ -      Is it the case that no evidence that the audit logs are being off-loaded to another system or media?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_sestatus_conf_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/sestatus.conf,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-directory_groupowner_etc_sysctld_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/sysctl.d,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/sestatus.conf
│ │ │ │ +$ ls -lL /etc/sysctl.d
│ │ │ │  If properly configured, the output should indicate the following group-owner:
│ │ │ │  root
│ │ │ │ -      Is it the case that /etc/sestatus.conf does not have a group owner of root?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_module_sig_hash_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_MODULE_SIG_HASH /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupowner_backup_etc_gshadow_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the group ownership of /etc/gshadow-,
│ │ │ │ -run the command:
│ │ │ │ -$ ls -lL /etc/gshadow-
│ │ │ │ -If properly configured, the output should indicate the following group-owner:
│ │ │ │ -shadow
│ │ │ │ -      Is it the case that /etc/gshadow- does not have a group owner of shadow?</ocil:question_text>
│ │ │ │ +      Is it the case that /etc/sysctl.d does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_groupownership_system_commands_dirs_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the system commands contained in the following directories are group-owned by "root", or a required system account, with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-auditd_data_disk_error_action_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 takes the appropriate action when an audit processing failure occurs.
│ │ │ │  
│ │ │ │ -$ sudo find -L /bin /sbin /usr/bin /usr/sbin /usr/local/bin /usr/local/sbin ! -group root -exec ls -l {} \;
│ │ │ │ -      Is it the case that any system commands are returned and is not group-owned by a required system account?</ocil:question_text>
│ │ │ │ +Check that Debian 12 takes the appropriate action when an audit processing failure occurs with the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep disk_error_action /etc/audit/auditd.conf
│ │ │ │ +
│ │ │ │ +disk_error_action = 
│ │ │ │ +
│ │ │ │ +If the value of the "disk_error_action" option is not "SYSLOG", "SINGLE", or "HALT", or the line is commented out, ask the system administrator to indicate how the system takes appropriate action when an audit process failure occurs.
│ │ │ │ +      Is it the case that there is no evidence of appropriate action?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_permissions_var_log_messages_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the permissions of /var/log/messages,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_permissions_backup_etc_passwd_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the permissions of /etc/passwd-,
│ │ │ │  run the command:
│ │ │ │ -$ ls -l /var/log/messages
│ │ │ │ +$ ls -l /etc/passwd-
│ │ │ │  If properly configured, the output should indicate the following permissions:
│ │ │ │ --rw-------
│ │ │ │ -      Is it the case that /var/log/messages does not have unix mode -rw-------?</ocil:question_text>
│ │ │ │ +-rw-r--r--
│ │ │ │ +      Is it the case that /etc/passwd- does not have unix mode -rw-r--r--?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_page_table_isolation_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_PAGE_TABLE_ISOLATION /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_spectre_v2_argument_question:question:1">
│ │ │ │ +      <ocil:question_text>Inspect the form of default GRUB 2 command line for the Linux operating system
│ │ │ │ +in grubenv that can be found either in /boot/grub in case of legacy BIOS systems, or in /boot/grub2 in case of UEFI systems.
│ │ │ │ +If they include spectre_v2=on, then the parameter
│ │ │ │ +is configured at boot time.
│ │ │ │ +$ sudo grep 'kernelopts.*spectre_v2=on.*' GRUBENV_FILE_LOCATION
│ │ │ │ +Fill in GRUBENV_FILE_LOCATION based on information above.
│ │ │ │ +      Is it the case that spectre_v2 mitigation is not enforced?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-partition_for_opt_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify that a separate file system/partition has been created for /opt with the following command:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_usergroup_modification_gshadow_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify Debian 12 generates audit records for all account creations, modifications, disabling, and termination events that affect "/etc/gshadow" with the following command:
│ │ │ │  
│ │ │ │ -$ mountpoint /opt
│ │ │ │ +$ sudo auditctl -l | grep -E '(/etc/gshadow)'
│ │ │ │  
│ │ │ │ -      Is it the case that "/opt is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │ +-w /etc/gshadow -p wa -k identity
│ │ │ │ +
│ │ │ │ +If the command does not return a line, or the line is commented out, this is a finding.
│ │ │ │ +      Is it the case that the system is not configured to audit account changes?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-file_owner_backup_etc_passwd_question:question:1">
│ │ │ │ -      <ocil:question_text>To check the ownership of /etc/passwd-,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_etc_shadow_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /etc/shadow,
│ │ │ │  run the command:
│ │ │ │ -$ ls -lL /etc/passwd-
│ │ │ │ -If properly configured, the output should indicate the following owner:
│ │ │ │ -root
│ │ │ │ -      Is it the case that /etc/passwd- does not have an owner of root?</ocil:question_text>
│ │ │ │ +$ ls -lL /etc/shadow
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +shadow
│ │ │ │ +      Is it the case that /etc/shadow does not have a group owner of shadow?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-auditd_log_format_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that Audit Daemon is configured to resolve all uid, gid, syscall,
│ │ │ │ -architecture, and socket address information before writing the event to disk,
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_networkconfig_modification_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine if the system is configured to audit changes to its network configuration,
│ │ │ │  run the following command:
│ │ │ │ -$ sudo grep log_format /etc/audit/auditd.conf
│ │ │ │ -The output should return the following:
│ │ │ │ -log_format = ENRICHED
│ │ │ │ -      Is it the case that log_format isn't set to ENRICHED?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_unsuccessful_file_modification_open_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify Debian 12 generates an audit record for unsuccessful attempts to use the open system call.
│ │ │ │ -
│ │ │ │ -If the auditd daemon is configured to use the "augenrules" program to to read audit rules during daemon startup (the default), run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep -r open /etc/audit/rules.d
│ │ │ │ -
│ │ │ │ -If the auditd daemon is configured to use the "auditctl" utility to read audit rules during daemon startup, run the following command:
│ │ │ │ -
│ │ │ │ -$ sudo grep open /etc/audit/audit.rules
│ │ │ │ +auditctl -l | grep -E '(/etc/issue|/etc/issue.net|/etc/hosts|/etc/sysconfig/network)'
│ │ │ │  
│ │ │ │ -The output should be the following:
│ │ │ │ +If the system is configured to watch for network configuration changes, a line should be returned for
│ │ │ │ +each file specified (and perm=wa should be indicated for each).
│ │ │ │ +      Is it the case that the system is not configured to audit changes of the network configuration?</ocil:question_text>
│ │ │ │ +    </ocil:boolean_question>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sysctl_net_ipv4_conf_all_accept_redirects_question:question:1">
│ │ │ │ +      <ocil:question_text>The runtime status of the net.ipv4.conf.all.accept_redirects kernel parameter can be queried
│ │ │ │ +by running the following command:
│ │ │ │ +$ sysctl net.ipv4.conf.all.accept_redirects
│ │ │ │ +0.
│ │ │ │  
│ │ │ │ --a always,exit -F arch=b32 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S open -F exit=-EPERM -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b32 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ --a always,exit -F arch=b64 -S open -F exit=-EACCES -F auid&gt;=1000 -F auid!=unset -k access
│ │ │ │ -      Is it the case that the command does not return a line, or the line is commented out?</ocil:question_text>
│ │ │ │ +      Is it the case that the correct value is not returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_privileged_commands_question:question:1">
│ │ │ │ -      <ocil:question_text>To verify that auditing of privileged command use is configured, run the following command
│ │ │ │ -to search privileged commands in relevant partitions and check if they are covered by auditd
│ │ │ │ -rules:
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-partition_for_boot_question:question:1">
│ │ │ │ +      <ocil:question_text>Verify that a separate file system/partition has been created for /boot with the following command:
│ │ │ │  
│ │ │ │ -FILTER_NODEV=$(awk '/nodev/ { print $2 }' /proc/filesystems | paste -sd,)
│ │ │ │ -PARTITIONS=$(findmnt -n -l -k -it $FILTER_NODEV | grep -Pv "noexec|nosuid" | awk '{ print $1 }')
│ │ │ │ -for PARTITION in $PARTITIONS; do
│ │ │ │ -  for PRIV_CMD in $(find "${PARTITION}" -xdev -perm /6000 -type f 2&gt;/dev/null); do
│ │ │ │ -    grep -qr "${PRIV_CMD}" /etc/audit/rules.d /etc/audit/audit.rules &amp;&amp;
│ │ │ │ -      printf "OK: ${PRIV_CMD}\n" || printf "WARNING - rule not found for: ${PRIV_CMD}\n"
│ │ │ │ -  done
│ │ │ │ -done
│ │ │ │ +$ mountpoint /boot
│ │ │ │  
│ │ │ │ -The output should not contain any WARNING.
│ │ │ │ -      Is it the case that any setuid or setgid programs doesn't have a line in the audit rules?</ocil:question_text>
│ │ │ │ +      Is it the case that "/boot is not a mountpoint" is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-audit_rules_dac_modification_fsetxattr_question:question:1">
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-audit_rules_time_clock_settime_question:question:1">
│ │ │ │        <ocil:question_text>To determine if the system is configured to audit calls to the
│ │ │ │ -fsetxattr system call, run the following command:
│ │ │ │ -$ sudo grep "fsetxattr" /etc/audit/audit.*
│ │ │ │ +clock_settime system call, run the following command:
│ │ │ │ +$ sudo grep "clock_settime" /etc/audit/audit.*
│ │ │ │  If the system is configured to audit this activity, it will return a line.
│ │ │ │  
│ │ │ │        Is it the case that no line is returned?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-logind_session_timeout_question:question:1">
│ │ │ │ -      <ocil:question_text>Display the contents of the file /etc/systemd/logind.conf:
│ │ │ │ -cat /etc/systemd/logind.conf
│ │ │ │ -Ensure that there is a section [login] which contains the
│ │ │ │ -configuration StopIdleSessionSec=.
│ │ │ │ -      Is it the case that the option is not configured?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-sudo_add_env_reset_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine if env_reset has been configured for sudo, run the following command:
│ │ │ │ -$ sudo grep -ri "^[\s]*Defaults.*\benv_reset\b.*" /etc/sudoers /etc/sudoers.d/
│ │ │ │ -The command should return a matching output.
│ │ │ │ -      Is it the case that env_reset is not enabled in sudo?</ocil:question_text>
│ │ │ │ -    </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-accounts_umask_etc_profile_question:question:1">
│ │ │ │ -      <ocil:question_text>Verify the umask setting is configured correctly in the /etc/profile file
│ │ │ │ -or scripts within /etc/profile.d directory with the following command:
│ │ │ │ -$ grep "umask" /etc/profile*
│ │ │ │ -umask 
│ │ │ │ -      Is it the case that the value for the "umask" parameter is not "&lt;sub idref="var_accounts_user_umask" /&gt;",
│ │ │ │ -or the "umask" parameter is missing or is commented out?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-file_groupowner_user_cfg_question:question:1">
│ │ │ │ +      <ocil:question_text>To check the group ownership of /boot/grub/user.cfg,
│ │ │ │ +run the command:
│ │ │ │ +$ ls -lL /boot/grub/user.cfg
│ │ │ │ +If properly configured, the output should indicate the following group-owner:
│ │ │ │ +root
│ │ │ │ +      Is it the case that /boot/grub/user.cfg does not have a group owner of root?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-grub2_systemd_debug-shell_argument_absent_question:question:1">
│ │ │ │ -      <ocil:question_text>Ensure that debug-shell service is not enabled with the following command:
│ │ │ │ -grep systemd\.debug-shell=1 /boot/grub2/grubenv /etc/default/grub
│ │ │ │ -If the command returns a line, it means that debug-shell service is being enabled.
│ │ │ │ -      Is it the case that the comand returns a line?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-grub2_nosmep_argument_absent_question:question:1">
│ │ │ │ +      <ocil:question_text>Make sure that the kernel is not disabling SMEP with the following
│ │ │ │ +commands.
│ │ │ │ +grep -q nosmep /boot/config-`uname -r`
│ │ │ │ +If the command returns a line, it means that SMEP is being disabled.
│ │ │ │ +      Is it the case that the kernel is configured to disable SMEP?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │ -    <ocil:boolean_question id="ocil:ssg-kernel_config_debug_credentials_question:question:1">
│ │ │ │ -      <ocil:question_text>To determine the config value the kernel was built with, run the following command:
│ │ │ │ -    $ grep CONFIG_DEBUG_CREDENTIALS /boot/config.*
│ │ │ │ -    
│ │ │ │ -    For each kernel installed, a line with value "y" should be returned.
│ │ │ │ -    
│ │ │ │ -      Is it the case that the kernel was not built with the required value?</ocil:question_text>
│ │ │ │ +    <ocil:boolean_question id="ocil:ssg-sshd_enable_x11_forwarding_question:question:1">
│ │ │ │ +      <ocil:question_text>To determine how the SSH daemon's X11Forwarding option is set, run the following command:
│ │ │ │ +
│ │ │ │ +$ sudo grep -i X11Forwarding /etc/ssh/sshd_config
│ │ │ │ +
│ │ │ │ +If a line indicating yes is returned, then the required value is set.
│ │ │ │ +
│ │ │ │ +      Is it the case that the required value is not set?</ocil:question_text>
│ │ │ │      </ocil:boolean_question>
│ │ │ │    </ocil:questions>
│ │ │ │  </ocil:ocil>
│ │ ├── ./usr/share/xml/scap/ssg/content/ssg-debian12-xccdf.xml
│ │ │ ├── ./usr/share/xml/scap/ssg/content/ssg-debian12-xccdf.xml
│ │ │ │┄ Ordering differences only
│ │ │ │ @@ -71,282 +71,282 @@
│ │ │ │    <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">os-srg</xccdf-1.2:reference>
│ │ │ │    <xccdf-1.2:reference href="https://www.niap-ccevs.org/Profile/PP.cfm">ospp</xccdf-1.2:reference>
│ │ │ │    <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">pcidss</xccdf-1.2:reference>
│ │ │ │    <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">pcidss4</xccdf-1.2:reference>
│ │ │ │    <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cunix-linux">stigid</xccdf-1.2:reference>
│ │ │ │    <xccdf-1.2:reference href="https://public.cyber.mil/stigs/srg-stig-tools/">stigref</xccdf-1.2:reference>
│ │ │ │    <cpe-lang:platform-specification>
│ │ │ │ -    <cpe-lang:platform id="package_sudo">
│ │ │ │ +    <cpe-lang:platform id="machine">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_sudo:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_machine:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_aide_and_package_systemd">
│ │ │ │ +    <cpe-lang:platform id="grub2">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_aide:def:1"/>
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_systemd:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_has_grub2_package:def:1"/>
│ │ │ │ +      </cpe-lang:logical-test>
│ │ │ │ +    </cpe-lang:platform>
│ │ │ │ +    <cpe-lang:platform id="x86_64_arch">
│ │ │ │ +      <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_x86_64:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │      <cpe-lang:platform id="selinux">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-selinux_is_enabled:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="mount_var-tmp">
│ │ │ │ +    <cpe-lang:platform id="package_libreswan">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_var-tmp:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_libreswan:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="mount_var">
│ │ │ │ +    <cpe-lang:platform id="mount_tmp">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_var:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_tmp:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="mount_var-log">
│ │ │ │ +    <cpe-lang:platform id="mount_srv">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_var-log:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_srv:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="mount_tmp">
│ │ │ │ +    <cpe-lang:platform id="package_pam">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_tmp:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_pam:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="mount_srv">
│ │ │ │ +    <cpe-lang:platform id="mount_var-tmp">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_srv:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_var-tmp:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="mount_opt">
│ │ │ │ +    <cpe-lang:platform id="system_with_kernel">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_opt:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="mount_home">
│ │ │ │ +    <cpe-lang:platform id="package_bash">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_home:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_bash:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │      <cpe-lang:platform id="not_bootc_and_not_container">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │          <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-bootc:def:1"/>
│ │ │ │          </cpe-lang:logical-test>
│ │ │ │          <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_container:def:1"/>
│ │ │ │          </cpe-lang:logical-test>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_ufw_and_system_with_kernel">
│ │ │ │ +    <cpe-lang:platform id="uefi">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_boot_mode_is_uefi:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_nftables">
│ │ │ │ +    <cpe-lang:platform id="os_linux_rhel_gt_or_eq_8_7_and_os_linux_rhel_ne_9_0">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-os_linux_rhel_gt_or_eq_8_7:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-os_linux_rhel_ne_9_0:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="ipv6_enabled">
│ │ │ │ +    <cpe-lang:platform id="aarch64_arch_or_x86_64_arch">
│ │ │ │ +      <cpe-lang:logical-test operator="OR" negate="false">
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_x86_64:def:1"/>
│ │ │ │ +      </cpe-lang:logical-test>
│ │ │ │ +    </cpe-lang:platform>
│ │ │ │ +    <cpe-lang:platform id="aarch64_arch">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-ipv6_enabled:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="not_package_nftables_and_not_package_ufw">
│ │ │ │ +    <cpe-lang:platform id="package_snmpd_and_system_with_kernel">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │ -        </cpe-lang:logical-test>
│ │ │ │ -        <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ -        </cpe-lang:logical-test>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_snmpd:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_iptables">
│ │ │ │ +    <cpe-lang:platform id="non-uefi">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_boot_mode_is_non_uefi:def:1"/>
│ │ │ │ +      </cpe-lang:logical-test>
│ │ │ │ +    </cpe-lang:platform>
│ │ │ │ +    <cpe-lang:platform id="package_shadow-utils">
│ │ │ │ +      <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_shadow-utils:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │      <cpe-lang:platform id="not_package_nftables_and_not_package_ufw_and_package_iptables">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │          <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │          </cpe-lang:logical-test>
│ │ │ │          <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │            <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │          </cpe-lang:logical-test>
│ │ │ │          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_iptables_and_service_disabled_firewalld_and_system_with_kernel">
│ │ │ │ +    <cpe-lang:platform id="package_nftables">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-service_disabled_firewalld:def:1"/>
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_libreswan">
│ │ │ │ +    <cpe-lang:platform id="machine_and_package_apparmor">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_libreswan:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_machine:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_apparmor:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_logrotate">
│ │ │ │ +    <cpe-lang:platform id="package_ntp">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_logrotate:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_ntp:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_rsyslog">
│ │ │ │ +    <cpe-lang:platform id="os_linux_ol_gt_or_eq_8_7">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_rsyslog:def:1"/>
│ │ │ │ -      </cpe-lang:logical-test>
│ │ │ │ -    </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="aarch64_arch_or_x86_64_arch">
│ │ │ │ -      <cpe-lang:logical-test operator="OR" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_x86_64:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-os_linux_ol_gt_or_eq_8_7:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="x86_64_arch">
│ │ │ │ +    <cpe-lang:platform id="mount_home">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_x86_64:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_home:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="uefi">
│ │ │ │ +    <cpe-lang:platform id="not_package_nftables_and_not_package_ufw">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_boot_mode_is_uefi:def:1"/>
│ │ │ │ +        <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ +          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_nftables:def:1"/>
│ │ │ │ +        </cpe-lang:logical-test>
│ │ │ │ +        <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ +          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ +        </cpe-lang:logical-test>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │      <cpe-lang:platform id="not_bootc">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-bootc:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="non-uefi">
│ │ │ │ +    <cpe-lang:platform id="not_aarch64_arch">
│ │ │ │ +      <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ +      </cpe-lang:logical-test>
│ │ │ │ +    </cpe-lang:platform>
│ │ │ │ +    <cpe-lang:platform id="package_aide_and_package_systemd">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_boot_mode_is_non_uefi:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_aide:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_systemd:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="grub2_and_system_with_kernel">
│ │ │ │ +    <cpe-lang:platform id="mount_var">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_has_grub2_package:def:1"/>
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_var:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="machine_and_package_apparmor">
│ │ │ │ +    <cpe-lang:platform id="grub2_and_system_with_kernel">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_machine:def:1"/>
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_apparmor:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_has_grub2_package:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_bash">
│ │ │ │ +    <cpe-lang:platform id="package_iptables_and_service_disabled_firewalld_and_system_with_kernel">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_bash:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-service_disabled_firewalld:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="os_linux_ol_gt_or_eq_8_7">
│ │ │ │ +    <cpe-lang:platform id="package_systemd">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-os_linux_ol_gt_or_eq_8_7:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_systemd:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="os_linux_rhel_gt_or_eq_8_7_and_os_linux_rhel_ne_9_0">
│ │ │ │ +    <cpe-lang:platform id="package_audit">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-os_linux_rhel_gt_or_eq_8_7:def:1"/>
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-os_linux_rhel_ne_9_0:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_audit:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_shadow-utils">
│ │ │ │ +    <cpe-lang:platform id="package_iptables">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_shadow-utils:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_iptables:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_pam">
│ │ │ │ +    <cpe-lang:platform id="package_rsh-server">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_pam:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_rsh-server:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │      <cpe-lang:platform id="package_gdm">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_gdm:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_net-snmp">
│ │ │ │ +    <cpe-lang:platform id="package_ufw_and_system_with_kernel">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_net-snmp:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_ufw:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_snmpd_and_system_with_kernel">
│ │ │ │ +    <cpe-lang:platform id="mount_var-log">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_snmpd:def:1"/>
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_var-log:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_rsh-server">
│ │ │ │ +    <cpe-lang:platform id="package_net-snmp">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_rsh-server:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_net-snmp:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_systemd">
│ │ │ │ +    <cpe-lang:platform id="not_aarch64_arch_and_not_s390x_arch">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_systemd:def:1"/>
│ │ │ │ +        <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ +          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ +        </cpe-lang:logical-test>
│ │ │ │ +        <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ +          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_s390x:def:1"/>
│ │ │ │ +        </cpe-lang:logical-test>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_ntp">
│ │ │ │ +    <cpe-lang:platform id="mount_opt">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_ntp:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_mount_opt:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_chrony">
│ │ │ │ +    <cpe-lang:platform id="package_sudo">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_chrony:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_sudo:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │      <cpe-lang:platform id="package_postfix">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_postfix:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="machine">
│ │ │ │ -      <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_is_a_machine:def:1"/>
│ │ │ │ -      </cpe-lang:logical-test>
│ │ │ │ -    </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="grub2">
│ │ │ │ -      <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-installed_env_has_grub2_package:def:1"/>
│ │ │ │ -      </cpe-lang:logical-test>
│ │ │ │ -    </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="aarch64_arch">
│ │ │ │ +    <cpe-lang:platform id="ipv6_enabled">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-ipv6_enabled:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="not_aarch64_arch_and_not_s390x_arch">
│ │ │ │ +    <cpe-lang:platform id="package_rsyslog">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ -        </cpe-lang:logical-test>
│ │ │ │ -        <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -          <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_s390x:def:1"/>
│ │ │ │ -        </cpe-lang:logical-test>
│ │ │ │ -      </cpe-lang:logical-test>
│ │ │ │ -    </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="not_aarch64_arch">
│ │ │ │ -      <cpe-lang:logical-test operator="AND" negate="true">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-proc_sys_kernel_osrelease_arch_aarch64:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_rsyslog:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="package_audit">
│ │ │ │ +    <cpe-lang:platform id="package_chrony">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_audit:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_chrony:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │ -    <cpe-lang:platform id="system_with_kernel">
│ │ │ │ +    <cpe-lang:platform id="package_logrotate">
│ │ │ │        <cpe-lang:logical-test operator="AND" negate="false">
│ │ │ │ -        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-system_with_kernel:def:1"/>
│ │ │ │ +        <cpe-lang:check-fact-ref system="http://oval.mitre.org/XMLSchema/oval-definitions-5" href="ssg-debian12-cpe-oval.xml" id-ref="oval:ssg-package_logrotate:def:1"/>
│ │ │ │        </cpe-lang:logical-test>
│ │ │ │      </cpe-lang:platform>
│ │ │ │    </cpe-lang:platform-specification>
│ │ │ │    <xccdf-1.2:platform idref="cpe:/o:debian:debian_linux:12"/>
│ │ │ │    <xccdf-1.2:version update="https://github.com/ComplianceAsCode/content/releases/latest">0.1.76</xccdf-1.2:version>
│ │ │ │    <xccdf-1.2:metadata>
│ │ │ │      <dc:publisher>SCAP Security Guide Project</dc:publisher>
│ │ │ │ @@ -2870,24 +2870,14 @@
│ │ │ │                <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.IP-3</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-11.5</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000445-GPOS-00199</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R76</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R79</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">11.5.2</xccdf-1.2:reference>
│ │ │ │                <xccdf-1.2:rationale>The AIDE package must be installed if it is to be available for integrity checking.</xccdf-1.2:rationale>
│ │ │ │ -              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_aide_installed">[[packages]]
│ │ │ │ -name = "aide"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_aide_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_aide
│ │ │ │ -
│ │ │ │ -class install_aide {
│ │ │ │ -  package { 'aide':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_aide_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - CJIS-5.10.1.3
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-11.5
│ │ │ │ @@ -2911,14 +2901,24 @@
│ │ │ │    - PCI-DSSv4-11.5.2
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_aide_installed</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_aide_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_aide
│ │ │ │ +
│ │ │ │ +class install_aide {
│ │ │ │ +  package { 'aide':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +              <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_aide_installed">[[packages]]
│ │ │ │ +name = "aide"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │                <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_aide_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "aide"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -5184,24 +5184,14 @@
│ │ │ │              <html:code>sudo</html:code>
│ │ │ │              is a program designed to allow a system administrator to give
│ │ │ │  limited root privileges to users and log root activity. The basic philosophy
│ │ │ │  is to give as few privileges as possible but still allow system users to
│ │ │ │  get their work done.
│ │ │ │            </xccdf-1.2:rationale>
│ │ │ │            <xccdf-1.2:platform idref="#system_with_kernel"/>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_sudo_installed">[[packages]]
│ │ │ │ -name = "sudo"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_sudo_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_sudo
│ │ │ │ -
│ │ │ │ -class install_sudo {
│ │ │ │ -  package { 'sudo':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_sudo_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │ @@ -5223,14 +5213,24 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_sudo_installed</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_sudo_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_sudo
│ │ │ │ +
│ │ │ │ +class install_sudo {
│ │ │ │ +  package { 'sudo':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_sudo_installed">[[packages]]
│ │ │ │ +name = "sudo"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_sudo_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "sudo"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -6690,35 +6690,35 @@
│ │ │ │            <xccdf-1.2:rationale>GnuTLS is a secure communications library implementing the SSL, TLS and DTLS
│ │ │ │  protocols and technologies around them. It provides a simple C language
│ │ │ │  application programming interface (API) to access the secure communications
│ │ │ │  protocols as well as APIs to parse and write X.509, PKCS #12, OpenPGP and
│ │ │ │  other required structures.
│ │ │ │  This package contains command line TLS client and server and certificate
│ │ │ │  manipulation tools.</xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_gnutls-utils_installed">[[packages]]
│ │ │ │ -name = "gnutls-utils"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_gnutls-utils
│ │ │ │ -
│ │ │ │ -class install_gnutls-utils {
│ │ │ │ -  package { 'gnutls-utils':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Ensure gnutls-utils is installed
│ │ │ │    package:
│ │ │ │      name: gnutls-utils
│ │ │ │      state: present
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_gnutls-utils_installed</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_gnutls-utils
│ │ │ │ +
│ │ │ │ +class install_gnutls-utils {
│ │ │ │ +  package { 'gnutls-utils':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_gnutls-utils_installed">[[packages]]
│ │ │ │ +name = "gnutls-utils"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_gnutls-utils_installed" complexity="low" disruption="low" reboot="false" strategy="enable">DEBIAN_FRONTEND=noninteractive apt-get install -y "gnutls-utils"</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_gnutls-utils_installed:def:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │            <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_gnutls-utils_installed_ocil:questionnaire:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │ @@ -6739,35 +6739,35 @@
│ │ │ │  support cross-platform development of security-enabled client and
│ │ │ │  server applications. Install the
│ │ │ │              <html:code>nss-tools</html:code>
│ │ │ │              package
│ │ │ │  to install command-line tools to manipulate the NSS certificate
│ │ │ │  and key database.
│ │ │ │            </xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_nss-tools_installed">[[packages]]
│ │ │ │ -name = "nss-tools"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_nss-tools
│ │ │ │ -
│ │ │ │ -class install_nss-tools {
│ │ │ │ -  package { 'nss-tools':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Ensure nss-tools is installed
│ │ │ │    package:
│ │ │ │      name: nss-tools
│ │ │ │      state: present
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_nss-tools_installed</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_nss-tools
│ │ │ │ +
│ │ │ │ +class install_nss-tools {
│ │ │ │ +  package { 'nss-tools':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_nss-tools_installed">[[packages]]
│ │ │ │ +name = "nss-tools"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_nss-tools_installed" complexity="low" disruption="low" reboot="false" strategy="enable">DEBIAN_FRONTEND=noninteractive apt-get install -y "nss-tools"</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_nss-tools_installed:def:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │            <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-package_nss-tools_installed_ocil:questionnaire:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │ @@ -6968,24 +6968,14 @@
│ │ │ │            <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00225</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>Use of a complex password helps to increase the time and resources required
│ │ │ │  to compromise the password. Password complexity, or strength, is a measure
│ │ │ │  of the effectiveness of a password in resisting attempts at guessing and
│ │ │ │  brute-force attacks. "pwquality" enforces complex password construction
│ │ │ │  configuration and has the ability to limit brute-force attacks on the system.</xccdf-1.2:rationale>
│ │ │ │            <xccdf-1.2:platform idref="#package_pam"/>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_pam_pwquality_installed">[[packages]]
│ │ │ │ -name = "libpam-pwquality"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_pam_pwquality_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_libpam-pwquality
│ │ │ │ -
│ │ │ │ -class install_libpam-pwquality {
│ │ │ │ -  package { 'libpam-pwquality':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_pam_pwquality_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -7001,14 +6991,24 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_pam_pwquality_installed</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_pam_pwquality_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_libpam-pwquality
│ │ │ │ +
│ │ │ │ +class install_libpam-pwquality {
│ │ │ │ +  package { 'libpam-pwquality':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_pam_pwquality_installed">[[packages]]
│ │ │ │ +name = "libpam-pwquality"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_pam_pwquality_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}\n' 'libpam-runtime' 2&gt;/dev/null | grep -q '^installed'; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "libpam-pwquality"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │ @@ -13774,36 +13774,36 @@
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000312-GPOS-00123</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000312-GPOS-00124</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000324-GPOS-00125</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000370-GPOS-00155</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R45</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>Without a Mandatory Access Control system installed only the default
│ │ │ │  Discretionary Access Control system will be available.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_apparmor_installed">[[packages]]
│ │ │ │ -name = "apparmor"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_apparmor_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_apparmor
│ │ │ │ -
│ │ │ │ -class install_apparmor {
│ │ │ │ -  package { 'apparmor':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_apparmor_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Ensure apparmor is installed
│ │ │ │    package:
│ │ │ │      name: apparmor
│ │ │ │      state: present
│ │ │ │    when: ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"]
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_apparmor_installed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_apparmor_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_apparmor
│ │ │ │ +
│ │ │ │ +class install_apparmor {
│ │ │ │ +  package { 'apparmor':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_apparmor_installed">[[packages]]
│ │ │ │ +name = "apparmor"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_apparmor_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if [ ! -f /.dockerenv ] &amp;&amp; [ ! -f /run/.containerenv ]; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "apparmor"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │ @@ -13841,24 +13841,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00230</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00231</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00232</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R45</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>Protection of system integrity using AppArmor depends on this package being
│ │ │ │  installed.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_pam_apparmor_installed">[[packages]]
│ │ │ │ -name = "libpam-apparmor"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_pam_apparmor_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_libpam-apparmor
│ │ │ │ -
│ │ │ │ -class install_libpam-apparmor {
│ │ │ │ -  package { 'libpam-apparmor':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_pam_apparmor_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Ensure libpam-apparmor is installed
│ │ │ │    package:
│ │ │ │      name: libpam-apparmor
│ │ │ │      state: present
│ │ │ │    when: ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"]
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AC-3(4)
│ │ │ │ @@ -13870,14 +13860,24 @@
│ │ │ │    - NIST-800-53-SC-7(21)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_pam_apparmor_installed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_pam_apparmor_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_libpam-apparmor
│ │ │ │ +
│ │ │ │ +class install_libpam-apparmor {
│ │ │ │ +  package { 'libpam-apparmor':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_pam_apparmor_installed">[[packages]]
│ │ │ │ +name = "libpam-apparmor"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_pam_apparmor_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if [ ! -f /.dockerenv ] &amp;&amp; [ ! -f /run/.containerenv ]; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "libpam-apparmor"
│ │ │ │  
│ │ │ │  else
│ │ │ │      &gt;&amp;2 echo 'Remediation is not applicable, nothing was done'
│ │ │ │ @@ -14086,24 +14086,14 @@
│ │ │ │  with a System Administrator (SA) through shared resources.
│ │ │ │            <html:br/>
│ │ │ │            <html:br/>
│ │ │ │            Apparmor can confine users to their home directory, not allowing them to
│ │ │ │  make any changes outside of their own home directories. Confining users to
│ │ │ │  their home directory will minimize the risk of sharing information.
│ │ │ │          </xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="apparmor_configured">[customizations.services]
│ │ │ │ -enabled = ["apparmor"]</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="apparmor_configured" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_apparmor
│ │ │ │ -
│ │ │ │ -class enable_apparmor {
│ │ │ │ -  service {'apparmor':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="apparmor_configured">- name: Start apparmor.service
│ │ │ │    systemd:
│ │ │ │      name: apparmor.service
│ │ │ │      state: started
│ │ │ │      enabled: true
│ │ │ │    when: ansible_virtualization_type not in ["docker", "lxc", "openvz", "podman", "container"]
│ │ │ │    tags:
│ │ │ │ @@ -14112,14 +14102,24 @@
│ │ │ │    - NIST-800-53-AC-6(8)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(2)
│ │ │ │    - NIST-800-53-CM-7(5)(b)
│ │ │ │    - NIST-800-53-SC-7(21)
│ │ │ │    - apparmor_configured
│ │ │ │    - medium_severity</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="apparmor_configured" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_apparmor
│ │ │ │ +
│ │ │ │ +class enable_apparmor {
│ │ │ │ +  service {'apparmor':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="apparmor_configured">[customizations.services]
│ │ │ │ +enabled = ["apparmor"]</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-apparmor_configured:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │          <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-apparmor_configured_ocil:questionnaire:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │ @@ -20271,24 +20271,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-000366</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-000803</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000120-GPOS-00061</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R71</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>The rsyslog-gnutls package provides Transport Layer Security (TLS) support
│ │ │ │  for the rsyslog daemon, which enables secure remote logging.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_rsyslog-gnutls_installed">[[packages]]
│ │ │ │ -name = "rsyslog-gnutls"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsyslog-gnutls_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_rsyslog-gnutls
│ │ │ │ -
│ │ │ │ -class install_rsyslog-gnutls {
│ │ │ │ -  package { 'rsyslog-gnutls':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_rsyslog-gnutls_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -20304,14 +20294,24 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsyslog-gnutls_installed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsyslog-gnutls_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_rsyslog-gnutls
│ │ │ │ +
│ │ │ │ +class install_rsyslog-gnutls {
│ │ │ │ +  package { 'rsyslog-gnutls':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_rsyslog-gnutls_installed">[[packages]]
│ │ │ │ +name = "rsyslog-gnutls"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_rsyslog-gnutls_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "rsyslog-gnutls"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -20367,24 +20367,14 @@
│ │ │ │          <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000479-GPOS-00224</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000051-GPOS-00024</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>The rsyslog package provides the rsyslog daemon, which provides
│ │ │ │  system logging services.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_rsyslog_installed">[[packages]]
│ │ │ │ -name = "rsyslog"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsyslog_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_rsyslog
│ │ │ │ -
│ │ │ │ -class install_rsyslog {
│ │ │ │ -  package { 'rsyslog':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_rsyslog_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -20402,14 +20392,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsyslog_installed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsyslog_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_rsyslog
│ │ │ │ +
│ │ │ │ +class install_rsyslog {
│ │ │ │ +  package { 'rsyslog':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_rsyslog_installed">[[packages]]
│ │ │ │ +name = "rsyslog"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_rsyslog_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "rsyslog"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -20506,24 +20506,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>
│ │ │ │            The
│ │ │ │            <html:code>rsyslog</html:code>
│ │ │ │            service must be running in order to provide
│ │ │ │  logging services, which are essential to system administration.
│ │ │ │          </xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_rsyslog_enabled">[customizations.services]
│ │ │ │ -enabled = ["rsyslog"]</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_rsyslog_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_rsyslog
│ │ │ │ -
│ │ │ │ -class enable_rsyslog {
│ │ │ │ -  service {'rsyslog':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_rsyslog_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AU-4(1)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │ @@ -20554,14 +20544,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_rsyslog_enabled</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_rsyslog_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_rsyslog
│ │ │ │ +
│ │ │ │ +class enable_rsyslog {
│ │ │ │ +  service {'rsyslog':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_rsyslog_enabled">[customizations.services]
│ │ │ │ +enabled = ["rsyslog"]</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_rsyslog_enabled:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │          <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_rsyslog_enabled_ocil:questionnaire:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │ @@ -22172,24 +22172,14 @@
│ │ │ │              service can be enabled with the following command:
│ │ │ │              <html:pre>$ sudo systemctl enable systemd-journald.service</html:pre>
│ │ │ │            </xccdf-1.2:description>
│ │ │ │            <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-001665</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">SC-24</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000269-GPOS-00103</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>In the event of a system failure, Debian 12 must preserve any information necessary to determine cause of failure and any information necessary to return to operations with least disruption to system processes.</xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_systemd-journald_enabled">[customizations.services]
│ │ │ │ -enabled = ["systemd-journald"]</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_systemd-journald_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_systemd-journald
│ │ │ │ -
│ │ │ │ -class enable_systemd-journald {
│ │ │ │ -  service {'systemd-journald':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_systemd-journald_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-SC-24
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -22218,14 +22208,24 @@
│ │ │ │    - NIST-800-53-SC-24
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_systemd-journald_enabled</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_systemd-journald_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_systemd-journald
│ │ │ │ +
│ │ │ │ +class enable_systemd-journald {
│ │ │ │ +  service {'systemd-journald':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_systemd-journald_enabled">[customizations.services]
│ │ │ │ +enabled = ["systemd-journald"]</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_systemd-journald_enabled:def:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │            <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_systemd-journald_enabled_ocil:questionnaire:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │          </xccdf-1.2:Rule>
│ │ │ │ @@ -22312,24 +22312,14 @@
│ │ │ │            <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-10.7</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R71</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.5.1</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.5</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>The logrotate package provides the logrotate services.</xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_logrotate_installed">[[packages]]
│ │ │ │ -name = "logrotate"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_logrotate_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_logrotate
│ │ │ │ -
│ │ │ │ -class install_logrotate {
│ │ │ │ -  package { 'logrotate':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_logrotate_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-10.7
│ │ │ │    - PCI-DSSv4-10.5
│ │ │ │ @@ -22353,14 +22343,24 @@
│ │ │ │    - PCI-DSSv4-10.5.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_logrotate_installed</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_logrotate_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_logrotate
│ │ │ │ +
│ │ │ │ +class install_logrotate {
│ │ │ │ +  package { 'logrotate':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_logrotate_installed">[[packages]]
│ │ │ │ +name = "logrotate"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_logrotate_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "logrotate"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -22704,24 +22704,14 @@
│ │ │ │            <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.3</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.4</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.7.1</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>The syslog-ng-core package provides the syslog-ng daemon, which provides
│ │ │ │  system logging services.</xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_syslogng_installed">[[packages]]
│ │ │ │ -name = "syslog-ng"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_syslogng_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_syslog-ng
│ │ │ │ -
│ │ │ │ -class install_syslog-ng {
│ │ │ │ -  package { 'syslog-ng':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_syslogng_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -22739,14 +22729,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_syslogng_installed</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_syslogng_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_syslog-ng
│ │ │ │ +
│ │ │ │ +class install_syslog-ng {
│ │ │ │ +  package { 'syslog-ng':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_syslogng_installed">[[packages]]
│ │ │ │ +name = "syslog-ng"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_syslogng_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "syslog-ng"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -22844,24 +22844,14 @@
│ │ │ │            <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>
│ │ │ │              The
│ │ │ │              <html:code>syslog-ng</html:code>
│ │ │ │              service must be running in order to provide
│ │ │ │  logging services, which are essential to system administration.
│ │ │ │            </xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_syslogng_enabled">[customizations.services]
│ │ │ │ -enabled = ["syslog-ng"]</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_syslogng_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_syslog-ng
│ │ │ │ -
│ │ │ │ -class enable_syslog-ng {
│ │ │ │ -  service {'syslog-ng':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_syslogng_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AU-4(1)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │ @@ -22892,14 +22882,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_syslogng_enabled</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_syslogng_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_syslog-ng
│ │ │ │ +
│ │ │ │ +class enable_syslog-ng {
│ │ │ │ +  service {'syslog-ng':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_syslogng_enabled">[customizations.services]
│ │ │ │ +enabled = ["syslog-ng"]</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_syslogng_enabled:def:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │            <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_syslogng_enabled_ocil:questionnaire:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │          </xccdf-1.2:Rule>
│ │ │ │ @@ -24242,24 +24242,14 @@
│ │ │ │              <xccdf-1.2:rationale>
│ │ │ │                The
│ │ │ │                <html:code>ip6tables</html:code>
│ │ │ │                service provides the system's host-based firewalling
│ │ │ │  capability for IPv6 and ICMPv6.
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │              <xccdf-1.2:platform idref="#system_with_kernel"/>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ip6tables_enabled">[customizations.services]
│ │ │ │ -enabled = ["ip6tables"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ip6tables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ip6tables
│ │ │ │ -
│ │ │ │ -class enable_ip6tables {
│ │ │ │ -  service {'ip6tables':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_ip6tables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AC-4
│ │ │ │    - NIST-800-53-CA-3(5)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │ @@ -24296,14 +24286,24 @@
│ │ │ │    - NIST-800-53-SC-7(21)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ip6tables_enabled</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ip6tables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ip6tables
│ │ │ │ +
│ │ │ │ +class enable_ip6tables {
│ │ │ │ +  service {'ip6tables':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ip6tables_enabled">[customizations.services]
│ │ │ │ +enabled = ["ip6tables"]</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_ip6tables_enabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_ip6tables_enabled_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -24448,24 +24448,14 @@
│ │ │ │              <xccdf-1.2:rationale>
│ │ │ │                The
│ │ │ │                <html:code>iptables</html:code>
│ │ │ │                service provides the system's host-based firewalling
│ │ │ │  capability for IPv4 and ICMP.
│ │ │ │              </xccdf-1.2:rationale>
│ │ │ │              <xccdf-1.2:platform idref="#package_iptables_and_service_disabled_firewalld_and_system_with_kernel"/>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_iptables_enabled">[customizations.services]
│ │ │ │ -enabled = ["iptables"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_iptables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_iptables
│ │ │ │ -
│ │ │ │ -class enable_iptables {
│ │ │ │ -  service {'iptables':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_iptables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AC-4
│ │ │ │    - NIST-800-53-CA-3(5)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │ @@ -24503,14 +24493,24 @@
│ │ │ │    - NIST-800-53-SC-7(21)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_iptables_enabled</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_iptables_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_iptables
│ │ │ │ +
│ │ │ │ +class enable_iptables {
│ │ │ │ +  service {'iptables':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_iptables_enabled">[customizations.services]
│ │ │ │ +enabled = ["iptables"]</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_iptables_enabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │              <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_iptables_enabled_ocil:questionnaire:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │ @@ -34626,24 +34626,14 @@
│ │ │ │              service can be enabled with the following command:
│ │ │ │              <html:pre>$ sudo systemctl enable ufw.service</html:pre>
│ │ │ │            </xccdf-1.2:description>
│ │ │ │            <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-002314</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000297-GPOS-00115</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>The ufw service must be enabled and running in order for ufw to protect the system</xccdf-1.2:rationale>
│ │ │ │            <xccdf-1.2:platform idref="#package_ufw_and_system_with_kernel"/>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ufw_enabled">[customizations.services]
│ │ │ │ -enabled = ["ufw"]</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ufw_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ufw
│ │ │ │ -
│ │ │ │ -class enable_ufw {
│ │ │ │ -  service {'ufw':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_ufw_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -34672,14 +34662,24 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ufw_enabled</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ufw_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ufw
│ │ │ │ +
│ │ │ │ +class enable_ufw {
│ │ │ │ +  service {'ufw':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ufw_enabled">[customizations.services]
│ │ │ │ +enabled = ["ufw"]</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_ufw_enabled:def:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │            <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_ufw_enabled_ocil:questionnaire:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │          </xccdf-1.2:Rule>
│ │ │ │ @@ -48561,21 +48561,14 @@
│ │ │ │            <html:code>setroubleshoot-plugins</html:code>
│ │ │ │            package can be removed with the following command:
│ │ │ │            <html:pre>$ apt-get remove setroubleshoot-plugins</html:pre>
│ │ │ │          </xccdf-1.2:description>
│ │ │ │          <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R49</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>The SETroubleshoot service is an unnecessary daemon to
│ │ │ │  have running on a server.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_setroubleshoot-plugins_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_setroubleshoot-plugins
│ │ │ │ -
│ │ │ │ -class remove_setroubleshoot-plugins {
│ │ │ │ -  package { 'setroubleshoot-plugins':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_setroubleshoot-plugins_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -48591,14 +48584,21 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_setroubleshoot-plugins_removed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_setroubleshoot-plugins_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_setroubleshoot-plugins
│ │ │ │ +
│ │ │ │ +class remove_setroubleshoot-plugins {
│ │ │ │ +  package { 'setroubleshoot-plugins':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_setroubleshoot-plugins_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove setroubleshoot-plugins
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on setroubleshoot-plugins. Execute this
│ │ │ │ @@ -48627,21 +48627,14 @@
│ │ │ │            <html:code>setroubleshoot-server</html:code>
│ │ │ │            package can be removed with the following command:
│ │ │ │            <html:pre>$ apt-get remove setroubleshoot-server</html:pre>
│ │ │ │          </xccdf-1.2:description>
│ │ │ │          <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R49</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>The SETroubleshoot service is an unnecessary daemon to have
│ │ │ │  running on a server.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_setroubleshoot-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_setroubleshoot-server
│ │ │ │ -
│ │ │ │ -class remove_setroubleshoot-server {
│ │ │ │ -  package { 'setroubleshoot-server':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_setroubleshoot-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -48657,14 +48650,21 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_setroubleshoot-server_removed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_setroubleshoot-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_setroubleshoot-server
│ │ │ │ +
│ │ │ │ +class remove_setroubleshoot-server {
│ │ │ │ +  package { 'setroubleshoot-server':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_setroubleshoot-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove setroubleshoot-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on setroubleshoot-server. Execute this
│ │ │ │ @@ -48694,21 +48694,14 @@
│ │ │ │            package can be removed with the following command:
│ │ │ │            <html:pre>$ apt-get remove setroubleshoot</html:pre>
│ │ │ │          </xccdf-1.2:description>
│ │ │ │          <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R49</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>The SETroubleshoot service is an unnecessary daemon to
│ │ │ │  have running on a server, especially if
│ │ │ │  X Windows is removed or disabled.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_setroubleshoot_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_setroubleshoot
│ │ │ │ -
│ │ │ │ -class remove_setroubleshoot {
│ │ │ │ -  package { 'setroubleshoot':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_setroubleshoot_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -48724,14 +48717,21 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_setroubleshoot_removed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_setroubleshoot_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_setroubleshoot
│ │ │ │ +
│ │ │ │ +class remove_setroubleshoot {
│ │ │ │ +  package { 'setroubleshoot':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_setroubleshoot_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove setroubleshoot
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on setroubleshoot. Execute this
│ │ │ │ @@ -49757,24 +49757,14 @@
│ │ │ │          <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.IP-1</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-3</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.6</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>The cron service allow periodic job execution, needed for almost all administrative tasks and services (software update, log rotating, etc.). Access to cron service should be restricted to administrative accounts only.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_cron_installed">[[packages]]
│ │ │ │ -name = "cron"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_cron_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_cron
│ │ │ │ -
│ │ │ │ -class install_cron {
│ │ │ │ -  package { 'cron':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_cron_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │ @@ -49796,14 +49786,24 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_cron_installed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_cron_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_cron
│ │ │ │ +
│ │ │ │ +class install_cron {
│ │ │ │ +  package { 'cron':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_cron_installed">[[packages]]
│ │ │ │ +name = "cron"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_cron_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "cron"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -49899,24 +49899,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.14.2.4</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.9.1.2</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.IP-1</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-3</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>Due to its usage for maintenance and security-supporting tasks,
│ │ │ │  enabling the cron daemon is essential.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_cron_enabled">[customizations.services]
│ │ │ │ -enabled = ["cron"]</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_cron_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_cron
│ │ │ │ -
│ │ │ │ -class enable_cron {
│ │ │ │ -  service {'cron':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_cron_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -49945,14 +49935,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_cron_enabled</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_cron_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_cron
│ │ │ │ +
│ │ │ │ +class enable_cron {
│ │ │ │ +  service {'cron':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_cron_enabled">[customizations.services]
│ │ │ │ +enabled = ["cron"]</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_cron_enabled:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │          <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_cron_enabled_ocil:questionnaire:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │ @@ -50056,35 +50056,35 @@
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-4</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>
│ │ │ │            <html:code>telnet</html:code>
│ │ │ │            allows clear text communications, and does not protect any
│ │ │ │  data transmission between client and server. Any confidential data can be
│ │ │ │  listened and no integrity checking is made.
│ │ │ │          </xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_inetutils-telnetd
│ │ │ │ -
│ │ │ │ -class remove_inetutils-telnetd {
│ │ │ │ -  package { 'inetutils-telnetd':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure inetutils-telnetd is removed
│ │ │ │    package:
│ │ │ │      name: inetutils-telnetd
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_inetutils-telnetd_removed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_inetutils-telnetd
│ │ │ │ +
│ │ │ │ +class remove_inetutils-telnetd {
│ │ │ │ +  package { 'inetutils-telnetd':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_inetutils-telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove inetutils-telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on inetutils-telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "inetutils-telnetd"</xccdf-1.2:fix>
│ │ │ │ @@ -50093,32 +50093,32 @@
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │        <xccdf-1.2:Rule selected="false" id="xccdf_org.ssgproject.content_rule_package_nis_removed" severity="low">
│ │ │ │          <xccdf-1.2:title>Uninstall the nis package</xccdf-1.2:title>
│ │ │ │          <xccdf-1.2:description>The support for Yellowpages should not be installed unless it is required.</xccdf-1.2:description>
│ │ │ │          <xccdf-1.2:rationale>NIS is the historical SUN service for central account management, more and more replaced by LDAP.
│ │ │ │  NIS does not support efficiently security constraints, ACL, etc. and should not be used.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_nis
│ │ │ │ -
│ │ │ │ -class remove_nis {
│ │ │ │ -  package { 'nis':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure nis is removed
│ │ │ │    package:
│ │ │ │      name: nis
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_nis_removed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_nis
│ │ │ │ +
│ │ │ │ +class remove_nis {
│ │ │ │ +  package { 'nis':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_nis_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove nis
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on nis. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "nis"</xccdf-1.2:fix>
│ │ │ │ @@ -50126,32 +50126,32 @@
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-package_nis_removed:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │        <xccdf-1.2:Rule selected="false" id="xccdf_org.ssgproject.content_rule_package_ntpdate_removed" severity="low">
│ │ │ │          <xccdf-1.2:title>Uninstall the ntpdate package</xccdf-1.2:title>
│ │ │ │          <xccdf-1.2:description>ntpdate is a historical ntp synchronization client for unixes. It sould be uninstalled.</xccdf-1.2:description>
│ │ │ │          <xccdf-1.2:rationale>ntpdate is an old not security-compliant ntp client. It should be replaced by modern ntp clients such as ntpd, able to use cryptographic mechanisms integrated in NTP.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_ntpdate
│ │ │ │ -
│ │ │ │ -class remove_ntpdate {
│ │ │ │ -  package { 'ntpdate':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure ntpdate is removed
│ │ │ │    package:
│ │ │ │      name: ntpdate
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ntpdate_removed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_ntpdate
│ │ │ │ +
│ │ │ │ +class remove_ntpdate {
│ │ │ │ +  package { 'ntpdate':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_ntpdate_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove ntpdate
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ntpdate. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ntpdate"</xccdf-1.2:fix>
│ │ │ │ @@ -50257,35 +50257,35 @@
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-3</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-4</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>
│ │ │ │            <html:code>telnet</html:code>
│ │ │ │            , even with ssl support, should not be installed.
│ │ │ │  When remote shell is required, up-to-date ssh daemon can be used.
│ │ │ │          </xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd-ssl
│ │ │ │ -
│ │ │ │ -class remove_telnetd-ssl {
│ │ │ │ -  package { 'telnetd-ssl':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure telnetd-ssl is removed
│ │ │ │    package:
│ │ │ │      name: telnetd-ssl
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd-ssl_removed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd-ssl
│ │ │ │ +
│ │ │ │ +class remove_telnetd-ssl {
│ │ │ │ +  package { 'telnetd-ssl':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_telnetd-ssl_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove telnetd-ssl
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd-ssl. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd-ssl"</xccdf-1.2:fix>
│ │ │ │ @@ -50388,35 +50388,35 @@
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-4</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>
│ │ │ │            <html:code>telnet</html:code>
│ │ │ │            allows clear text communications, and does not protect
│ │ │ │  any data transmission between client and server. Any confidential data
│ │ │ │  can be listened and no integrity checking is made.'
│ │ │ │          </xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd
│ │ │ │ -
│ │ │ │ -class remove_telnetd {
│ │ │ │ -  package { 'telnetd':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure telnetd is removed
│ │ │ │    package:
│ │ │ │      name: telnetd
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnetd_removed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnetd
│ │ │ │ +
│ │ │ │ +class remove_telnetd {
│ │ │ │ +  package { 'telnetd':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_telnetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove telnetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnetd. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnetd"</xccdf-1.2:fix>
│ │ │ │ @@ -50714,21 +50714,14 @@
│ │ │ │            <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.IP-1</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-3</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R62</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.4</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>Removing the DHCP server ensures that it cannot be easily or
│ │ │ │  accidentally reactivated and disrupt network operation.</xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_dhcp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_dhcp
│ │ │ │ -
│ │ │ │ -class remove_dhcp {
│ │ │ │ -  package { 'dhcp':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_dhcp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure dhcp is removed
│ │ │ │    package:
│ │ │ │      name: dhcp
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │ @@ -50737,14 +50730,21 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_dhcp_removed</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_dhcp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_dhcp
│ │ │ │ +
│ │ │ │ +class remove_dhcp {
│ │ │ │ +  package { 'dhcp':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_dhcp_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove dhcp
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on dhcp. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "dhcp"</xccdf-1.2:fix>
│ │ │ │ @@ -50758,32 +50758,32 @@
│ │ │ │          <xccdf-1.2:Rule selected="false" id="xccdf_org.ssgproject.content_rule_package_kea_removed" severity="medium">
│ │ │ │            <xccdf-1.2:title>Uninstall kea Package</xccdf-1.2:title>
│ │ │ │            <xccdf-1.2:description>If the system does not need to act as a DHCP server,
│ │ │ │  the kea package can be uninstalled.</xccdf-1.2:description>
│ │ │ │            <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R62</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>Removing the DHCP server ensures that it cannot be easily or
│ │ │ │  accidentally reactivated and disrupt network operation.</xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_kea_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_kea
│ │ │ │ -
│ │ │ │ -class remove_kea {
│ │ │ │ -  package { 'kea':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_kea_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure kea is removed
│ │ │ │    package:
│ │ │ │      name: kea
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_kea_removed</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_kea_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_kea
│ │ │ │ +
│ │ │ │ +class remove_kea {
│ │ │ │ +  package { 'kea':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_kea_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove kea
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on kea. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "kea"</xccdf-1.2:fix>
│ │ │ │ @@ -50942,24 +50942,14 @@
│ │ │ │            package can be installed with the following command:
│ │ │ │            <html:pre>$ apt-get install postfix</html:pre>
│ │ │ │          </xccdf-1.2:description>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-000139</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000046-GPOS-00022</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>Emails can be used to notify designated personnel about important
│ │ │ │  system events such as failures or warnings.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_postfix_installed">[[packages]]
│ │ │ │ -name = "postfix"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_postfix_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_postfix
│ │ │ │ -
│ │ │ │ -class install_postfix {
│ │ │ │ -  package { 'postfix':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_postfix_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -50975,14 +50965,24 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_postfix_installed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_postfix_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_postfix
│ │ │ │ +
│ │ │ │ +class install_postfix {
│ │ │ │ +  package { 'postfix':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_postfix_installed">[[packages]]
│ │ │ │ +name = "postfix"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_postfix_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "postfix"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -51076,21 +51076,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-3</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000095-GPOS-00049</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R62</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>The sendmail software was not developed with security in mind and
│ │ │ │  its design prevents it from being effectively contained by SELinux.  Postfix
│ │ │ │  should be used instead.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_sendmail_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_sendmail
│ │ │ │ -
│ │ │ │ -class remove_sendmail {
│ │ │ │ -  package { 'sendmail':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_sendmail_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │ @@ -51112,14 +51105,21 @@
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_sendmail_removed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_sendmail_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_sendmail
│ │ │ │ +
│ │ │ │ +class remove_sendmail {
│ │ │ │ +  package { 'sendmail':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_sendmail_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove sendmail
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on sendmail. Execute this
│ │ │ │ @@ -51590,24 +51590,14 @@
│ │ │ │  
│ │ │ │  The
│ │ │ │                <html:code>netfs</html:code>
│ │ │ │                service can be disabled with the following command:
│ │ │ │                <html:pre>$ sudo systemctl mask --now netfs.service</html:pre>
│ │ │ │              </xccdf-1.2:description>
│ │ │ │              <xccdf-1.2:rationale/>
│ │ │ │ -            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_netfs_disabled">[customizations.services]
│ │ │ │ -masked = ["netfs"]</xccdf-1.2:fix>
│ │ │ │ -            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_netfs_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_netfs
│ │ │ │ -
│ │ │ │ -class disable_netfs {
│ │ │ │ -  service {'netfs':
│ │ │ │ -    enable =&gt; false,
│ │ │ │ -    ensure =&gt; 'stopped',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_netfs_disabled" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -51675,14 +51665,24 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_netfs_disabled
│ │ │ │    - unknown_severity</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_netfs_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_netfs
│ │ │ │ +
│ │ │ │ +class disable_netfs {
│ │ │ │ +  service {'netfs':
│ │ │ │ +    enable =&gt; false,
│ │ │ │ +    ensure =&gt; 'stopped',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +            <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_netfs_disabled">[customizations.services]
│ │ │ │ +masked = ["netfs"]</xccdf-1.2:fix>
│ │ │ │              <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │                <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_netfs_disabled:def:1"/>
│ │ │ │              </xccdf-1.2:check>
│ │ │ │            </xccdf-1.2:Rule>
│ │ │ │          </xccdf-1.2:Group>
│ │ │ │        </xccdf-1.2:Group>
│ │ │ │        <xccdf-1.2:Group id="xccdf_org.ssgproject.content_group_nfs_configuring_servers">
│ │ │ │ @@ -51839,24 +51839,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000355-GPOS-00143</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R71</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.6.1</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.6</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>Time synchronization is important to support time sensitive security mechanisms like
│ │ │ │  Kerberos and also ensures log files have consistent time records across the enterprise,
│ │ │ │  which aids in forensic investigations.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_chrony_installed">[[packages]]
│ │ │ │ -name = "chrony"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_chrony_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_chrony
│ │ │ │ -
│ │ │ │ -class install_chrony {
│ │ │ │ -  package { 'chrony':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_chrony_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │    - PCI-DSSv4-10.6
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │ @@ -51878,14 +51868,24 @@
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_chrony_installed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_chrony_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_chrony
│ │ │ │ +
│ │ │ │ +class install_chrony {
│ │ │ │ +  package { 'chrony':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_chrony_installed">[[packages]]
│ │ │ │ +name = "chrony"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_chrony_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "chrony"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -51930,24 +51930,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.3</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.4.4</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://www.iso.org/contents/data/standard/05/45/54534.html">A.12.7.1</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-6(a)</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf">PR.PT-1</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-10.4</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>Time synchronization (using NTP) is required by almost all network and administrative tasks (syslog, cryptographic based services (authentication, etc.), etc.). Ntpd is regulary maintained and updated, supporting security features such as RFC 5906.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_ntp_installed">[[packages]]
│ │ │ │ -name = "ntp"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntp_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_ntp
│ │ │ │ -
│ │ │ │ -class install_ntp {
│ │ │ │ -  package { 'ntp':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_ntp_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │    - enable_strategy
│ │ │ │ @@ -51967,14 +51957,24 @@
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ntp_installed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ntp_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_ntp
│ │ │ │ +
│ │ │ │ +class install_ntp {
│ │ │ │ +  package { 'ntp':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_ntp_installed">[[packages]]
│ │ │ │ +name = "ntp"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_ntp_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "ntp"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -52003,24 +52003,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/cci/">CCI-004923</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://www.cyber.gov.au/acsc/view-all-content/ism">0988</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://www.cyber.gov.au/acsc/view-all-content/ism">1405</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000355-GPOS-00143</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>If chrony is in use on the system proper configuration is vital to ensuring time
│ │ │ │  synchronization is working properly.</xccdf-1.2:rationale>
│ │ │ │          <xccdf-1.2:platform idref="#package_chrony"/>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_chronyd_enabled">[customizations.services]
│ │ │ │ -enabled = ["chrony"]</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_chronyd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_chrony
│ │ │ │ -
│ │ │ │ -class enable_chrony {
│ │ │ │ -  service {'chrony':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_chronyd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -52049,14 +52039,24 @@
│ │ │ │    tags:
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_chronyd_enabled</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_chronyd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_chrony
│ │ │ │ +
│ │ │ │ +class enable_chrony {
│ │ │ │ +  service {'chrony':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_chronyd_enabled">[customizations.services]
│ │ │ │ +enabled = ["chrony"]</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_chronyd_enabled:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │          <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_chronyd_enabled_ocil:questionnaire:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │ @@ -52221,24 +52221,14 @@
│ │ │ │            <html:br/>
│ │ │ │            The NTP daemon offers all of the functionality of
│ │ │ │            <html:code>ntpdate</html:code>
│ │ │ │            , which is now
│ │ │ │  deprecated.
│ │ │ │          </xccdf-1.2:rationale>
│ │ │ │          <xccdf-1.2:platform idref="#package_ntp"/>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ntp_enabled">[customizations.services]
│ │ │ │ -enabled = ["ntp"]</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ntp_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ntp
│ │ │ │ -
│ │ │ │ -class enable_ntp {
│ │ │ │ -  service {'ntp':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_ntp_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AU-8(1)(a)
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - PCI-DSS-Req-10.4
│ │ │ │ @@ -52277,14 +52267,24 @@
│ │ │ │    - PCI-DSSv4-10.6.1
│ │ │ │    - enable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_ntp_enabled</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_ntp_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_ntp
│ │ │ │ +
│ │ │ │ +class enable_ntp {
│ │ │ │ +  service {'ntp':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_ntp_enabled">[customizations.services]
│ │ │ │ +enabled = ["ntp"]</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_ntp_enabled:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │          <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_ntp_enabled_ocil:questionnaire:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │ @@ -52806,21 +52806,14 @@
│ │ │ │            <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>
│ │ │ │              Removing the
│ │ │ │              <html:code>xinetd</html:code>
│ │ │ │              package decreases the risk of the
│ │ │ │  xinetd service's accidental (or intentional) activation.
│ │ │ │            </xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_xinetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_xinetd
│ │ │ │ -
│ │ │ │ -class remove_xinetd {
│ │ │ │ -  package { 'xinetd':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_xinetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │    - NIST-800-53-CM-7(b)
│ │ │ │ @@ -52846,14 +52839,21 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_xinetd_removed</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_xinetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_xinetd
│ │ │ │ +
│ │ │ │ +class remove_xinetd {
│ │ │ │ +  package { 'xinetd':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_xinetd_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove xinetd
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on xinetd. Execute this
│ │ │ │ @@ -52901,34 +52901,34 @@
│ │ │ │            <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.4</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>The NIS service is inherently an insecure system that has been vulnerable
│ │ │ │  to DOS attacks, buffer overflows and has poor authentication for querying
│ │ │ │  NIS maps. NIS generally has been replaced by such protocols as Lightweight
│ │ │ │  Directory Access Protocol (LDAP). It is recommended that the service be
│ │ │ │  removed.</xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ypbind_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_ypbind-mt
│ │ │ │ -
│ │ │ │ -class remove_ypbind-mt {
│ │ │ │ -  package { 'ypbind-mt':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_ypbind_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure ypbind-mt is removed
│ │ │ │    package:
│ │ │ │      name: ypbind-mt
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ypbind_removed
│ │ │ │    - unknown_severity</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ypbind_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_ypbind-mt
│ │ │ │ +
│ │ │ │ +class remove_ypbind-mt {
│ │ │ │ +  package { 'ypbind-mt':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_ypbind_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove ypbind-mt
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ypbind-mt. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ypbind-mt"</xccdf-1.2:fix>
│ │ │ │ @@ -53056,21 +53056,14 @@
│ │ │ │  remote session.
│ │ │ │  
│ │ │ │  Removing the
│ │ │ │              <html:code>ypserv</html:code>
│ │ │ │              package decreases the risk of the accidental
│ │ │ │  (or intentional) activation of NIS or NIS+ services.
│ │ │ │            </xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ypserv_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_ypserv
│ │ │ │ -
│ │ │ │ -class remove_ypserv {
│ │ │ │ -  package { 'ypserv':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_ypserv_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure ypserv is removed
│ │ │ │    package:
│ │ │ │      name: ypserv
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │ @@ -53081,14 +53074,21 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_ypserv_removed</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_ypserv_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_ypserv
│ │ │ │ +
│ │ │ │ +class remove_ypserv {
│ │ │ │ +  package { 'ypserv':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_ypserv_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove ypserv
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on ypserv. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "ypserv"</xccdf-1.2:fix>
│ │ │ │ @@ -53223,21 +53223,14 @@
│ │ │ │  authentication. If a privileged user were to login using this service, the privileged user password
│ │ │ │  could be compromised. The
│ │ │ │              <html:code>rsh-server</html:code>
│ │ │ │              package provides several obsolete and insecure
│ │ │ │  network services. Removing it decreases the risk of those services' accidental (or intentional)
│ │ │ │  activation.
│ │ │ │            </xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_rsh-server
│ │ │ │ -
│ │ │ │ -class remove_rsh-server {
│ │ │ │ -  package { 'rsh-server':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_rsh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure rsh-server is removed
│ │ │ │    package:
│ │ │ │      name: rsh-server
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │ @@ -53247,14 +53240,21 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsh-server_removed</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_rsh-server
│ │ │ │ +
│ │ │ │ +class remove_rsh-server {
│ │ │ │ +  package { 'rsh-server':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_rsh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove rsh-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on rsh-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "rsh-server"</xccdf-1.2:fix>
│ │ │ │ @@ -53304,35 +53304,35 @@
│ │ │ │              <html:code>rsh</html:code>
│ │ │ │              ,
│ │ │ │              <html:code>rcp</html:code>
│ │ │ │              , and
│ │ │ │              <html:code>rlogin</html:code>
│ │ │ │              .
│ │ │ │            </xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsh_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_rsh
│ │ │ │ -
│ │ │ │ -class remove_rsh {
│ │ │ │ -  package { 'rsh':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_rsh_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure rsh is removed
│ │ │ │    package:
│ │ │ │      name: rsh
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-171-3.1.13
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_rsh_removed
│ │ │ │    - unknown_severity</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_rsh_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_rsh
│ │ │ │ +
│ │ │ │ +class remove_rsh {
│ │ │ │ +  package { 'rsh':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_rsh_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove rsh
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on rsh. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "rsh"</xccdf-1.2:fix>
│ │ │ │ @@ -53495,34 +53495,34 @@
│ │ │ │            <xccdf-1.2:rationale>
│ │ │ │              The talk software presents a security risk as it uses unencrypted protocols
│ │ │ │  for communications. Removing the
│ │ │ │              <html:code>talk-server</html:code>
│ │ │ │              package decreases the
│ │ │ │  risk of the accidental (or intentional) activation of talk services.
│ │ │ │            </xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_talk-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_talk-server
│ │ │ │ -
│ │ │ │ -class remove_talk-server {
│ │ │ │ -  package { 'talk-server':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_talk-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure talk-server is removed
│ │ │ │    package:
│ │ │ │      name: talk-server
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_talk-server_removed</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_talk-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_talk-server
│ │ │ │ +
│ │ │ │ +class remove_talk-server {
│ │ │ │ +  package { 'talk-server':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_talk-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove talk-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on talk-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "talk-server"</xccdf-1.2:fix>
│ │ │ │ @@ -53559,34 +53559,34 @@
│ │ │ │            <xccdf-1.2:rationale>
│ │ │ │              The talk software presents a security risk as it uses unencrypted protocols
│ │ │ │  for communications. Removing the
│ │ │ │              <html:code>talk</html:code>
│ │ │ │              package decreases the
│ │ │ │  risk of the accidental (or intentional) activation of talk client program.
│ │ │ │            </xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_talk_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_talk
│ │ │ │ -
│ │ │ │ -class remove_talk {
│ │ │ │ -  package { 'talk':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_talk_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure talk is removed
│ │ │ │    package:
│ │ │ │      name: talk
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_talk_removed</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_talk_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_talk
│ │ │ │ +
│ │ │ │ +class remove_talk {
│ │ │ │ +  package { 'talk':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_talk_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove talk
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on talk. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "talk"</xccdf-1.2:fix>
│ │ │ │ @@ -53727,21 +53727,14 @@
│ │ │ │  privileged user password could be compromised.
│ │ │ │              <html:br/>
│ │ │ │              Removing the
│ │ │ │              <html:code>telnet-server</html:code>
│ │ │ │              package decreases the risk of the
│ │ │ │  telnet service's accidental (or intentional) activation.
│ │ │ │            </xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnet-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnet-server
│ │ │ │ -
│ │ │ │ -class remove_telnet-server {
│ │ │ │ -  package { 'telnet-server':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_telnet-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure telnet-server is removed
│ │ │ │    package:
│ │ │ │      name: telnet-server
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │ @@ -53751,14 +53744,21 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnet-server_removed</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnet-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnet-server
│ │ │ │ +
│ │ │ │ +class remove_telnet-server {
│ │ │ │ +  package { 'telnet-server':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_telnet-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove telnet-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnet-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnet-server"</xccdf-1.2:fix>
│ │ │ │ @@ -53795,35 +53795,35 @@
│ │ │ │              protocol is insecure and unencrypted. The use
│ │ │ │  of an unencrypted transmission medium could allow an unauthorized user
│ │ │ │  to steal credentials. The
│ │ │ │              <html:code>ssh</html:code>
│ │ │ │              package provides an
│ │ │ │  encrypted session and stronger security and is included in Debian 12.
│ │ │ │            </xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnet_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnet
│ │ │ │ -
│ │ │ │ -class remove_telnet {
│ │ │ │ -  package { 'telnet':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_telnet_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure telnet is removed
│ │ │ │    package:
│ │ │ │      name: telnet
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-171-3.1.13
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_telnet_removed</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_telnet_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_telnet
│ │ │ │ +
│ │ │ │ +class remove_telnet {
│ │ │ │ +  package { 'telnet':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_telnet_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove telnet
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on telnet. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "telnet"</xccdf-1.2:fix>
│ │ │ │ @@ -53955,21 +53955,14 @@
│ │ │ │              <html:br/>
│ │ │ │              <html:br/>
│ │ │ │              If TFTP is required for operational support (such as transmission of router
│ │ │ │  configurations), its use must be documented with the Information Systems
│ │ │ │  Securty Manager (ISSM), restricted to only authorized personnel, and have
│ │ │ │  access control rules established.
│ │ │ │            </xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_tftp-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_tftp-server
│ │ │ │ -
│ │ │ │ -class remove_tftp-server {
│ │ │ │ -  package { 'tftp-server':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_tftp-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure tftp-server is removed
│ │ │ │    package:
│ │ │ │      name: tftp-server
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - NIST-800-53-CM-7(a)
│ │ │ │ @@ -53978,14 +53971,21 @@
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_tftp-server_removed</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_tftp-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_tftp-server
│ │ │ │ +
│ │ │ │ +class remove_tftp-server {
│ │ │ │ +  package { 'tftp-server':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_tftp-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove tftp-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on tftp-server. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "tftp-server"</xccdf-1.2:fix>
│ │ │ │ @@ -54011,34 +54011,34 @@
│ │ │ │            <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000074-GPOS-00042</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R62</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.4</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>It is recommended that TFTP be removed, unless there is a specific need
│ │ │ │  for TFTP (such as a boot server). In that case, use extreme caution when configuring
│ │ │ │  the services.</xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_tftp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_tftp
│ │ │ │ -
│ │ │ │ -class remove_tftp {
│ │ │ │ -  package { 'tftp':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_tftp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure tftp is removed
│ │ │ │    package:
│ │ │ │      name: tftp
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_tftp_removed</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_tftp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_tftp
│ │ │ │ +
│ │ │ │ +class remove_tftp {
│ │ │ │ +  package { 'tftp':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_tftp_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove tftp
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on tftp. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "tftp"</xccdf-1.2:fix>
│ │ │ │ @@ -54076,34 +54076,34 @@
│ │ │ │              <html:pre>$ apt-get remove snmp</html:pre>
│ │ │ │            </xccdf-1.2:description>
│ │ │ │            <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.4</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>If there is no need to run SNMP server software,
│ │ │ │  removing the package provides a safeguard against its
│ │ │ │  activation.</xccdf-1.2:rationale>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_net-snmp
│ │ │ │ -
│ │ │ │ -class remove_net-snmp {
│ │ │ │ -  package { 'net-snmp':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Ensure net-snmp is removed
│ │ │ │    package:
│ │ │ │      name: net-snmp
│ │ │ │      state: absent
│ │ │ │    tags:
│ │ │ │    - PCI-DSSv4-2.2
│ │ │ │    - PCI-DSSv4-2.2.4
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_net-snmp_removed
│ │ │ │    - unknown_severity</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_net-snmp
│ │ │ │ +
│ │ │ │ +class remove_net-snmp {
│ │ │ │ +  package { 'net-snmp':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_net-snmp_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># CAUTION: This remediation script will remove net-snmp
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on net-snmp. Execute this
│ │ │ │  #	   remediation AFTER testing on a non-production
│ │ │ │  #	   system!
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get remove -y "net-snmp"</xccdf-1.2:fix>
│ │ │ │ @@ -54122,24 +54122,14 @@
│ │ │ │              service can be disabled with the following command:
│ │ │ │              <html:pre>$ sudo systemctl mask --now snmpd.service</html:pre>
│ │ │ │            </xccdf-1.2:description>
│ │ │ │            <xccdf-1.2:reference href="https://www.cyber.gov.au/acsc/view-all-content/ism">1311</xccdf-1.2:reference>
│ │ │ │            <xccdf-1.2:rationale>Running SNMP software provides a network-based avenue of attack, and
│ │ │ │  should be disabled if not needed.</xccdf-1.2:rationale>
│ │ │ │            <xccdf-1.2:platform idref="#package_snmpd_and_system_with_kernel"/>
│ │ │ │ -          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_snmpd_disabled">[customizations.services]
│ │ │ │ -masked = ["snmpd"]</xccdf-1.2:fix>
│ │ │ │ -          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_snmpd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_snmpd
│ │ │ │ -
│ │ │ │ -class disable_snmpd {
│ │ │ │ -  service {'snmpd':
│ │ │ │ -    enable =&gt; false,
│ │ │ │ -    ensure =&gt; 'stopped',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_snmpd_disabled" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -54210,14 +54200,24 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - low_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_snmpd_disabled</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_snmpd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_snmpd
│ │ │ │ +
│ │ │ │ +class disable_snmpd {
│ │ │ │ +  service {'snmpd':
│ │ │ │ +    enable =&gt; false,
│ │ │ │ +    ensure =&gt; 'stopped',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +          <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_snmpd_disabled">[customizations.services]
│ │ │ │ +masked = ["snmpd"]</xccdf-1.2:fix>
│ │ │ │            <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_snmpd_disabled:def:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │            <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │              <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_snmpd_disabled_ocil:questionnaire:1"/>
│ │ │ │            </xccdf-1.2:check>
│ │ │ │          </xccdf-1.2:Rule>
│ │ │ │ @@ -54483,24 +54483,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000423-GPOS-00187</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000424-GPOS-00188</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000425-GPOS-00189</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000426-GPOS-00190</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>Without protection of the transmitted information, confidentiality, and
│ │ │ │  integrity may be compromised because unprotected communications can be
│ │ │ │  intercepted and either read or altered.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_openssh-server_installed">[[packages]]
│ │ │ │ -name = "openssh-server"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_openssh-server
│ │ │ │ -
│ │ │ │ -class install_openssh-server {
│ │ │ │ -  package { 'openssh-server':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_openssh-server_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │ @@ -54518,14 +54508,24 @@
│ │ │ │    - NIST-800-53-CM-6(a)
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_openssh-server_installed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_openssh-server
│ │ │ │ +
│ │ │ │ +class install_openssh-server {
│ │ │ │ +  package { 'openssh-server':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_openssh-server_installed">[[packages]]
│ │ │ │ +name = "openssh-server"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_openssh-server_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "openssh-server"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -54548,21 +54548,14 @@
│ │ │ │            <html:code>openssh-server</html:code>
│ │ │ │            package can be removed with the following command:
│ │ │ │            <html:pre>$ apt-get remove openssh-server</html:pre>
│ │ │ │          </xccdf-1.2:description>
│ │ │ │          <xccdf-1.2:rationale>Without protection of the transmitted information, confidentiality, and
│ │ │ │  integrity may be compromised because unprotected communications can be
│ │ │ │  intercepted and either read or altered.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_openssh-server
│ │ │ │ -
│ │ │ │ -class remove_openssh-server {
│ │ │ │ -  package { 'openssh-server':
│ │ │ │ -    ensure =&gt; 'purged',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_openssh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │ @@ -54578,14 +54571,21 @@
│ │ │ │    tags:
│ │ │ │    - disable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_openssh-server_removed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_openssh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable">include remove_openssh-server
│ │ │ │ +
│ │ │ │ +class remove_openssh-server {
│ │ │ │ +  package { 'openssh-server':
│ │ │ │ +    ensure =&gt; 'purged',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_openssh-server_removed" complexity="low" disruption="low" reboot="false" strategy="disable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  # CAUTION: This remediation script will remove openssh-server
│ │ │ │  #	   from the system, and may remove any packages
│ │ │ │  #	   that depend on openssh-server. Execute this
│ │ │ │ @@ -54611,24 +54611,14 @@
│ │ │ │  This is unusual, as SSH is a common method for encrypted and authenticated
│ │ │ │  remote access.</xccdf-1.2:description>
│ │ │ │          <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">CM-3(6)</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf">IA-2(4)</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=container-platform">SRG-APP-000185-CTR-000490</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=container-platform">SRG-APP-000141-CTR-000315</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale/>
│ │ │ │ -        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_sshd_disabled">[customizations.services]
│ │ │ │ -masked = ["sshd"]</xccdf-1.2:fix>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_sshd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_sshd
│ │ │ │ -
│ │ │ │ -class disable_sshd {
│ │ │ │ -  service {'sshd':
│ │ │ │ -    enable =&gt; false,
│ │ │ │ -    ensure =&gt; 'stopped',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_sshd_disabled" complexity="low" disruption="low" reboot="false" strategy="disable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-CM-3(6)
│ │ │ │    - NIST-800-53-IA-2(4)
│ │ │ │    - disable_strategy
│ │ │ │ @@ -54705,14 +54695,24 @@
│ │ │ │    - NIST-800-53-IA-2(4)
│ │ │ │    - disable_strategy
│ │ │ │    - high_severity
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_sshd_disabled</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_sshd_disabled" complexity="low" disruption="low" reboot="false" strategy="enable">include disable_sshd
│ │ │ │ +
│ │ │ │ +class disable_sshd {
│ │ │ │ +  service {'sshd':
│ │ │ │ +    enable =&gt; false,
│ │ │ │ +    ensure =&gt; 'stopped',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_sshd_disabled">[customizations.services]
│ │ │ │ +masked = ["sshd"]</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_sshd_disabled:def:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │          <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │            <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_sshd_disabled_ocil:questionnaire:1"/>
│ │ │ │          </xccdf-1.2:check>
│ │ │ │        </xccdf-1.2:Rule>
│ │ │ │ @@ -55478,22 +55478,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-2.2.4</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R50</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.6</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>If an unauthorized user obtains the private SSH host key file, the host could be
│ │ │ │  impersonated.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_private_key">include ssh_private_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_private_key_perms {
│ │ │ │ -  exec { 'sshd_priv_key':
│ │ │ │ -    command =&gt; "chmod 0640 /etc/ssh/*_key",
│ │ │ │ -    path    =&gt; '/bin:/usr/bin'
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="file_permissions_sshd_private_key" complexity="low" disruption="low" reboot="false" strategy="configure">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-171-3.1.13
│ │ │ │    - NIST-800-171-3.13.10
│ │ │ │    - NIST-800-53-AC-17(a)
│ │ │ │ @@ -55552,14 +55544,22 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - configure_strategy
│ │ │ │    - file_permissions_sshd_private_key
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_private_key">include ssh_private_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_private_key_perms {
│ │ │ │ +  exec { 'sshd_priv_key':
│ │ │ │ +    command =&gt; "chmod 0640 /etc/ssh/*_key",
│ │ │ │ +    path    =&gt; '/bin:/usr/bin'
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="file_permissions_sshd_private_key"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  for keyfile in /etc/ssh/*_key; do
│ │ │ │      test -f "$keyfile" || continue
│ │ │ │      if test root:root = "$(stat -c "%U:%G" "$keyfile")"; then
│ │ │ │ @@ -55650,22 +55650,14 @@
│ │ │ │          <xccdf-1.2:reference href="https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf">Req-2.2.4</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000480-GPOS-00227</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R50</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2.6</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">2.2</xccdf-1.2:reference>
│ │ │ │          <xccdf-1.2:rationale>If a public host key file is modified by an unauthorized user, the SSH service
│ │ │ │  may be compromised.</xccdf-1.2:rationale>
│ │ │ │ -        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_pub_key">include ssh_public_key_perms
│ │ │ │ -
│ │ │ │ -class ssh_public_key_perms {
│ │ │ │ -  exec { 'sshd_pub_key':
│ │ │ │ -    command =&gt; "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ -    path    =&gt; '/bin:/usr/bin'
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="file_permissions_sshd_pub_key" complexity="low" disruption="low" reboot="false" strategy="configure">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-171-3.1.13
│ │ │ │    - NIST-800-171-3.13.10
│ │ │ │    - NIST-800-53-AC-17(a)
│ │ │ │ @@ -55724,14 +55716,22 @@
│ │ │ │    - PCI-DSSv4-2.2.6
│ │ │ │    - configure_strategy
│ │ │ │    - file_permissions_sshd_pub_key
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed</xccdf-1.2:fix>
│ │ │ │ +        <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="file_permissions_sshd_pub_key">include ssh_public_key_perms
│ │ │ │ +
│ │ │ │ +class ssh_public_key_perms {
│ │ │ │ +  exec { 'sshd_pub_key':
│ │ │ │ +    command =&gt; "chmod 0644 /etc/ssh/*.pub",
│ │ │ │ +    path    =&gt; '/bin:/usr/bin'
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │          <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="file_permissions_sshd_pub_key" complexity="low" disruption="low" reboot="false" strategy="configure"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  find -L /etc/ssh/ -maxdepth 1 -perm /u+xs,g+xws,o+xwt  -type f -regextype posix-extended -regex '^.*\.pub$' -exec chmod u-xs,g-xws,o-xwt {} \;
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -61612,24 +61612,14 @@
│ │ │ │        <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000392-GPOS-00172</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://public.cyber.mil/stigs/downloads/?_dl_facet_stigs=operating-systems%2Cgeneral-purpose-os">SRG-OS-000475-GPOS-00220</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R33</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://cyber.gouv.fr/sites/default/files/document/linux_configuration-en-v2.pdf">R73</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.2.1</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:reference href="https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf">10.2</xccdf-1.2:reference>
│ │ │ │        <xccdf-1.2:rationale>The auditd service is an access monitoring and accounting daemon, watching system calls to audit any access, in comparison with potential local access control policy such as SELinux policy.</xccdf-1.2:rationale>
│ │ │ │ -      <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_audit_installed">[[packages]]
│ │ │ │ -name = "auditd"
│ │ │ │ -version = "*"</xccdf-1.2:fix>
│ │ │ │ -      <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_audit_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_auditd
│ │ │ │ -
│ │ │ │ -class install_auditd {
│ │ │ │ -  package { 'auditd':
│ │ │ │ -    ensure =&gt; 'installed',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │        <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="package_audit_installed" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - NIST-800-53-AC-7(a)
│ │ │ │    - NIST-800-53-AU-12(2)
│ │ │ │    - NIST-800-53-AU-14
│ │ │ │ @@ -61665,14 +61655,24 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - package_audit_installed</xccdf-1.2:fix>
│ │ │ │ +      <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="package_audit_installed" complexity="low" disruption="low" reboot="false" strategy="enable">include install_auditd
│ │ │ │ +
│ │ │ │ +class install_auditd {
│ │ │ │ +  package { 'auditd':
│ │ │ │ +    ensure =&gt; 'installed',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +      <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="package_audit_installed">[[packages]]
│ │ │ │ +name = "auditd"
│ │ │ │ +version = "*"</xccdf-1.2:fix>
│ │ │ │        <xccdf-1.2:fix system="urn:xccdf:fix:script:sh" id="package_audit_installed" complexity="low" disruption="low" reboot="false" strategy="enable"># Remediation is applicable only in certain platforms
│ │ │ │  if dpkg-query --show --showformat='${db:Status-Status}
│ │ │ │  ' 'linux-base' 2&gt;/dev/null | grep -q ^installed; then
│ │ │ │  
│ │ │ │  DEBIAN_FRONTEND=noninteractive apt-get install -y "auditd"
│ │ │ │  
│ │ │ │  else
│ │ │ │ @@ -61891,24 +61891,14 @@
│ │ │ │          <html:br/>
│ │ │ │          Additionally, a properly configured audit subsystem ensures that actions of
│ │ │ │  individual system users can be uniquely traced to those users so they
│ │ │ │  can be held accountable for their actions.
│ │ │ │        </xccdf-1.2:rationale>
│ │ │ │        <xccdf-1.2:platform idref="#package_audit"/>
│ │ │ │        <xccdf-1.2:requires idref="xccdf_org.ssgproject.content_rule_package_audit_installed"/>
│ │ │ │ -      <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_auditd_enabled">[customizations.services]
│ │ │ │ -enabled = ["auditd"]</xccdf-1.2:fix>
│ │ │ │ -      <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_auditd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_auditd
│ │ │ │ -
│ │ │ │ -class enable_auditd {
│ │ │ │ -  service {'auditd':
│ │ │ │ -    enable =&gt; true,
│ │ │ │ -    ensure =&gt; 'running',
│ │ │ │ -  }
│ │ │ │ -}</xccdf-1.2:fix>
│ │ │ │        <xccdf-1.2:fix system="urn:xccdf:fix:script:ansible" id="service_auditd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">- name: Gather the package facts
│ │ │ │    package_facts:
│ │ │ │      manager: auto
│ │ │ │    tags:
│ │ │ │    - CJIS-5.4.1.1
│ │ │ │    - NIST-800-171-3.3.1
│ │ │ │    - NIST-800-171-3.3.2
│ │ │ │ @@ -61969,14 +61959,24 @@
│ │ │ │    - PCI-DSSv4-10.2.1
│ │ │ │    - enable_strategy
│ │ │ │    - low_complexity
│ │ │ │    - low_disruption
│ │ │ │    - medium_severity
│ │ │ │    - no_reboot_needed
│ │ │ │    - service_auditd_enabled</xccdf-1.2:fix>
│ │ │ │ +      <xccdf-1.2:fix system="urn:xccdf:fix:script:puppet" id="service_auditd_enabled" complexity="low" disruption="low" reboot="false" strategy="enable">include enable_auditd
│ │ │ │ +
│ │ │ │ +class enable_auditd {
│ │ │ │ +  service {'auditd':
│ │ │ │ +    enable =&gt; true,
│ │ │ │ +    ensure =&gt; 'running',
│ │ │ │ +  }
│ │ │ │ +}</xccdf-1.2:fix>
│ │ │ │ +      <xccdf-1.2:fix system="urn:redhat:osbuild:blueprint" id="service_auditd_enabled">[customizations.services]
│ │ │ │ +enabled = ["auditd"]</xccdf-1.2:fix>
│ │ │ │        <xccdf-1.2:check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
│ │ │ │          <xccdf-1.2:check-content-ref href="ssg-debian12-oval.xml" name="oval:ssg-service_auditd_enabled:def:1"/>
│ │ │ │        </xccdf-1.2:check>
│ │ │ │        <xccdf-1.2:check system="http://scap.nist.gov/schema/ocil/2">
│ │ │ │          <xccdf-1.2:check-content-ref href="ssg-debian12-ocil.xml" name="ocil:ssg-service_auditd_enabled_ocil:questionnaire:1"/>
│ │ │ │        </xccdf-1.2:check>
│ │ │ │      </xccdf-1.2:Rule>